Gestione di account Linux su AD con SSSD: Difference between revisions
Jump to navigation
Jump to search
mNo edit summary |
mNo edit summary |
||
| Line 67: | Line 67: | ||
systemctl restart sssd | systemctl restart sssd | ||
== Configurazione SSH == | |||
* Per far richiedere la chiave ssh al server AD, occorre modificare: | |||
vi /etc/ssh/sshd_config | |||
#AuthorizedKeysCommand none | |||
AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys | |||
#AuthorizedKeysCommandUser nobody | |||
AuthorizedKeysCommandUser root | |||
* Riavviare ssh: | |||
sudo systemctl restart ssh | |||
== Configurazione utenze AD == | == Configurazione utenze AD == | ||
Latest revision as of 13:31, 5 February 2025
Se si dispone di un dominio AD ad.example.com, è possibile gestire gli utenti locali Linux:
- facendoli autenticare sul dominio AD
- consentendo l'accesso solo ad utenzse appartenenti ad un determinato gruppo AD
- gestendo le chiavi SSH come attributi AD.
Installazione e configurazione
- Installare:
apt install sssd adcli realmd oddjob oddjob-mkhomedir sssd-tools sssd libnss-sss libpam-sss adcli packagekit
- Abilitare la creazione automatica delle homedir:
pam-auth-update
[*] Create home directory on login
- Impostare il dominio DNS dell'AD:
vi /etc/resolv.conf
search ad.example.com nameserver 1.2.3.4
- Fare il join del dominio per sssd inserendo la password di Administrator del dominio
realm join ad.example.com
- Verificare la risoluzione degli account:
id administrator@ad.examople.com
- Per limitare il login ai soli utenti AD appartenenti al gruppo Domain Admins:
vi /etc/sssd/sssd.conf
[domain/ad.example.com] #access_provider = ad access_provider = simple simple_allow_groups = Domain Admins@ad.rvmgroup.it
- Per far cercare le chiavi ssh in AD:
vi /etc/sssd/sssd.conf
[sssd] #services = nss, pam services = nss, pam, ssh
[domain/ad.example.com] ldap_user_extra_attrs = altSecurityIdentities:altSecurityIdentities ldap_user_ssh_public_key = altSecurityIdentities
- Per consentire di usare degli user locali, nel caso abbiano gli stessi nomi in AD:
vi /etc/sssd/sssd.conf
[nss] filter_users = nobody,root,postfix,apache,nginx filter_groups = nobody,root,postfix,apache,nginx [pam] offline_credentials_expiration = 14
- Riavviare sssd:
systemctl restart sssd
Configurazione SSH
- Per far richiedere la chiave ssh al server AD, occorre modificare:
vi /etc/ssh/sshd_config
#AuthorizedKeysCommand none AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys #AuthorizedKeysCommandUser nobody AuthorizedKeysCommandUser root
- Riavviare ssh:
sudo systemctl restart ssh
Configurazione utenze AD
- Nella console AD Users & Computer, attivare la visualizzazione avanzata, e scegliere la tab Attributes dalle proprietà dello user
- Inserire le chiavi pubbliche SSH nell'attributo altSecurityIdentities
- Aggiungere lo user al gruppo AD configurato