rhel5.6 sssd配置方法。
SSSD是紅帽企業(yè)版Linux6中新加入的一個(gè)守護(hù)進(jìn)程,該進(jìn)程可以用來(lái)訪問(wèn)多種驗(yàn)證服務(wù)器,如LDAP,Kerberos等,并提供授權(quán)。SSSD是介于本地用戶(hù)和數(shù)據(jù)存儲(chǔ)之間的進(jìn)程,本地客戶(hù)端首先連接SSSD,再由SSSD聯(lián)系外部資源提供者(一臺(tái)遠(yuǎn)程服務(wù)器)。
這樣做有一些幾點(diǎn)優(yōu)勢(shì):?
? ?1.避免了本地每個(gè)客戶(hù)端程序?qū)φJ(rèn)證服務(wù)器大量連接,所有本地程序僅聯(lián)系SSSD,由SSSD連接認(rèn)證服務(wù)器或SSSD緩存,有效的降低了負(fù)載。?
? ?2.允許離線授權(quán)。SSSD可以緩存遠(yuǎn)程服務(wù)器的用戶(hù)認(rèn)證身份,這允許在遠(yuǎn)程認(rèn)證服務(wù)器宕機(jī)時(shí),繼續(xù)成功授權(quán)用戶(hù)訪問(wèn)必要的資源。
?
?
?下面來(lái)介紹下RHEL5.6的配置方法。
客戶(hù)端安裝sssd
Yum –y install sssd
?
配置/etc/sssd/sssd/conf
?
domains = test.com
?
?[domain/test.com]
cache_credentials = True
krb5_store_password_if_offline = True
ipa_domain = test.com
id_provider = ipa
auth_provider = ipa
access_provider = ipa
ipa_hostname = ipaclient56.test.com
chpass_provider = ipa
#ipa_dyndns_update = True
ldap_krb5_keytab = /etc/krb5.keytab
ipa_server = _srv_, ipa.test.com
ldap_uri = ldap://172.16.10.158
#debug_level = 4
debug_level = 0xFFF0
ldap_user_search_base = dc=test,dc=com
ldap_group_search_base = dc=test,dc=com
ldap_search_base = dc=test,dc=com
enumerate = true
ldap_schema = IPA
?
.
注:公司環(huán)境和我虛擬機(jī)環(huán)境不同,配置參數(shù)也可能不同。
?
配置 [root@ipaclient56 ~]# vim /etc/pam.d/system-auth
?
auth??????? sufficient??? pam_sss.so use_first_pass
…..???? …..??? …….
account???? [default=bad success=ok user_unknown=ignore] pam_sss.so
…..???? …..??? …….
password??? sufficient??? pam_sss.so use_authtok
…..???? …..??? …….
session???? optional????? pam_sss.so
?
?
配置[root@ipaclient56 ~]# vim /etc/nsswitch.conf
?
passwd:???? files sss
shadow:???? files sss
group:????? files sss
……? …….?? ……
netgroup:?? files sss
……?? ……? ……..
aliases:??? ?files nisplus
?
?
關(guān)閉nscd
[root@ipaclient56 ~]# service nscd stop
停止 nscd:??????????????????????????????????????????????? [確定]
?
開(kāi)啟sssd進(jìn)程
[root@ipaclient56 ~]# service sssd start
啟動(dòng) sssd:??????????????????????????????????????????????? [確定]
?
抓取下進(jìn)程,可以看到正常運(yùn)行。
[root@ipaclient56 ~]# netstat -antup | grep sssd
tcp??????? 0????? 1 172.16.10.159:44964???????? 50.23.225.49:389??????????? SYN_SENT??? 3856/sssd_be
?
由IPAserver為客戶(hù)端生成一個(gè)密鑰表
~]# ipa-getkeytab -s ipa.test.com -p host/ipaclient56.test.com -k ipaclient56.keytab
?
把這個(gè)密鑰文件復(fù)制到sssd客戶(hù)端上
Scp ipaclient56.keytab root@ipaclient56.test.com:~/
?
客戶(hù)端把這個(gè)密鑰文件重命名為krb5.keytab并移動(dòng)到/etc下
Mv ipaclient56.keytab /etc/krb5.keytab
?
測(cè)試登入遠(yuǎn)程登入客戶(hù)機(jī)。
?
問(wèn)題解決:
?
日志:[sssd[ldap_child[3918]]]: Failed to initialize credentials using keytab [(null)]: Decrypt integrity check failed. Unable to create GSSAPI-encrypted LDAP connection.
?
Failed to initialize credentials using keytab [/etc/krb5.keytab]: Decrypt integrity check failed. Unable to create GSSAPI-encrypted LDAP connection.
?
解決辦法:sssd.conf添加,ldap_krb5_keytab = /etc/krb5.keytab ,IPAserver手動(dòng)更新客戶(hù)端keytab。
?
?
