| AUTHSELECT-MIGRATIO(7) | AUTHSELECT-MIGRATIO(7) |
NAME¶
authselect-migration - authconfig'den authselect'e nasıl geçiş yapılacağı hakkında bir kılavuz.
AÇIKLAMA¶
Bu kılavuz sayfası, sistem kimlik doğrulamasını ve kimlik kaynaklarını yapılandırmak için kullanılan bir önceki araç olan authconfig ile bunun yerine geçen authselect arasındaki temel farkları açıklamaktadır. Ayrıca authconfig’den authselect’e geçmek için hangi işlemlerin yapılması gerektiğini de açıklamaktadır.
TEMEL FARKLAR¶
Authselect, sistem yapılandırmasına önceki araç olan authconfig’den tamamen farklı bir şekilde yaklaşmaktadır.
Authconfig, oluşturduğu dosyalarda kullanıcıların yaptığı değişiklikleri korumak için elinden geleni yapar. PAM yapılandırma ve nsswitch.conf dosyalarını (kimlik doğrulama modüllerini ve kimlik kaynaklarını ayarlamak için) oluşturmakla kalmaz, aynı zamanda LDAP ve Kerberos gibi çeşitli hizmetler için basit yapılandırma dosyaları da oluşturur.
Authselect böyle şeyler yapmaz. PAM ve nsswitch.conf haricinde herhangi bir yapılandırma dosyası oluşturmaz ve oluşturulan yapılandırmada elle yapılan değişikliklere kesinlikle izin vermez. Profil adı verilen bir dosya kümesi sağlar. Her profil, ortaya çıkan yapılandırmanın nasıl görünmesi gerektiğini açıklar ve belirli isteğe bağlı özellikler etkinleştirilerek veya devre dışı bırakılarak hafifçe değiştirilebilir. Authselect ile birlikte gelenlerden farklı bir profile ihtiyaç duyulursa, yöneticinin tamamen yeni bir profil oluşturma ve authselect ile bunu kullanma seçeneği vardır. Profiller hakkında daha fazla bilgi edinmek için authselect-profiles(5) sayfasına bakın.
Bu büyük bir dezavantaj gibi görünse de gerçek tam tersidir. Authconfig çok eski bir araçtır ve gerekli hizmetleri sağlayan uygulamalar yıllar içinde hızla değişmiştir. Genellikle, PAM ve nsswitch.conf dosyalarında birden çok kimlik doğrulama modülüne ihtiyaç yoktur, çünkü kullanım durumlarının büyük çoğunluğu SSSD tarafından üstlenilmiştir. Bu nedenle, bunları özel olarak eklemeye veya kaldırmaya gerek yoktur. Ayrıca, realm gibi uzak bir etki alanına katılma sürecini otomatikleştirmenize yardımcı olabilecek sistem hizmetlerinin yapılandırma dosyalarını oluşturmak için daha iyi araçlar da vardır. Ek olarak, birlikte gelen profiller bize tam olarak test edilebilen ve hataya daha az eğilimli olan kapsamlı ve belirleyici sistem yapılandırması sağlar. Bu yapılandırmayı birçok sisteme dağıtmak da çok daha kolaydır.
Muhtemelen en tartışmalı değişiklik, authselect’in yalnızca sssd ve winbind sağlayıcıları için profillerle birlikte gelmesidir. Bu iki sağlayıcı, yerel kullanıcılar ve eski LDAP etki alanlarından IPA veya Active Directory sunucularıyla karmaşık yapılandırmalara kadar tüm modern kullanım durumlarını kapsamaktadır. Profiller artık nss-pam-ldapd için destek içermemektedir ve kullanıcıların sssd’ye geçmeleri tavsiye edilmektedir.
UZAK ETKİ ALANLARINA KATILMA¶
Bir IPA etki alanına katılmak için ipa-client-install veya realm, ve bir Active Directory etki alanına katılmak için realm araçlarını kullanabilirsiniz. Bu araçlar, doğru authselect profilinin seçilmesini ve tüm arka plan programlarının ve hizmetlerin doğru olarak yapılandırılmasını sağlayacaktır.
BETİKLERİNİZİ DÖNÜŞTÜRME¶
Bir etki alanına katılmak için ipa-client-install veya realm araçlarını kullanıyorsanız, betiklerinizdeki tüm authconfig çağrılarını kaldırabilirsiniz. Böyle bir seçeneğiniz yoksa, istenen özelliklere sahip doğru bir profil seçmek için her bir authconfig çağrısını eş değer authselect çağrısı ile değiştirmeniz, ardından gerekli hizmetler için yapılandırma dosyası yazmanız gerekmektedir.
