n‎ > ‎

3

15.2.3. Настройка окружения SSSD

В этом разделе описывается, как установить SSSD, как для запуска службы, и как его настроить для каждого типа поддерживаемого поставщика информации.

15.2.3.1. Установка SSSD

Выполните следующую команду, чтобы установить SSSD и все зависимости, в том числе SSSD Клиент: # ням установить sssdSSSD требуется очень мало зависимостей и должны установить очень быстро, в зависимости от скорости вашего подключения к сети.
15.2.3.1.1. Обновление с предыдущей версии
Формат файла конфигурации описан в разделе 15.2.8, "Конфигурация SSSD Формат файла"
Обновление с помощью RPM пакеты
При обновлении с помощью RPM пакеты, сценарий будет выполняться автоматически при обновлении до новой версии. Это будет модернизировать и т.д. / SSSD / sssd.conf файл / в новый формат, и скопировать существующую версию в / и т.д. / SSSD / sssd.conf.bak.
Обновление вручную
Это может быть необходимо, чтобы запустить сценарий обновления вручную, либо потому, что вы построили SSSD из исходных файлов, или потому, что вы используете платформу, которая не поддерживает использование RPM пакетов. Резюме для сценария выглядит следующим образом:

upgrade_config.py [-е INFILE] [-о OUTFILE] [-многословен] [- нет резервного]

  • -F INFILE - файл конфигурации для обновления. Если не указано, по умолчанию в / и т.д. / SSSD / sssd.conf
  • -О OUTFILE - название обновленном файле конфигурации. Если не указано, по умолчанию в / и т.д. / SSSD / sssd.conf
  • -Многословным - производить больше подробный вывод в процессе обновления
  • - Не-резервное копирование - не производят резервный файл. Если не указано, по умолчанию используется INFILE. Бак
15.2.3.1.2. Запуск и остановка SSSD

Примечание

Перед началом SSSD впервые, необходимо настроить как минимум один домен. См. раздел 15.2.5, «Настройка доменов" для получения информации о том, как настроить SSSD domain.You можете использовать либо команду услуг или / и т.д. / init.d / SSSD скрипт для управления SSSD. Например, выполните следующую команду, чтобы начать SSSD: # служба SSSD startBy умолчанию, SSSD не настроен на автоматический запуск. Вы можете использовать команду Chkconfig изменить это поведение. Например, выполните следующую команду, чтобы сконфигурировать SSSD начать при загрузке компьютера: # Chkconfig SSSD на

15.2.3.2. Настройка SSSD

Глобальная конфигурация SSSD хранится в др / SSSD / sssd.conf файле /. Этот файл состоит из различных разделов, каждый из которых содержит ряд пар ключ / значение. Некоторые клавиши принимать несколько значений; используйте запятые для разделения нескольких значений для таких ключей. Этот файл конфигурации использует типы данных строки (без кавычек требуется), целые и логическое значение (со значениями ofTRUE или ЛОЖЬ). Комментарии обозначаются либо знак решетки (#) или точкой с запятой (;) в первой колонке. Следующий пример иллюстрирует некоторые из этого синтаксиса:
 [Раздел]
# Ключи с отдельных значений
ключ1 = значение
ключ2 = знач2

# Ключи с несколькими значениями
key10 = val10, val11

Примечание

Вы можете использовать-C (или - конфигурации) параметр в командной строке указать другой файл конфигурации для SSSD.Refer к sssd.conf (5) для получения дополнительной информации о глобальных опций конфигурации SSSD.
15.2.3.2.1. Настройка NSS
SSSD предоставляет новый модуль NSS, nss_sss, так что вы можете настроить систему на использование SSSD для извлечения информации о пользователе. Редактировать / и т.д. / nsswitch.conf для вашей системы, чтобы использовать базу данных имя SSS. Например:
 PASSWD: файлы SSS
Группа: файлы SSS
15.2.3.2.2. Настройка PAM

