À partir d'Oracle Linux 6/ RedHat Linux 6, le service LDAP a commencé à utiliser SSSD, qu'il est également recommandé d'utiliser.
SSSD
Le démon des services de sécurité du système (SSSD) est un service qui donne accès à différents fournisseurs d'identité et d'authentification. Vous pouvez configurer SSSD pour utiliser un domaine LDAP natif (c'est-à-dire un fournisseur d'identité LDAP avec authentification LDAP) ou un fournisseur d'identité LDAP avec authentification Kerberos. Il fournit une interface NSS et PAM au système, ainsi qu'un système back-end enfichable pour se connecter à plusieurs sources de compte différentes.
Remarque :SSSD ne prend pas en charge l'authentification sur un canal non chiffré. Si l'authentification LDAP est activée, TLS/SSL ou LDAPS est requis. Si le serveur LDAP est utilisé uniquement comme fournisseur d'identité, un canal crypté n'est pas nécessaire.Installation et configuration
1. Installez d'abord le package SSSD :
# yum install sssd sssd-client
2. Exécutez l'outil authconfig pour activer openldap et sssd :
# authconfig --enablesssd --enablesssdauth --ldapserver="" --ldapbasedn="[ldap-base-dn]" --enableldaptls --update
3. Si le serveur a également une interface utilisateur graphique (Gnome), nous pouvons exécuter la commande :
# authconfig-gtk
Et exécutez la configuration via le mode GUI :
Configurez le fichier /etc/nsswitch.conf pour utiliser sss comme deuxième option pour les sections passwd, shadow et group.
# vi /etc/nsswitch.conf passwd: files sss shadow: files sss group: files sss
Problèmes courants
Si, pour une raison quelconque, les utilisateurs ne peuvent pas "voir" leurs groupes secondaires lors de l'exécution de la commande id, ce problème peut être lié au schéma LDAP qui peut être mal défini côté client ou côté AD.
Vérifiez sssd.conf fichier dans /etc/sssd/ dir - bien que le fichier sssd.conf doive être créé et configuré manuellement, puisque SSSD n'est pas configuré après l'installation.
Exemple de sortie :
# cat /etc/sssd/sssd.conf [domain/AD] description = LDAP domain with AD server enumerate = false min_id = 1000 ; id_provider = ldap auth_provider = ldap ldap_uri = ldap://your.ad.server.com ldap_schema = rfc2307bis ldap_search_base = dc=example,dc=com ldap_default_bind_dn = cn=Administrator,cn=Users,dc=example,dc=com ldap_default_authtok_type = password ldap_default_authtok = YOUR_PASSWORD ldap_user_object_class = person ldap_user_name = msSFU30Name ldap_user_uid_number = msSFU30UidNumber ldap_user_gid_number = msSFU30GidNumber ldap_user_home_directory = msSFU30HomeDirectory ldap_user_shell = msSFU30LoginShell ldap_user_principal = userPrincipalName ldap_group_object_class = group ldap_group_name = msSFU30Name ldap_group_gid_number = msSFU30GidNumber
Vérifiez quel schéma est utilisé sur AD, principalement cela devrait être rfc2307bis mais cela peut varier. Veuillez noter que sssd.conf ci-dessus est un exemple, tout dépendra de la configuration AD - en cas de problème, veuillez consulter les pages de manuel de sssd.conf pour plus de détails.
# man sssd.conf
Après le changement de schéma, videz le cache sssd avec la commande suivante :
# sss_cache -d DOMAIN_NAME_USED
Et redémarrez le service sssd
# service sssd restart