Gestione di account Linux su AD con SSSD: Difference between revisions
Jump to navigation
Jump to search
Created page with "Se si dispone di un dominio AD ad.example.com, è possibile gestire gli utenti locali Linux: * facendoli autenticare sul dominio AD * consentendo l'accesso solo ad utenzse appartenenti ad un determinato gruppo AD * gestendo le chiavi SSH come attributi AD. == Installazione pacchetti == * Installare: apt install sssd adcli realmd oddjob oddjob-mkhomedir sssd-tools sssd libnss-sss libpam-sss adcli packagekit" |
mNo edit summary |
||
| Line 5: | Line 5: | ||
* gestendo le chiavi SSH come attributi AD. | * gestendo le chiavi SSH come attributi AD. | ||
== Installazione | == Installazione e configurazione == | ||
* Installare: | * Installare: | ||
apt install sssd adcli realmd oddjob oddjob-mkhomedir sssd-tools sssd libnss-sss libpam-sss adcli packagekit | apt install sssd adcli realmd oddjob oddjob-mkhomedir sssd-tools sssd libnss-sss libpam-sss adcli packagekit | ||
* Abilitare la creazione automatica delle homedir: | |||
pam-auth-update | |||
[*] Create home directory on login | |||
* Impostare il dominio DNS dell'AD: | |||
vi /etc/resolv.conf | |||
search ad.example.com | |||
nameserver 1.2.3.4 | |||
* Fare il join del dominio per sssd inserendo la password di Administrator del dominio | |||
realm join ad.example.com | |||
* Verificare la risoluzione degli account: | |||
id administrator@ad.examople.com | |||
* Per limitare il login ai soli utenti AD appartenenti al gruppo Domain Admins: | |||
vi /etc/sssd/sssd.conf | |||
[domain/ad.example.com] | |||
#access_provider = ad | |||
access_provider = simple | |||
simple_allow_groups = Domain Admins@ad.rvmgroup.it | |||
* Per far cercare le chiavi ssh in AD: | |||
vi /etc/sssd/sssd.conf | |||
[sssd] | |||
#services = nss, pam | |||
services = nss, pam, ssh | |||
[domain/ad.example.com] | |||
ldap_user_extra_attrs = altSecurityIdentities:altSecurityIdentities | |||
ldap_user_ssh_public_key = altSecurityIdentities | |||
* Per consentire di usare degli user locali, nel caso abbiano gli stessi nomi in AD: | |||
vi /etc/sssd/sssd.conf | |||
[nss] | |||
filter_users = nobody,root,postfix,apache,nginx | |||
filter_groups = nobody,root,postfix,apache,nginx | |||
[pam] | |||
offline_credentials_expiration = 14 | |||
* Riavviare sssd: | |||
systemctl restart sssd | |||
== Configurazione utenze AD == | |||
* Nella console AD Users & Computer, attivare la visualizzazione avanzata, e scegliere la tab '''Attributes''' dalle proprietà dello user | |||
* Inserire le chiavi pubbliche SSH nell'attributo '''altSecurityIdentities''' | |||
* Aggiungere lo user al gruppo AD configurato | |||
== Riferimenti == | |||
* [https://sssd.io/docs/quick-start.html Quick Start Guide - sssd.io] | |||
* [https://lists.fedorahosted.org/archives/list/sssd-users@lists.fedorahosted.org/thread/Y62YBXJQ2PCWFTMDLBVYUPQ63CNTJMHI/ Realm says Necessary packages are not installed - sssd-users - Fedora mailing-lists] | |||
* [https://www.suse.com/support/kb/doc/?id=000019549 Limit access of Active Directory users with sssd | Support | SUSE] | |||
Revision as of 12:03, 5 February 2025
Se si dispone di un dominio AD ad.example.com, è possibile gestire gli utenti locali Linux:
- facendoli autenticare sul dominio AD
- consentendo l'accesso solo ad utenzse appartenenti ad un determinato gruppo AD
- gestendo le chiavi SSH come attributi AD.
Installazione e configurazione
- Installare:
apt install sssd adcli realmd oddjob oddjob-mkhomedir sssd-tools sssd libnss-sss libpam-sss adcli packagekit
- Abilitare la creazione automatica delle homedir:
pam-auth-update
[*] Create home directory on login
- Impostare il dominio DNS dell'AD:
vi /etc/resolv.conf
search ad.example.com nameserver 1.2.3.4
- Fare il join del dominio per sssd inserendo la password di Administrator del dominio
realm join ad.example.com
- Verificare la risoluzione degli account:
id administrator@ad.examople.com
- Per limitare il login ai soli utenti AD appartenenti al gruppo Domain Admins:
vi /etc/sssd/sssd.conf
[domain/ad.example.com] #access_provider = ad access_provider = simple simple_allow_groups = Domain Admins@ad.rvmgroup.it
- Per far cercare le chiavi ssh in AD:
vi /etc/sssd/sssd.conf
[sssd] #services = nss, pam services = nss, pam, ssh
[domain/ad.example.com] ldap_user_extra_attrs = altSecurityIdentities:altSecurityIdentities ldap_user_ssh_public_key = altSecurityIdentities
- Per consentire di usare degli user locali, nel caso abbiano gli stessi nomi in AD:
vi /etc/sssd/sssd.conf
[nss] filter_users = nobody,root,postfix,apache,nginx filter_groups = nobody,root,postfix,apache,nginx [pam] offline_credentials_expiration = 14
- Riavviare sssd:
systemctl restart sssd
Configurazione utenze AD
- Nella console AD Users & Computer, attivare la visualizzazione avanzata, e scegliere la tab Attributes dalle proprietà dello user
- Inserire le chiavi pubbliche SSH nell'attributo altSecurityIdentities
- Aggiungere lo user al gruppo AD configurato