informatique:reseau:ldap:authentification_unix_via_sssd

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision		 Révision précédente
informatique:reseau:ldap:authentification_unix_via_sssd [2022/01/12 17:52] – [Configuration de SSH] bn8informatique:reseau:ldap:authentification_unix_via_sssd [2022/01/20 18:48] (Version actuelle) – [Configuration de SSH] bn8
Ligne 59: Ligne 59:
 chmod 0600 /etc/sssd/sssd.conf</code> chmod 0600 /etc/sssd/sssd.conf</code>
   * Redémarrer le service pour prise en compte : <code bash>service sssd restart</code>   * Redémarrer le service pour prise en compte : <code bash>service sssd restart</code>
 +
 +<note tip>Il est possible de valider la configuration avec la commande suivante : <code bash>sssctl config-check</code></note>
  
 ==== Configuration NSS ==== ==== Configuration NSS ====
  
 Activer //sss// pour les diverses services déclarer dans le fichier ///etc/nsswitch.conf//. Par exemple : Activer //sss// pour les diverses services déclarer dans le fichier ///etc/nsswitch.conf//. Par exemple :
-<code># /etc/nsswitch.conf +<code> 
- +passwd:         files systemd sss 
-passwd:         compat sss +group:          files systemd sss 
-group:          compat sss +shadow:         files sss
-shadow:         compat sss+
 gshadow:        files gshadow:        files
  
Ligne 79: Ligne 80:
  
 netgroup:       nis sss netgroup:       nis sss
-sudoers       files sss+automount     sss
 </code> </code>
 +
 +<note tip>Pour vérifier que les informations des utilisateurs remontent bien, plusieurs solutions :
 +  * ''getent passwd''
 +  * ''id [username]''
 +  * ''sssctl user-checks [username]''
 +</note>
  
 ==== Création automatique des dossiers personnels des utilisateurs lors de leur première connexion ==== ==== Création automatique des dossiers personnels des utilisateurs lors de leur première connexion ====
  
-Ajouter la ligne suivante à la fin du fichier ///etc/pam.d/common-session// : <code>session required pam_mkhomedir.so skel=/etc/skel/ umask=0077 silent</code>+  * en tant que ''root'', lancer la commande ''pam-auth-update'' 
 +  * dans l'interface, cocher ''Create home directory on login'' 
 +  * valider sur ''<Ok>''
  
  
Ligne 100: Ligne 109:
 service ssh start</code> service ssh start</code>
  
 +<note tip>Il est possible de vérifier que cela fonctionne correctement en lançant la commande ''sss_ssh_authorizedkeys'' avec en paramètre le nom d'un utilisateur ayant saisi sa clé publique SSH dans l'annuaire : La commande doit alors normalement retourner la clé de l'utilisateur.
 +
 +**Remarque :** il est pas indispensable que l'utilisateur soit autorisé à se connecter à cette machine (=passe le test du paramètre //ldap_access_filter//) pour que ce test fonctionne.</note>
 +
 +<note important>L'activation du paramètre ''AuthorizedKeysCommandUser'' ne désactive pas pour autant le fichier spécifié via le paramètre ''AuthorizedKeysFile''. Dans les faits, ''sshd'' va d'abord tenter de trouver une clé correspondante dans le fichier spécifié via le paramètre ''AuthorizedKeysFile'' et n'exécutera la commande du paramètre ''AuthorizedKeysCommandUser'' que si aucune correspondance n'a été trouvée.</note>
  • informatique/reseau/ldap/authentification_unix_via_sssd.1642009971.txt.gz
  • Dernière modification : 2022/01/12 17:52
  • de bn8