Primarno sam želio da taj SSSD proradi (a ne pam_ldap) jer se pam_ldap napušta (legacy) i na internetu iskustva kažu da SSSD radi robusnije i efikasnije.
Iako sam isprobavao 500 različitih pristupa, otprilike ovo su koraci da stvar proradi:
1. generirao sam samopotpisani certifikat otprilike po ovim uputama
2. konfiguraciju OpenLDAP-a uzeo sam "defaultnu" koja dolazi s CentOS-om i dodao specifičnosti (admin korisnika, putanju certifikata, osnovnu domenu) po ovom forumskom postu (iako više nisam siguran jel tu sve nabrojano dovoljno)
3. Omogućio LDAP prijavu preko authconfiga:
- Kod: Označi sve
authconfig --enablesssd --enablesssdauth --enablecachecreds --enableldap --enableldaptls --enableldapauth --ldapserver=ldaps://host_iz_certifikata --ldapbasedn=dc=domena,dc=tld --disablenis --disablekrb5 --enableshadow --enablemkhomedir --enablelocauthorize --passalgo=sha512 --updateall
i ručno još podesio neke detalje tako da mi sssd.conf u konačnici izgleda ovako:
- Kod: Označi sve
[sssd]
config_file_version = 2
services = nss, pam
domains = default
[nss]
filter_users = root,ldap,named,avahi,haldaemon,dbus,radiusd,news,nscd
[pam]
[domain/default]
ldap_tls_reqcert = never
auth_provider = ldap
ldap_schema = rfc2307
ldap_search_base = dc=domena,dc=tld
ldap_group_member = memberuid
id_provider = ldap
ldap_id_use_start_tls = True
chpass_provider = ldap
ldap_uri = ldaps://host_iz_certifikata
cache_credentials = True
ldap_tls_cacertdir = /etc/openldap/cacerts
entry_cache_timeout = 600
ldap_network_timeout = 3
ldap_access_filter = (&(objectclass=shadowaccount)(objectclass=posixaccount))
4. nsswitch.conf authconfig je dobro automatski podesio kao i sve unutar pam.d-a i tu nema brige
Cijelo vrijeme problem je bio samopotpisani certifikat jer CN/CNAME u njemu moraju se slagati s hostom na kojem se nalazi LDAP (a ja sam svugdje pisao localhost/127.0.0.1, dok sam u certifikat stavio nešto drugo). Nakon što sam to sredio sve je proradilo, ali nakon gotovo 2 dana gnjavaže