Linux za Sve forum

Kod: Označi sve

system-config-authentication


Kod: Označi sve

authconfig-tui


Kod: Označi sve

[domain/default]

ldap_id_use_start_tls = False
cache_credentials = True
ldap_search_base = dc=example,dc=com
krb5_server = kerberos.example.com
id_provider = ldap
auth_provider = ldap
chpass_provider = ldap
ldap_uri = ldap://localhost:389
ldap_tls_cacertdir = /etc/openldap/cacerts


Kod: Označi sve

authconfig --enableldap --enableldapauth --ldapserver='ldap://moj_ldap_server/' --ldapbasedn='dc=domena,dc=tld' --enablemkhomedir --enableshadow --enablelocauthorize --passalgo=sha256 --update


Kod: Označi sve

getent passwd USERNAME


Kod: Označi sve

authconfig --test


Kod: Označi sve

FORCELEGACY=no


Kod: Označi sve

FORCELEGACY=yes


drade je napisao/la:Sto koristis za LDAP ?

389-ds, openLDAP, AD ?

drade je napisao/la:Imas jos jednu opciju, koristiti authconfig naredbu.

drade je napisao/la:Migration toolsi su "Ok", no vjeruj mi da ne zelis sistemske korisnike u LDAP-u (dugorocno bi mogao imati gomilu problema, pogotovo ako ti LDAP nece biti dostupan).

drade je napisao/la:Pokusaj na alternativan nacin (bez SSL):

Kod: Označi sve

authconfig --enableldap --enableldapauth --ldapserver='ldap://moj_ldap_server/' --ldapbasedn='dc=domena,dc=tld' --enablemkhomedir --enableshadow --enablelocauthorize --passalgo=sha256 --update


Nakon toga opali:

Kod: Označi sve

getent passwd USERNAME


Da provjeris radi li autentikacija.

EDIT1:
Btw, sssd servis ti ne ce raditi bez SSL/TLS.

EDIT2:
Evo ti jos jedan "workaround".

Unutar datoteke /etc/sysconfig/authconfig, promijeni sljedece:

Sada ti SSL/TLS req. vise ne bi trebao biti vazan.

drade je napisao/la:Daj postaj /etc/pam.d/sshd datoteku.

Kod: Označi sve

# cat /etc/pam.d/sshd
#%PAM-1.0
auth       required     pam_sepermit.so
auth       include      password-auth
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open env_params
session    optional     pam_keyinit.so force revoke
session    include      password-auth

drade je napisao/la:Moze jos password-auth i system-auth ?

Kod: Označi sve

cat /etc/pam.d/{password-auth,system-auth}
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        sufficient    pam_sss.so use_first_pass
auth        required      pam_deny.so

account     required      pam_unix.so broken_shadow
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     [default=bad success=ok user_unknown=ignore] pam_sss.so
account     required      pam_permit.so

password    requisite     pam_cracklib.so try_first_pass retry=3 type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    sufficient    pam_sss.so use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_sss.so
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        sufficient    pam_sss.so use_first_pass
auth        required      pam_deny.so

account     required      pam_unix.so broken_shadow
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     [default=bad success=ok user_unknown=ignore] pam_sss.so
account     required      pam_permit.so

password    requisite     pam_cracklib.so try_first_pass retry=3 type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    sufficient    pam_sss.so use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_sss.so


Kod: Označi sve

auth        sufficient    pam_ldap.so use_first_pass
account     [default=bad success=ok user_unknown=ignore] pam_ldap.so
password    sufficient    pam_ldap.so use_authtok
session     optional      pam_ldap.so


Kod: Označi sve

session     required      pam_oddjob_mkhomedir.so skel=/etc/skel umask=0022