Différences

Ci-dessous, les différences entre deux révisions de la page.

--- informatique:reseau:ldap:authentification_unix_via_sssd [2022/01/12 17:39] – [Installation] bn8
+++ informatique:reseau:ldap:authentification_unix_via_sssd [2022/01/20 18:48] (Version actuelle) – [Configuration de SSH] bn8
@@ Ligne 11: / Ligne 11: @@
 reconnection_retries = 3
 sbus_timeout = 30
-services = nss, pam
 domains = example
 debug_level = 2
@@ Ligne 60: / Ligne 59: @@
 chmod 0600 /etc/sssd/sssd.conf</code>
   * Redémarrer le service pour prise en compte : <code bash>service sssd restart</code>
+<note tip>Il est possible de valider la configuration avec la commande suivante : <code bash>sssctl config-check</code></note>
 ==== Configuration NSS ====
 Activer //sss// pour les diverses services déclarer dans le fichier ///etc/nsswitch.conf//. Par exemple :
-<code># /etc/nsswitch.conf
+<code>
+passwd:         files systemd sss
-passwd:         compat sss
+group:          files systemd sss
-group:          compat sss
+shadow:         files sss
-shadow:         compat sss
 gshadow:        files
@@ Ligne 80: / Ligne 80: @@
 netgroup:       nis sss
-sudoers:        files sss
+automount:      sss
 </code>
+<note tip>Pour vérifier que les informations des utilisateurs remontent bien, plusieurs solutions :
+  * ''getent passwd''
+  * ''id [username]''
+  * ''sssctl user-checks [username]''
+</note>
 ==== Création automatique des dossiers personnels des utilisateurs lors de leur première connexion ====
-Ajouter la ligne suivante à la fin du fichier ///etc/pam.d/common-session// : <code>session required pam_mkhomedir.so skel=/etc/skel/ umask=0077 silent</code>
+  * en tant que ''root'', lancer la commande ''pam-auth-update''
+  * dans l'interface, cocher ''Create home directory on login''
+  * valider sur ''<Ok>''
@@ Ligne 94: / Ligne 102: @@
 Pour cela :
   * Éditez le fichier ///etc/sssd/sssd.conf// :
-    * Dans la section //[sssd]// ajouter le service //ssh// : <code ini>services = nss, pam, ssh</code>
     * Dans la section de votre //domain//, ajouter : <code ini>ldap_user_ssh_public_key = mySshPubKey</code>
   * Redémarrer le service pour prise en compte : <code bash>service sssd restart</code>
   * Dans le fichier ///etc/ssh/sshd_config//, ajouter : <code>AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys
 AuthorizedKeysCommandUser nobody</code>
-  * Recharger la configuration du service //ssh// pour prise en compte : <code bash>service ssh reload</code>
+  * Stopper puis redémarrer le service //ssh// pour prise en compte : <code bash>service ssh stop
+service ssh start</code>
+<note tip>Il est possible de vérifier que cela fonctionne correctement en lançant la commande ''sss_ssh_authorizedkeys'' avec en paramètre le nom d'un utilisateur ayant saisi sa clé publique SSH dans l'annuaire : La commande doit alors normalement retourner la clé de l'utilisateur.
+**Remarque :** il est pas indispensable que l'utilisateur soit autorisé à se connecter à cette machine (=passe le test du paramètre //ldap_access_filter//) pour que ce test fonctionne.</note>
+<note important>L'activation du paramètre ''AuthorizedKeysCommandUser'' ne désactive pas pour autant le fichier spécifié via le paramètre ''AuthorizedKeysFile''. Dans les faits, ''sshd'' va d'abord tenter de trouver une clé correspondante dans le fichier spécifié via le paramètre ''AuthorizedKeysFile'' et n'exécutera la commande du paramètre ''AuthorizedKeysCommandUser'' que si aucune correspondance n'a été trouvée.</note>