sssd

Z DCEwiki
Skočit na navigaci Skočit na vyhledávání

Co je zač sssd

Instalace

Konfigurace

Vyčištění databáze

Je třeba mít nainstalovaný balíček sssd-tools, který obsahuje nástroj sss_cache

Vyčištění celé keše sss_cache -E

Vyčištění záznamu pro jednoho člověka sss_cache -u user1

A zrušení celé databáze

systemctl stop sssd rm -rf /var/lib/sss/db/* systemctl restart sssd

Kontrola LDAPu bez sssd

For example, using a LDAP server IP of 10.1.0.7 and a base of dc=hurr,dc=org, you could search using a simple anonymous bind and with mandatory TLS to

confirm LDAP server connectivity using ldapsearch.

ldapsearch -x -ZZ -H ldap://10.1.0.7 -b dc=hurr,dc=org

Using the same information, now try communicating without TLS

ldapsearch -x -H ldap://10.1.0.7 -b dc=hurr,dc=org


https://fedoraproject.org/wiki/How_to_debug_SSSD_problems

Přihlašování

Při lokálním přihlášení na stroji, u kterého se ověřuje přístup přes sssd se použije pro ověření hesla k příslušnému username primárně ta doména, v jejímž LDAPu se najde username nejdřív. Pokud se tedy použije při přihlášení pouze username...

login: username

Provede v našem případě sssd ověření hesla vůči kerberu ČVUT (jde o tzv. "hlavní heslo"). A to z toho důvodu, že naši uživatelé jsou podmnožinou uživatelů ČVUT, takže se vyskytují jak v ČVUT LDAPu, tak AD a ověření vůči kerberu ČVUT je v konfiguračním souboru /etc/sssd/sssd.conf uvedeno před ověřením vůči AD.

Vůči AD by se v takovém případě heslo ověřovalo pouze v případě, že by sssd username ve ČVUT LDAPu nenašel.

Chceme-li se tedy vyhnout zmatkům při zadávání hesla je doporučeno uvádět také doménu vůči níž se má heslo k příslušnému username ověřit. Při ověření hlavním heslem ČVUT takto...

login: username@felk.cvut.cz

A při ověření heslem do AD takto...

login: username@ad.felk.cvut.cz

Podobně je tomu při přihlašování přes ssh klienta. Při ověření hlavním ČVUT heslem...

ssh username@felk.cvut.cz@stroj.cz

a u ověření heslem do AD..

ssh username@ad.felk.cvut.cz@stroj.cz
Poznámka Je doporučeno používat primárně ověřování vůči AD a to především z těchto důvodů:
  1. Jednak v případě zapomenutí hesla do AD, nebo i pouhého podezření, že došlo k jeho kompromitaci, si můžete heslo do AD snadno a rychle nastavit sami prostřednictvím webové stránky ..., která se ověřuje hlavním ČVUT heslem.
  2. Používáním ověření vůči AD snižujete pravděpodobnost, že dojde je kompromitaci vašeho hlavního hesla.
  3. A také snižujete pravděpodobnost, že dojde opakovaným chybným zadáním hesla k zabanování IP adresy vašeho stroje na straně kerbera ČVUT.

Lokální přihlášení na Windows stroji, který se ověřuje vůči doméně..

.\username