Escolar Documentos
Profissional Documentos
Cultura Documentos
Aviso:
Isso é baseado em testes limitados e um pequeno número de usuários.
Conteúdo
1 Introdução
2 backup
3 suposições
4 Configuração do servidor SME
5 Configuração do cliente Ubuntu
5.1 Instalação dos pacotes requeridos
5.2 Criar um link simbólico
5.3 Gerenciando o CA em SME
6 PHPKi
7 Letsencrypt
7.1 Configurar SSSD
7.2 Configure o sistema para usar o SSSD como uma fonte de
autenticação:
8 Desktop Setup
8.1 Sudoers
8.2 Permissões do sistema e PolicyKit
8.3 Caixa de login do LightDM
8.4 Montar Acções
9 Notas Diversas
9.1 Senha local necessária para o sudo
9,2 pam_winbind
9,3 pam_kwallet
1 of 10 13/06/2019 07:55
Autenticação de cliente: Ubuntu via sssd / ldap ... https://translate.googleusercontent.com/transla...
Introdução
Este tutorial mostra como configurar um servidor SME (> = 8b6) e um cliente
Ubuntu para uma autenticação SSSD baseada em LDAP da máquina cliente nas
contas de usuário configuradas do SME.
Cópia de segurança
Aviso:
Esse processo pode bloquear você fora da máquina do cliente. Certifique-
se de que na máquina cliente você tenha uma conta de usuário local com
um nome diferente de qualquer usuário no servidor, por exemplo,
'localadminuser'
Suposições
Neste tutorial, assumimos que:
2 of 10 13/06/2019 07:55
Autenticação de cliente: Ubuntu via sssd / ldap ... https://translate.googleusercontent.com/transla...
("something_very_secret" no how-to).
Sem ele, o sssd não pode gerenciar a associação aos grupos no LDAP (fonte
http://us.generation-nt.com/bug-599644-sssd-unable-resolve-ldap-group-
memberships-help-200739341.html )
Gerenciando o CA em SME
PHPKi
Após ter instalado o PHPki, vá para https: //www.domain.tld/phpki e baixe o
certificado de autoridade (ca-certificates.crt) para a máquina cliente.
Letsencrypt
Se você usar o Letsencypt para seus certificados, a máquina cliente já deve ter
o certificado de ca para o letsencrypt instalado
3 of 10 13/06/2019 07:55
Autenticação de cliente: Ubuntu via sssd / ldap ... https://translate.googleusercontent.com/transla...
ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt
Configurar SSSD
Se o arquivo não existir por padrão, ele precisa ser criado e precisa obter as
permissões 600 para permitir que o daemon seja iniciado. Nos clientes do
Ubuntu usando o sudo você pode precisar obter um shell root primeiro:
sudo -i
[nss]
[pam]
[domínio / LDAP]
# Depurar é agora por domínio
# O nível de depuração pode ser de 0 a 10 para níveis simples,
# ou para mais valores hexadecimais de controle O formato é 0xXXXX
# 1 = 0x0010 2 = 0x0020 3 = 0x040 4 = 0x080 5 = 0x0100 6 = 0x0200
# veja man sssd para mais
# https://access.redhat.com/documentation/pt-br/red_hat_enterprise_linux/6/html/deployment_guide/sssd-troublesho
debug_level = 3
id_provider = ldap
auth_provider = ldap
ldap_schema = rfc2307
ldap_uri = ldap: //sme-server.domain.tld
ldap_default_bind_dn = uid = auth, ou = Usuários, dc = domínio, dc = tld
ldap_default_authtok = something_very_secret
ldap_default_authtok_type = password
ldap_search_base = dc = domínio, dc = tld
ldap_user_search_base = ou = Usuários, dc = domínio, dc = tld
ldap_group_search_base = ou = Grupos, dc = domínio, dc = tld
ldap_user_object_class = inetOrgPerson
ldap_user_gecos = cn
ldap_tls_reqcert = hard
ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt
ldap_id_use_start_tls = true
# descomente abaixo se o SME for um “iPasserelle”
#ldap_user_shell = desktopLoginShell
# comentário abaixo se o SME for um “iPasserelle”
override_shell = / bin / bash
4 of 10 13/06/2019 07:55
Autenticação de cliente: Ubuntu via sssd / ldap ... https://translate.googleusercontent.com/transla...
cache_credentials = true
enumerate = true
# É possível filtrar os logins por meio de um arquivador LDAP
# comentando as duas linhas abaixo.
# Neste exemplo, apenas o usuário membro do grupo de usuários de rede
# será válido neste host.
# posixMemberOF é um parâmetro apenas para um iPasserelle
#access_provider = ldap
#ldap_access_filter = (| (posixMemberOf = admins) (uid = backup))
_EOF
Gorjeta:
Certifique-se de que o arquivo /etc/ssl/certs/ca-certificates.crt contenha a
CA que assinou o certificado do SME (se o PHPki for usado, será
necessária uma versão> 0,82-13).