Предупреждение

Соблюдайте особую осторожность при изменении конфигурации PAM. Ошибка в файле конфигурации PAM может заблокировать вас из системы полностью. Всегда храните резервную копию файлов конфигурации перед выполнением каких-либо изменений, и держать сессию открытой, так что вы можете вернуться все внесенные изменения должны необходимость arise.To включить систему на использование SSSD для PAM, вам нужно отредактировать файл конфигурации PAM по умолчанию. В системах Fedora на базе, это / и т.д. / pam.d / файловой системы авторизации. Редактировать этот файл, чтобы отразить следующий пример, а затем перезагрузить SSSD:
 #% PAM-1.0
# Этот файл генерируется автоматически.
# Изменения пользователей будут уничтожены в следующий раз AuthConfig запускается.
авт требуется pam_env.so
авт достаточно pam_unix.so nullok try_first_pass
авт условием pam_succeed_if.so UID> = 500 тихо
авт достаточно pam_sss.so use_first_pass
авт требуется pam_deny.so

внимание требуется pam_unix.so broken_shadow
счет достаточно pam_localuser.so
счет достаточно pam_succeed_if.so UID <500 тихо
счет [по умолчанию = плохо успех = порядке user_unknown = игнорировать] pam_sss.so
внимание требуется pam_permit.so

пароль условием pam_cracklib.so try_first_pass повтора = 3
пароль достаточные pam_unix.so sha512 тень nullok try_first_pass use_authtok
пароля достаточно pam_sss.so use_authtok
Пароль, необходимый pam_deny.so

сессия требуется pam_mkhomedir.so Umask = 0022 Skel = / и т.д. / Skel /
сессия опционально pam_keyinit.so фальшренонс
сессия требуется pam_limits.so
сессия [успех = 1 по умолчанию = игнорировать] pam_succeed_if.so служба в crond тихом use_uid
сессия достаточно pam_sss.so
сессия требуется pam_unix.so
Использование включают отчетность в PAM конфигураций
В последних реализациях PAM позволяют использовать включают заявления в конфигурациях PAM. Например:
 ...
сессия включают системы-авторизации
сессия опционально pam_console.so
...

Примечание

В предыдущем примере, если достаточное условие из системы-авт возвращается PAM_SUCCESS, pam_console.so не будет выполняться.
15.2.3.2.3. Настройка управления доступом
SSSD предоставляет простейший механизм контроля доступа на основе внедрения механизмов обеспечения доступа или запретить списки имен пользователей. Этот механизм известен как простого поставщика доступа и выполнен в [домен / <имя>] разделов и т.д. / SSSD / sssd.conf файле /. Чтобы включить простой поставщик доступа, необходимо установить опцию access_provider tosimple, а затем добавить имена пользователей как список разделенных запятыми или к simple_allow_users orsimple_deny_users вариантов.
Используя простой поставщик доступа
С помощью простой поставщик доступа можно продолжать поддерживать ряд сетевых логинов для поддержания общих сетевых учетных записей на предприятии или в подразделении ноутбуков, но вы можете ограничить использование конкретного ноутбука с одним или двумя пользователями. Это означает, что даже если другой пользователь успешно прошел проверку подлинности по сравнению с аналогичным поставщика проверки подлинности, простой поставщик доступа предотвращает возникновение подобных пользователя от получения access.The следующий пример демонстрирует использование простого средства доступа к предоставлять доступ к двум пользователям. В этом примере предполагается, что SSSD настроен правильно и example.com является одним из доменов, указанных в разделе [SSSD], и только показывает простой поставщик конкретных вариантов доступа.
 [Домен / example.com]
access_provider = простой
simple_allow_users = user1, user2 
Правила контроля доступа
Простой провайдер Доступ придерживается следующих трех правил, чтобы определить, какие пользователи должны или не должны иметь доступ:
  • Если оба списка пусты, доступ предоставляется.
  • Если simple_allow_users установлен только пользователи из списка доступ разрешен. Этот параметр заменяет список thesimple_deny_users (который будет излишним).
  • Если список simple_allow_users пуст, пользователи могут доступ, если они не появляются в simple_deny_userslist.

