AUTHSELECT-MIGRATIO(7) | AUTHSELECT-MIGRATIO(7) |
NAME¶
authselect-migration - Průvodce migrací z authconfig na authselect.
POPIS¶
Tato manuálová stránka vysvětluje hlavní rozdíl mezi authconfig, bývalý nástroj pro nastavení zdrojů systémové autentizace a totožnosti, a authselect, který ho nahrazuje. Stránka rovněž rozvádí, které akce je nutné provést pro migraci z authconfig na authselect.
HLAVNÍ ROZDÍLY¶
Authselect má zcela jiný přístup k systémové konfiguraci než bývalý nástroj authconfig.
Authconfig se snaží především zachovat vše na ručních změnách uživateli v souborech, které vytváří. Vytváří nejen konfigurační soubory PAM a nsswitch.conf (aby nastavil autentizační moduly a zdroje totožnosti), ale vytváří i jednoduché konfigurační soubory pro několik služeb, jako jsou LDAP a Kerberos.
Authselect takové věci neprovádí. Nevytváří žádné jiné konfigurační soubory kromě PAM a nsswitch.conf a přísně zakazuje jakékoliv ruční úpravy vytvořené konfigurace. Poskytuje sadu souborů nazývaných profily. Každý profil popisuje, jak by měla vypadat výsledná konfigurace a tu lze mírně pozměnit povolením či zákazem určitých volitelných vlastností. Nastane-li potřeba po jiném profilu než ten, který je poskytován společně s authselect, správce systému má možnost vytvořit zcela nový profil a používat ho s authselect. Více informací o profilech viz authselect-profiles(5).
Ačkoliv se to může zdát jako ohromná nevýhoda, opak je pravdou. Authconfig je velmi starý nástroj a aplikace poskytující požadované služby se během let velmi změnily. Např. není již více potřeba mít několik autentizačních modulů PAM a nsswitch.conf, neboť velká většina příkladů použití je pokryta SSSD. Proto není nutné je přidávat nebo odebírat po jednom. Existují rovněž lepší nástroje pro tvorbu konfigurace pro systémové démony, které usnadňují automatizaci procesu připojování ke vzdálené doméně, jako např. realm. Dále nám poskytované profily dávají vyčerpávající a pevně danou systémovou konfigurace, která lze zcela testovat a je méně náchylná k chybám. Je též mnohem snazší takovou konfiguraci distribuovat přes mnoho systémů.
Pravděpodobně nejvíce spornou změnou je to, že authselect poskytuje pouze profily pro poskytovatele sssd a winbind. Tyto dva poskytovatelé pokrývají všechny moderní případy použití, od poskytování místních uživatelů a historické domény LDAP po složitou konfiguraci s IPA nebo servery Active Directory. Profily již neobsahují podporu pro nss-pam-ldapd a uživatelé jsou povzbuzováni k přechodu na sssd.
PŘIPOJENÍ K DOMÉNÁM VZDÁLEN̶
Lze použít jak ipa-client-install, tak realm, abyste se připojily do domény IPA, a realm pro připojení do domény Active Directory. Tyto nástroje zajistí, že je vybrán správný profil authselect a všechny démony a služby jsou řádně nakonfigurovány.
PŘEVOD SKRIPTٶ
Použijete-li k připojení do domény ipa-client-install nebo realm, je možné odstranit ve vašich skriptech kterékoliv volání authconfig. Nemáte-li takovou možnost, potřebujete nahradit každé voláni authconfig ekvivalentem authselectu, abyste zvolili správný profil s požadovanými vlastnostmi. Potřebujete rovně zapsat konfigurační soubor pro vyžadovanou službu.
Table 1. Vztah voleb authconfig k profilům authselectu
Authconfig options | Authselect profile |
--enableldap --enableldapauth | sssd |
--enablesssd --enablesssdauth | sssd |
--enablekrb5 | sssd |
--enablewinbind --enablewinbindauth | winbind |
--enablenis | none |
Table 2. Vztah voleb authconfig k vlastnostem profilům authselectu
Authconfig options | Authselect profile feature |
--enablesmartcard | with-smartcard |
--enablefingerprint | with-fingerprint |
--enablemkhomedir | with-mkhomedir |
--enablefaillock | with-faillock |
--enablepamaccess | with-pamaccess |
--enablewinbindkrb5 | with-krb5 |
--enableshadow | none |
--passalgo | none |
Note
Authconfig options --enableshadow and --passalgo=sha512 were often used to make sure that passwords are stored in /etc/shadow using sha512 algorithm. The authselect profiles now use the sha512 hashing method and it cannot be changed through an option (only by creating a custom profile). You can just omit these options.