Gorjeta:
Se você pretende montar automaticamente os compartilhamentos,
consulte a seção Compartilhamentos de montagem abaixo e adicione as
seções relevantes a pam_auth e pam_session aqui primeiro. Você também
pode querer a seção em Permissões do Sistema
5 of 10 13/06/2019 07:55
Autenticação de cliente: Ubuntu via sssd / ldap ... https://translate.googleusercontent.com/transla...
E habilite isso:
Agora você deve poder reinicializar e fazer login como um membro do LDAP.
Configuração de Desktop
Aviso:
Isso parece funcionar no meu Xubuntu Trusty 14.04, mas YMMV!
Sudoers
Crie um grupo 'cliadmins' no servidor. Isso será usado para identificar usuários
do domínio na máquina de desktop.
sudo visudo
Adicione isso:
6 of 10 13/06/2019 07:55
Autenticação de cliente: Ubuntu via sssd / ldap ... https://translate.googleusercontent.com/transla...
pam_session =
sessão opcional pam_systemd.so
/var/lib/polkit-1/localauthority/10-vendor.d/com.ubuntu.desktop.pkla
Seções:
Se você quiser ter uma caixa de login simples com login manual, você pode
fazer o seguinte:
criar /etc/lightdm/lightdm.conf.d/50-unity-greeter.conf
Adicione o seguinte:
[SeatDefaults]
greeter-show-manual-login = true
greeter-hide-users = true
7 of 10 13/06/2019 07:55
Autenticação de cliente: Ubuntu via sssd / ldap ... https://translate.googleusercontent.com/transla...
Montar Ações
Nota:
Vale a pena ler a seguinte página: https://wiki.contribs.org/Smeserver-tw-
logonscript#Linux_client_integration
Se você conseguir fazer login com sucesso com uma conta de domínio, poderá
agora tentar montar automaticamente os compartilhamentos.
pam_auth =
auth optional pam_mount.so enable_pam_password
pam_session =
session optional pam_mount.so enable_pam_password
Nota: você pode excluir usuários locais dos diretórios de montagem com a
configuração sgrp. Você pode precisar do substantivo nounix em mntoptions
(precisa de testes)
Adicione o seguinte:
8 of 10 13/06/2019 07:55
Autenticação de cliente: Ubuntu via sssd / ldap ... https://translate.googleusercontent.com/transla...
Notas Diversas
Senha local necessária para o sudo
Uma irritação que tenho visto é que quando você executa um programa que
exige sudo, por exemplo, Synaptic, ele pode pedir a senha de um usuário
LOCAL, não o usuário do domínio.
Acredito que adicionar seu novo grupo ao arquivo a seguir apresentará uma
lista de usuários que podem autenticar:
/etc/polkit-1/localauthority.conf.d/51-ubuntu-admin.conf
[Configuração]
AdminIdentities = unix-group: sudo; unix-group: admin; unix-group: cliadmins
Ele apresentará uma caixa 'Autenticar' com uma lista de usuários - eu ainda
não encontrei como aceitar a senha do usuário logado atual (como por caso
normal para usuário autônomo). O mais provável é que exija uma modificação
no lightdm semelhante à acima.
pam_winbind
PAM não é possível dlopen (pam_winbind.so): /lib/security/pam_winbind.so: não é possível abrir o arquivo de obj
pam_kwallet
9 of 10 13/06/2019 07:55
Autenticação de cliente: Ubuntu via sssd / ldap ... https://translate.googleusercontent.com/transla...
PAM não é possível dlopen (pam_kwallet.so): /lib/security/pam_kwallet.so: não é possível abrir o arquivo de obj
pam_kwallet.so
Categoria : Como
10 of 10 13/06/2019 07:55