web-dev-qa-db-fra.com

Accueil Dir et Shell pour les utilisateurs authentifiés Active Directory

J'ai configuré avec succès SSSD et peut SSH dans un système avec des informations d'identification publicitaires ce que vous manquez est la création d'un répertoire domestique et d'une touche Bash comme coquille.

Mon hypothèse est que si je me connecte à un système qui n'a pas déjà de compte Linux local, mais qui dispose d'un compte d'annonces valide qu'un répertoire de base est créé la première fois que l'utilisateur se connecte et que les coquilles appropriées sont définies comme définies dans /etc/sssd/sssd.conf:

override_homedir = /home/%u
default_Shell = /bin/bash

J'ai aussi couru

authconfig --enablesssd --enablesssdauth --enablemkhomedir --update

Qu'est-ce que je manque ou que je fais une hypothèse incorrecte sur ma configuration existante?

Je souhaite éviter d'utiliser la gestion de l'identité obsolète pour la fonction UNIX de Windows.

7
grahamjgreen

Cette question a été résolue en déplaçant les entrées

override_homedir = /home/%u
default_Shell = /bin/bash

de la section [SSSD] de SSSD.CONF à [domaine/lab.Local]

4
grahamjgreen

Il y a deux parties de l'équation. L'une est en SSSD et l'interface de commutateur de service de noms en particulier. Cette partie indique ce que le répertoire de base est sur le système et vous pouvez le tester avec "Getent PassWD $ Nom d'utilisateur". Tant que cette commande vous donne des réponses précises, SSSD fonctionne comme cela devrait.

L'autre partie crée les répertoires de la maison en fait. Je recommanderais d'utiliser Oddjob et Pam_oddjob_mkhomedir sur Old Pam_mkhomedir. Dans mon expérience, cela joue mieux avec Selinux.

Recherchez/var/Log/Sécurisé pour les messages d'erreur des modules PAM ..

2
jhrozek

S'il vous plaît voir cet article en premier: sagesse commune sur l'authentification Active Directory pour les serveurs Linux?

Pour les systèmes RHEL/CENTOS 6.X, je fais:

  • AUTHCONFIG AVEC LES RÉGLAGES SSSD ROIGNES.
  • Modifier SSSD.CONF au goût.
  • Modifier et configurer Oddjobd.

Pour authconfig, quelque chose comme:

aUTHCONFIG --ENABLESSD -LDAPSERVER = LDAP: //dc1.ad.blahblah.com --ldapbasedn = "dc = annonce, dc = blahablah, dc = com" --enablerfc2307bis --enablesssdauth --krb5kdc = dc1.ad. blahalah.com --krb5realm = ad.blahblah.com --Disableforcelegacy --enablelocauthorize --enblemkhomedir --UnupdateAll

  • Mon simple SSSD.Confonflf ressemblerait à ceci: http://pastebin.com/aa2xsyhh - redémarrez le service SSSD après avoir modifié la configuration.

  • J'installez ensuite Oddjob-mkhomedir avec: yum install oddjob-mkhomedir- Vous pouvez syntoniser les autorisations de répertoire de maison au goût de /etc/oddjobd.conf.d/oddjobd-mkhomedir.conf

  • Assurez-vous que le SSSD et Oddjob Les services sont définis pour démarrer au démarrage.

Cela devrait être tout ce qui est nécessaire.

1
ewwhite

Cela fonctionne pour moi sur Centos 7 lorsque je me connecte via Sshd. L'emplacement où le répertoire de base créé est le groupe de gestion "Session" qui fait partie de PAM.

De la PAM (8) Manpage:

    session - this group of tasks cover things that should be done prior to a service being given and after it is
   withdrawn. Such tasks include the maintenance of audit trails and the mounting of the user's home directory.
   The session management group is important as it provides both an opening and closing hook for modules to
   affect the services available to a user.

Dans /etc/pam.d/password-auth Vous trouverez cette ligne: Session optionnelle PAM_ODDJOB_MKHomeDir.so Umask = 0077

qui prend soin de la création d'annuaire à domicile.

Assurez-vous que vous avez installé et activé le package oddjob-mkhomedir.

0
neuhaus