Příklady.
authconfig --enableldap --enableldapauth --enablefaillock --updateall authselect select sssd with-faillock authconfig --enablesssd --enablesssdauth --enablesmartcard --smartcardmodule=sssd --updateall authselect select sssd with-smartcard authconfig --enablepamaccess --updateall authselect select sssd with-pamaccess authconfig --enablewinbind --enablewinbindauth --winbindjoin=Administrator --updateall realm join -U Administrator --client-software=winbind WINBINDDOMAIN
KONFIGURAčNí SOUBORY¶
Tato podkapitola obsahuje úryvky minimální konfigurace různých služeb.
LDAP¶
Even if LDAP is not directly used through pam_ldap and nss_ldap, it is still useful to configure ldap.conf to configure openldap-libs and indirectly, e.g. LDAP tools such as ldapsearch.
/etc/openldap/ldap.conf.
# Nastavení výchozího bázového dn BASE dc=example,dc=com # Nastavení výchozího serveru LDAP URI ldap://ldap.example.com ldap://ldap-master.example.com:666
KERBEROS¶
If you use Kerberos, the default Kerberos realm should be configured in order for krb5-libs and therefore tools such as kinit to work out of the box.
/etc/krb5.conf.
[libdefaults]
default_realm = MYREALM [realms]
MYREALM = {
kdc = kdc.myrealm.org
} [domain_realm]
myrealm.org = MYREALM
.myrealm.org = MYREALM
SSSD¶
Authselect povzbuzuje uživatele, aby používali SSSD všude kde je to možné. Existuje mnoho konfiguračních voleb, viz sssd.conf(5). Zde máte minimální konfiguraci, která vytvoří jednu doménu LDAP s názvem default. Server LDAP je objevován automaticky přes vyhledávání DNS.
/etc/sssd/sssd.conf.
[sssd] config_file_version = 2 domains = default [domain/default] id_provider = ldap ldap_uri = _srv_ dns_discovery_domain = myrealm
A zde je úryvek konfigurace pro stejnou doménu, ale autentizace se nyní provádí přes Kerberos. Server KDC je objevován automaticky přes vyhledávání DNS.
/etc/sssd/sssd.conf.
[sssd] config_file_version = 2 domains = default [domain/default] id_provider = ldap auth_provider = krb5 ldap_uri = _srv_ krb5_server = _srv_ krb5_realm = MYREALM dns_discovery_domain = myrealm
Přejete-li si nakonfigurovat SSSD pro doménu IPA nebo Active Directory, použijte nástroj realm. Ten provede počáteční nastavení, které v sobě zahrnuje vytvoření keytab Kerberos a základní konfigurace SSSD. Lze ji pak dovylepšit úpravou /etc/sssd/sssd.conf.
WINBIND¶
Chcete-li nakonfigurovat stroj tak, aby používal Winbind, využijte realm. Ten provede počáteční nastavení, které v sobě zahrnuje vytvoření keytab Kerberos a spuštění adcli pro připojení k doméně. Rovněž provede změny v smb.conf. Nastavení pak lze dovylepšít úpravou /etc/samba/smb.conf.
NIS¶
Je několik míst, které je nutné nakonfigurovat, aby autentizace pomocí NIS fungovala. Nejprve potřebujete nastavit doménu NIS a volitelně také server NIS v /etc/yp.conf.
/etc/yp.conf.
domain mydomain broadcast # or # domain mydomain server myserver
Doménu NIS je nutné nastavit rovněž v síťové konfiguraci systému.
/etc/sysconfig/network.
NISDOMAIN=mydomain
Nyní lze nastavit název domény s pomocí příkazové řádky a není tak nutné restartovat celý systém. Dále může být nezbytné povolit NIS v selinuxu.
$ domainname mydomain $ setsebool -P allow_ypbind 1
KVALITA HESLA¶
Authselect umožňuje modulu pam_pwquality prosazovat omezení pro kvalitu hesla. Tento modul je povolen pouze pro místní uživatele. Vzdálení uživatelé by měly používat politiku hesel, která je prosazována příslušným vzdáleným serverem.
Modul pam_pwquality lze nakonfigurovat v /etc/security/pwquality.conf. Jeho konfigurační volby a výchozí hodnoty viz pam_pwquality(8).
SPOUŠTĚNÍ SLUŽEB¶
V závislosti na konfiguraci potřebujete ručně spustit požadované služby s pomocí systemd.
systemctl enable sssd.service ; systemctl start sssd.service
systemctl enable winbind.service ; systemctl start winbind.service
systemctl enable rpcbind.service ; systemctl start rpcbind.service systemctl enable ypbind.service ; systemctl start ypbind.service
systemctl enable oddjobd.service ; systemctl start oddjobd.service
NÁSTROJE AUTHCONFIG¶
Authconfig poskytuje nástroj s názvem cacertdir_rehash. Pokud na tomto nástroji závisíte, prosíme, přejděte na původní příkaz openssl: openssl rehash <directory>, který slouží stejnému účelu.
VIZ TÉŽ¶
authselect(8), authselect-profiles(5), realm(8), ipa-client-install(1), sssd.conf(5), smb.conf(5), ldap.conf(5), krb5.conf(5)
2021-06-05 |