一些參數(shù)作用:
ip_domain??可選,指定這個(gè)域的名稱(chēng),如果沒(méi)有,使用配置的域名
ipa_hosename??可選,可能被設(shè)置在機(jī)器的主機(jī)名。
ipa_dyndns_update?可選,這個(gè)選項(xiàng)告訴SSSD自動(dòng)更新DNS服務(wù)器內(nèi)置FreeIPA v2這個(gè)客戶(hù)機(jī)的IP地。默認(rèn)關(guān)閉。true false
???注意:在較舊的系統(tǒng)(如RHEL 5),對(duì)于這種行為能穩(wěn)定可靠地運(yùn)行,默認(rèn)在/etc/krb5.conf Kerberos領(lǐng)域必須設(shè)置正確。
ipa_dyndns_iface?適用于只有當(dāng)ipa_dyndns_update是真的。選擇接口的IP地址應(yīng)該用于動(dòng)態(tài)域名更新。默認(rèn)使用ip地址IPA LDAP連接。
ipa_host_search_base ?可選,使用給定字符串作為主機(jī)搜索基礎(chǔ)對(duì)象。默認(rèn)ldap_search_base 的值。
???參考ldap_search_base配置多個(gè)搜索基地。
krb5_realm ??Kerberos領(lǐng)域的名稱(chēng)。這是可選的,默認(rèn)為“ipa_domain”的值。
config_file_version ?顯示配置文件的語(yǔ)法版本
reconnection_retries ?服務(wù)的次數(shù)應(yīng)該試圖重新連接在發(fā)生數(shù)據(jù)提供程序崩潰或重啟之前放棄 默認(rèn)值:3
domains???域是一個(gè)數(shù)據(jù)庫(kù),其中包含用戶(hù)信息。SSSD可以同時(shí)使用多個(gè)域,但至少有一個(gè)必須配置或SSSD不會(huì)開(kāi)始。這個(gè)參數(shù)域的列????表描述你希望他們被查詢(xún)的順序。
krb5_rcache_dir ?目錄的文件系統(tǒng)上SSSD應(yīng)該存儲(chǔ)Kerberos重播緩存文件。
id_provider ??為域標(biāo)識(shí)提供者使用。支持id提供商(ipa local ad proxy ldap)
auth_provider??身份驗(yàn)證提供者使用的域。支持身份驗(yàn)證提供者
access_provider ?為域訪問(wèn)控制提供者使用。有兩個(gè)內(nèi)置訪問(wèn)提供者(除了任何包含在安裝后端)內(nèi)部特殊的供應(yīng)商
chpass_provider ?提供者應(yīng)該為域處理更改密碼操作。支持更改密碼提供者
subdomains_provider ?提供者應(yīng)該處理獲取的子域。這個(gè)值應(yīng)該總是id_provider一樣。支持子域名提供商。
cache_credentials?確定用戶(hù)憑證也緩存在本地LDB的緩存,用戶(hù)憑證存儲(chǔ)在一個(gè)SHA512散列,而不是明文
ldap_schema ??指定在目標(biāo)系統(tǒng)上使用的模式類(lèi)型的LDAP服務(wù)器。根據(jù)所選擇的模式,默認(rèn)屬性名稱(chēng)從服務(wù)器檢索可能會(huì)有所不同。一些????屬性處理的方式也不同。 rfc2307 rfc2307bis IPA AD 默認(rèn)rfc2307
ldap_default_authtok_type 默認(rèn)的身份驗(yàn)證令牌的類(lèi)型綁定DN 目前兩種機(jī)制支持obfuscated_password? password
ldap_default_bind_dn ?默認(rèn)的綁定DN用于執(zhí)行LDAP操作
ldap_default_authtok ?默認(rèn)的身份驗(yàn)證令牌綁定DN。目前只有明文密碼支持
ldap_user_object_class?在LDAP對(duì)象類(lèi)的用戶(hù)條目
ldap_user_home_directoryLDAP屬性,其中包含用戶(hù)的主目錄的名稱(chēng)。
ldap_user_ssh_public_keyLDAP屬性,其中包含用戶(hù)的SSH公鑰
ldap_enumeration_refresh_timeout 指定多少秒SSSD必須等待刷新緩存的枚舉記錄
ldap_group_name ?LDAP屬性,對(duì)應(yīng)的組名
ldap_service_object_class在ldap服務(wù)的對(duì)象類(lèi)條目
ldap_service_name?LDAP屬性,其中包含服務(wù)屬性的名稱(chēng)和他們的別名
ldap_tls_reqcert ?指定檢查執(zhí)行在TLS會(huì)話(huà)服務(wù)器證書(shū),如果有的話(huà)。它可以被指定為以下值之一:demand hard try allow never 默認(rèn)hard
ldap_tls_cacert??指定的文件,其中包含證書(shū)的證書(shū)頒發(fā)機(jī)構(gòu)sssd將識(shí)別。
ldap_krb5_keytab??指定要使用的keytab當(dāng)使用SASL / GSSAPI
ldap_krb5_init_creds ?指定id_provider應(yīng)該初始化Kerberos憑證(TGT)。執(zhí)行這個(gè)動(dòng)作只有SASL使用GSSAPI機(jī)制選擇
ldap_krb5_ticket_lifetime指定壽命TGT如果使用GSSAPI的以秒為單位 默認(rèn)86400
ldap_user_search_base?一個(gè)可選的基本DN,搜索范圍和LDAP篩選限制LDAP搜索這個(gè)屬性類(lèi)型
ldap_group_search_base
krb5_store_password_if_offline 存儲(chǔ)用戶(hù)的密碼如果提供者離線和用它來(lái)請(qǐng)求一個(gè)TGT當(dāng)供應(yīng)商再次上線
????
?
轉(zhuǎn)載于:https://blog.51cto.com/aaronit/1588623
總結(jié)
以上是生活随笔為你收集整理的rhel5.6 sssd配置方法。的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: ubuntu proxy(代理)设置全局
- 下一篇: axios发送ajax请求时的问题