ИТ Блог. Администрирование серверов на основе Linux (Ubuntu, Debian, CentOS, openSUSE)

Как настроить клиент LDAP для использования SSSD

Как настроить клиент LDAP для использования SSSD

Если вы устали от управления учетными записями пользователей и проверкой подлинности на каждом компьютере в вашей сети и ищете более централизованный и безопасный способ решения этих задач, использование SSSD для настройки проверки подлинности LDAP — это идеальное решение.

LDAP (Lightweight Directory Access Protocol) — это протокол открытого стандарта для доступа и управления распределенными информационными службами каталогов по сети. Он обычно используется для централизованного управления пользователями и аутентификации, а также для хранения других типов данных конфигурации системы и сети.

С другой стороны, SSSD обеспечивает доступ к поставщикам удостоверений и аутентификации, таким как LDAP, Kerberos и Active Directory. Он локально кэширует информацию о пользователях и группах, повышая производительность и доступность системы.

Используя SSSD для настройки аутентификации LDAP, вы можете аутентифицировать пользователей с помощью центральной службы каталогов, уменьшая потребность в локальном управлении учетными записями пользователей и повышая безопасность за счет централизации управления доступом.

В этой статье рассказывается, как настроить LDAP-клиенты для использования SSSD (демон служб безопасности системы), мощного централизованного решения для управления идентификацией и аутентификации.

 

Убедитесь, что ваша машина соответствует предварительным требованиям

Перед настройкой SSSD для аутентификации LDAP ваша система должна соответствовать следующим требованиям:

Сетевое подключение : Убедитесь, что ваша система имеет рабочее соединение и может подключиться к серверу(ам) LDAP по сети. Вам может потребоваться настроить сетевые параметры, такие как правила DNS, маршрутизации и брандмауэра, чтобы система могла взаимодействовать с сервером(ами) LDAP.

Сведения о сервере LDAP : вы также должны знать имя хоста или IP-адрес сервера LDAP, номер порта, базовое DN и учетные данные администратора, чтобы настроить SSSD для аутентификации LDAP.

Сертификат SSL/TLS : если вы используете SSL/TLS для защиты соединения LDAP, вам необходимо получить сертификат SSL/TLS с сервера(ов) LDAP и установить его в вашей системе. Вам также может потребоваться настроить SSSD так, чтобы он доверял сертификату, указав ldap_tls_reqcert = require или ldap_tls_reqcert = allow в файле конфигурации SSSD.

 

Установите и настройте SSSD для использования аутентификации LDAP

Вот шаги по настройке SSSD для аутентификации LDAP:

Шаг 1. Установите SSSD и необходимые пакеты LDAP

Вы можете установить SSSD и необходимые пакеты LDAP в Ubuntu или любой среде на основе Debian, используя следующую командную строку:

sudo apt-get install sssd libnss-ldap libpam-ldap ldap-utils

 

Данная команда устанавливает пакет SSSD и необходимые зависимости для аутентификации LDAP в системах Ubuntu или Debian. После выполнения этой команды система предложит вам ввести сведения о сервере LDAP, такие как имя хоста или IP-адрес сервера LDAP, номер порта, базовое DN и учетные данные администратора.

 

Шаг 2. Настройте SSSD для LDAP

Отредактируйте файл конфигурации SSSD /etc/sssd/sssd.conf и добавьте в него следующий блок домена LDAP:

[sssd]

config_file_version = 2

services = nss, pam

domains = ldap_example_com

[domain/ldap_example_com]

id_provider = ldap

auth_provider = ldap

ldap_uri = ldaps://ldap.example.com/

ldap_search_base = dc=example,dc=com

ldap_tls_reqcert = demand

ldap_tls_cacert = /path/to/ca-cert.pem

 

В предыдущем фрагменте кода имя домена — ldap_example_com. Замените его своим доменным именем. Кроме того, замените ldap.example.com полным доменным именем или IP-адресом вашего сервера LDAP, а dc=example,dc=com — вашим базовым DN LDAP.

ldap_tls_reqcert = требование указывает, что SSSD должен требовать действительный сертификат SSL/TLS от сервера LDAP. Если у вас есть самозаверяющий сертификат или промежуточный ЦС, установите ldap_tls_reqcert = allow.

ldap_tls_cacert = /path/to/ca-cert.pem указывает путь к файлу сертификата SSL/TLS CA вашей системы.

 

Шаг 3. Перезапустите SSSD

После внесения изменений в файл конфигурации SSSD или любые связанные файлы конфигурации необходимо перезапустить службу SSSD, чтобы изменения вступили в силу.

Вы можете использовать следующую команду:

sudo systemctl restart sssd

 

В некоторых системах вам может потребоваться перезагрузить файл конфигурации с помощью команды «sudo systemctl reload sssd» вместо перезапуска службы. Это перезагружает конфигурацию SSSD без прерывания активных сеансов или процессов.

Перезапуск или перезагрузка службы SSSD временно прерывает все активные сеансы пользователей или процессы, использующие SSSD для проверки подлинности или авторизации. Вот почему вы должны запланировать перезапуск службы во время периода обслуживания, чтобы свести к минимуму любое потенциальное воздействие на пользователя.

 

Шаг 4. Проверьте аутентификацию LDAP

После этого приступайте к тестированию вашей системы аутентификации, используя следующую команду:

getent passwd ldapuser1

 

Команда «getent passwd ldapuser1» извлекает информацию об учетной записи пользователя LDAP из конфигурации системного переключателя службы имен (NSS), включая службу SSSD.

При выполнении команды система ищет в конфигурации NSS информацию о «user ldapuser1». Если пользователь существует и правильно настроен в каталоге LDAP и SSSD, выходные данные будут содержать информацию об учетной записи пользователя. Такая информация включает имя пользователя, идентификатор пользователя (UID), идентификатор группы (GID), домашний каталог и оболочку по умолчанию.

Вот пример вывода: ldapuser1:x:1001:1001:пользователь LDAP:/home/ldapuser1:/bin/bash

В выходных данных предыдущего примера «ldapuser1» — это имя пользователя LDAP, «1001» — идентификатор пользователя (UID), «1001» — идентификатор группы (GID), пользователь LDAP — это полное имя пользователя, /home/ldapuser1 — это имя пользователя. Домашний каталог, а /bin/bash — оболочка по умолчанию.

Если пользователь не существует в вашем каталоге LDAP или есть проблемы с конфигурацией службы SSSD, команда «getent» не вернет никаких результатов.

 

Заключение

Настройка клиента LDAP для использования SSSD обеспечивает безопасный и эффективный способ аутентификации пользователей в каталоге LDAP. С помощью SSSD вы можете централизовать аутентификацию и авторизацию пользователей, упростить управление пользователями и повысить безопасность. Предоставленные шаги помогут вам успешно настроить SSSD в вашей системе и начать использовать аутентификацию LDAP.

Exit mobile version