Важный

Определение обе simple_allow_users и simple_deny_users является ошибка конфигурации. Если это произойдет, SSSD выход ошибку при загрузке заднюю часть и не удастся запустить.
15.2.3.2.4. Настройка отказоустойчивого
Функция аварийного переключения позволяет вернуться концы для автоматического переключения на другой сервер, если основной сервер выходит из строя. Эти серверы вводятся как с учетом регистра, список разделенных запятыми в [домен / <имя>] разделов и т.д. / SSSD / sssd.conf файле /, и перечислены в порядке предпочтения. Этот список может содержать любое количество Например servers.For, если вы настроили родной домен LDAP, можно указать следующие, как ваши ценности ldap_uri:
 ldap_uri = LDAP :/ / ldap0.mydomain.org, LDAP :/ / ldap1.mydomain.org, LDAP :/ / ldap2.mydomain.org 
В этой конфигурации LDAP :/ / ldap0.mydomain.org функционирует как основного сервера. Если этот сервер выходит из строя, механизм SSSD отказоустойчивого сначала пытается подключиться к ldap1.mydomain.org, и если сервер недоступен, он затем пытается подключиться к ldap2.mydomain.org.If параметр, который определяет, какой сервер для подключения к для Конкретная область (например, ldap_uri, krb5_kdcip, ...) не указан, задней части по умолчанию использует открытие Использование службы. См. toSection 15.2.3.2.4.1, "Использование записей SRV с Failover" для получения дополнительной информации о обнаружения службы.

Важный

Не следует использовать несколько параметров ldap_uri указать серверы отказоустойчивые. Серверы отказоустойчивых должны быть введены как разделенный запятыми список значений для одного параметра ldap_uri. Если ввести несколько параметров ldap_uri, SSSD признает только последних entry.Future версии SSSD выдаст ошибку при получении дополнительного ldap_uri entries.15.2.3.2.4.1. Использование записей SRV с FailoverSSSD также поддерживает использование записей SRV в его отказоустойчивой конфигурации. Это означает, что вы можете указать сервер, на котором позже решен в список конкретных серверов при помощи запросов SRV. Приоритетными и вес атрибуты записей SRV предоставить дополнительную возможность для определения того, какие серверы должны связаться сначала в том случае, если основной сервер fails.For каждая служба, с которой вы хотите использовать обнаружение служб, необходимо добавить специальную запись DNS для вашего DNS-сервер, используя следующую форму:
 _ Обслуживание. _ Протокол. _ Домена TTL приоритет вес порт хоста 
Типичная конфигурация будет содержать несколько таких записей, каждая с различным приоритетом (для отказа) и разного веса (для балансировки нагрузки). Затем клиент делает запрос SRV DNS, чтобы получить список имен хостов, их приоритетов, и весов. Эти запросы имеют вид _ протокола обслуживание. _. _ Домена, например, _ldap._tcp._redhat.com. Затем клиент сортирует этот список в соответствии с приоритетами и весов, и подключается к первому серверу в эту разобраться list.For получения дополнительной информации о записях SRV, обратитесь к RFC 2782.15.2.3.2.4.2. Как отказоустойчивого Механизм Механизм WorksThe отказоустойчивого различает машин и услуг. Задняя часть первая пытается разрешить имя хоста данной машине; если эта попытка терпит неудачу разрешение, машина считается в автономном режиме. Никакие дальнейшие попытки не будут предприняты для подключения к этой машине за любые другие услуги. Если попытка разрешение успешно, задняя часть пытается подключиться к сервису на этой машине. Если попытка подключения услуги не удается, то только этот конкретный услуга считается форума и задняя часть автоматически переключается на следующего обслуживания. Машина до сих пор считается в Интернете и все еще может быть осужден за еще попытки соединения service.Further сделаны машин или услуг, отмеченных в автономном режиме после определенного периода времени; это в настоящее время жестко до 30 секунд. Если нет больше машин, чтобы попробовать, задняя часть в целом переходит в автономный режим, а затем пытается повторно каждые 30 секунд.

#auto

Subpages (6): 4 h j k l q
Comments