Stranica: 2/2.

Re: [CentOS 6] Prijava korisnika iz LDAP-a preko SSSD-a

PostPostano: 28 ožu 2013, 10:13
Postao/la 4ndY
Drade, hvala na pomoći, no uspio sam osposobiti prijavu preko SSSD-a. Kao što si gore napisao i kao što piše u dokumentaciji SSSD-a: potrebna je TLS veza na LDAP.

Primarno sam želio da taj SSSD proradi (a ne pam_ldap) jer se pam_ldap napušta (legacy) i na internetu iskustva kažu da SSSD radi robusnije i efikasnije.

Iako sam isprobavao 500 različitih pristupa, otprilike ovo su koraci da stvar proradi:
1. generirao sam samopotpisani certifikat otprilike po ovim uputama
2. konfiguraciju OpenLDAP-a uzeo sam "defaultnu" koja dolazi s CentOS-om i dodao specifičnosti (admin korisnika, putanju certifikata, osnovnu domenu) po ovom forumskom postu (iako više nisam siguran jel tu sve nabrojano dovoljno)
3. Omogućio LDAP prijavu preko authconfiga:
Kod: Označi sve
authconfig     --enablesssd --enablesssdauth --enablecachecreds     --enableldap --enableldaptls --enableldapauth     --ldapserver=ldaps://host_iz_certifikata --ldapbasedn=dc=domena,dc=tld     --disablenis --disablekrb5     --enableshadow --enablemkhomedir --enablelocauthorize     --passalgo=sha512     --updateall

i ručno još podesio neke detalje tako da mi sssd.conf u konačnici izgleda ovako:
Kod: Označi sve
[sssd]
config_file_version = 2
services = nss, pam
domains = default

[nss]
filter_users = root,ldap,named,avahi,haldaemon,dbus,radiusd,news,nscd

[pam]

[domain/default]
ldap_tls_reqcert = never
auth_provider = ldap
ldap_schema = rfc2307
ldap_search_base = dc=domena,dc=tld
ldap_group_member = memberuid
id_provider = ldap
ldap_id_use_start_tls = True
chpass_provider = ldap
ldap_uri = ldaps://host_iz_certifikata
cache_credentials = True
ldap_tls_cacertdir = /etc/openldap/cacerts
entry_cache_timeout = 600
ldap_network_timeout = 3
ldap_access_filter = (&(objectclass=shadowaccount)(objectclass=posixaccount))

4. nsswitch.conf authconfig je dobro automatski podesio kao i sve unutar pam.d-a i tu nema brige

Cijelo vrijeme problem je bio samopotpisani certifikat jer CN/CNAME u njemu moraju se slagati s hostom na kojem se nalazi LDAP (a ja sam svugdje pisao localhost/127.0.0.1, dok sam u certifikat stavio nešto drugo). Nakon što sam to sredio sve je proradilo, ali nakon gotovo 2 dana gnjavaže :-)

Re: [CentOS 6] Prijava korisnika iz LDAP-a preko SSSD-a

PostPostano: 28 ožu 2013, 10:51
Postao/la drade
SSSD je default kojemu se RH varijante priklanjaju, zato jer uskupljuje vise konfiguracijskih datoteki u jednu cjelinu (lakse za odrzavanje, dugorocno).

Drago mi je da si slozio, kada vec slazes direktorijski servis, mozada ti ne bi bilo na odmet pogledati 389-ds ili Idm (oba se nalaze u CentOS repozitorijima).

Idm ti je canned DNS, kerberos, LDAP, ++, nesto tipa AD-a u windows svijetu (Idm koristi 389-ds kao backend).

Re: [CentOS 6] Prijava korisnika iz LDAP-a preko SSSD-a

PostPostano: 28 ožu 2013, 11:18
Postao/la 4ndY
Da, trebao bih možda pogledati neki drugi LDAP server jer je konfiguracija OpenLDAP-a od kad se sama nalazi u bazi direktorija noćna mora. S OpenLDAP-om sam počeo jer mi se činilo da ima najbolju podršku na Linuxu od svih drugih alternativa. U podršku tu ubrajam i [url=phpldapadmin]http://phpldapadmin.sourceforge.net/wiki/index.php/LDAP_Servers[/url] koji omogućuje jednostavno editiranje direktorija preko weba (podržava i ostale, ali koliko sam shvatio, primarno OpenLDAP).

Nadam se da će sve ostati s korisničke strane isto ako promijenim softver direktorija :-P

Re: [CentOS 6] Prijava korisnika iz LDAP-a preko SSSD-a

PostPostano: 28 ožu 2013, 12:06
Postao/la drade
Baci pogled na 389-ds i Idm, imaju ugradjenu konzolu/web konzolu, mozes migrirati openLDAP (pogotovo zato jer koristis dinamicku konfiguraciju; dinamicka konfiguracijs je superm jer ne moras restartati servis svaki put kada promijenis nesto).

S napomenom da je setup SSL certifikata na 389-ds, lagana nocna mora :D.

Na svoj openLDAP, mozes se spojiti koristeci (da ne svrljas po konfiguracijskim datotekama; olaksati ce ti zivot)
http://directory.apache.org/studio/

Re: [CentOS 6] Prijava korisnika iz LDAP-a preko SSSD-a

PostPostano: 28 ožu 2013, 12:12
Postao/la 4ndY
drade je napisao/la:Baci pogled na 389-ds i Idm, imaju ugradjenu konzolu/web konzolu, mozes migrirati openLDAP (pogotovo zato jer koristis dinamicku konfiguraciju; dinamicka konfiguracijs je superm jer ne moras restartati servis svaki put kada promijenis nesto).

S napomenom da je setup SSL certifikata na 389-ds, lagana nocna mora :D.

U tom slučaju ću pričekati dok dobiju još malo "publiciteta" i tutoriala :-)

drade je napisao/la:Na svoj openLDAP, mozes se spojiti koristeci (da ne svrljas po konfiguracijskim datotekama; olaksati ce ti zivot)
http://directory.apache.org/studio/


Iz tog Studija mogu editirati konfiguraciju direktorija?

To bi mi uvelike olakšalo posao jer sad ručno napišem postavke u staroj sintaksi, kovnertiram u ldif i importam u LDAP - strašno :facepalm

Re: [CentOS 6] Prijava korisnika iz LDAP-a preko SSSD-a

PostPostano: 28 ožu 2013, 13:29
Postao/la drade
Mozes obaviti podosta (ako ne i sve) stvari kroz apacheDS (iako je namijenjen za apache direktorijski servis), skini si, pa pogledaj opcije.

Re: [CentOS 6] Prijava korisnika iz LDAP-a preko SSSD-a

PostPostano: 28 ožu 2013, 13:57
Postao/la 4ndY
drade je napisao/la:Mozes obaviti podosta (ako ne i sve) stvari kroz apacheDS (iako je namijenjen za apache direktorijski servis), skini si, pa pogledaj opcije.


Da, skužio sam. Dosta zgodna stvar jer se mogu spojiti i na "cn=config" gdje je sva ta dinamička konfiguracija.