Table 1. Authconfig seçeneklerinin authselect profilleriyle ilişkisi
| Authconfig options | Authselect profile |
| --enableldap --enableldapauth | sssd |
| --enablesssd --enablesssdauth | sssd |
| --enablekrb5 | sssd |
| --enablewinbind --enablewinbindauth | winbind |
| --enablenis | none |
Table 2. Authconfig seçeneklerinin authselect profil özellikleriyle ilişkisi
| Authconfig options | Authselect profile feature |
| --enablesmartcard | with-smartcard |
| --enablefingerprint | with-fingerprint |
| --enablemkhomedir | with-mkhomedir |
| --enablefaillock | with-faillock |
| --enablepamaccess | with-pamaccess |
| --enablewinbindkrb5 | with-krb5 |
| --enableshadow | none |
| --passalgo | none |
Note
--enableshadow ve --passalgo=sha512 authconfig seçenekleri, parolaların /etc/shadow dosyasında sha512 algoritması kullanılarak saklandığından emin olmak için sıklıkla kullanılırdı. Authselect profilleri artık sha512 şifreleme yöntemini kullanıyor ve bir seçenek aracılığıyla değiştirilemez (yalnızca özel bir profil oluşturarak değiştirilebilir). Bu seçenekleri yalnızca atlayabilirsiniz.
Örnekler.
authconfig --enableldap --enableldapauth --enablefaillock --updateall authselect select sssd with-faillock authconfig --enablesssd --enablesssdauth --enablesmartcard --smartcardmodule=sssd --updateall authselect select sssd with-smartcard authconfig --enablepamaccess --updateall authselect select sssd with-pamaccess authconfig --enablewinbind --enablewinbindauth --winbindjoin=Administrator --updateall realm join -U Administrator --client-software=winbind WINBINDDOMAIN
YAPILANDIRMA DOSYALARI¶
Bu bölüm, çeşitli hizmetlerin asgari yapılandırması için parçalar içermektedir.
LDAP¶
LDAP pam_ldap ve nss_ldap aracılığıyla doğrudan kullanılmasa bile, openldap-libs ve dolaylı olarak ldapsearch gibi LDAP araçlarını yapılandırmak için ldap.conf dosyasını yapılandırmak yine de faydalıdır.
/etc/openldap/ldap.conf.
# Öntanımlı temel etki alanı adını belirle BASE dc=example,dc=com # Öntanımlı LDAP sunucusunu belirle URI ldap://ldap.example.com ldap://ldap-master.example.com:666
KERBEROS¶
Kerberos kullanıyorsanız, krb5-lib ve dolayısıyla kinit gibi araçların doğrudan çalışabilmesi için öntanımlı Kerberos erişim alanının yapılandırılmış olması gerekmektedir.
/etc/krb5.conf.
[libdefaults]
default_realm = ALANIM [realms]
ALANIM = {
kdc = kdc.myrealm.org
} [domain_realm]
myrealm.org = ALANIM
.myrealm.org = ALANIM
SSSD¶
Authselect, kullanıcıları mümkün olan her yerde SSSD kullanmaya teşvik etmektedir. Birçok yapılandırma seçeneği vardır, sssd.conf(5) sayfasına bakın. Bu, default olarak adlandırılan bir LDAP etki alanı oluşturan asgari bir yapılandırmadır. LDAP sunucusu DNS aramalarıyla otomatik olarak bulunmaktadır.
/etc/sssd/sssd.conf.
[sssd] config_file_version = 2 domains = default [domain/default] id_provider = ldap ldap_uri = _srv_ dns_discovery_domain = alanim
Ve aşağıda aynı etki alanı için kimlik doğrulamasını Kerberos üzerinden yapan bir yapılandırma örneği verilmiştir. KDC sunucusu DNS aramalarıyla otomatik olarak bulunmaktadır.
/etc/sssd/sssd.conf.
[sssd] config_file_version = 2 domains = default [domain/default] id_provider = ldap auth_provider = krb5 ldap_uri = _srv_ krb5_server = _srv_ krb5_realm = ALANIM dns_discovery_domain = alanim
SSSD’yi bir IPA veya Active Directory etki alanı için yapılandırmak istiyorsanız, realm aracını kullanın. Bu, bir Kerberos anahtar tablosu ve temel SSSD yapılandırmasını oluşturmayı içeren bir başlangıç kurulumu gerçekleştirecektir. Daha sonra /etc/sssd/sssd.conf dosyasını değiştirerek istediğiniz ayarlamaları yapabilirsiniz.
WINBIND¶
Makineyi Winbind kullanacak şekilde yapılandırmak istiyorsanız realm aracını kullanın. Bu, bir Kerberos anahtar tablosu oluşturmayı ve etki alanına katılmak için adcli komutunu çalıştırmayı içeren bir başlangıç kurulumu gerçekleştirecektir. Ayrıca smb.conf dosyasında da değişiklikler yapacaktır. Daha sonra /etc/samba/smb.conf dosyasını değiştirerek istediğiniz ayarlamaları yapabilirsiniz.
NIS¶
NIS kimlik doğrulamasının çalışması için yapılandırılması gereken birkaç yer vardır. Öncelikle, /etc/yp.conf dosyasında NIS etki alanını ve isteğe bağlı olarak NIS sunucusunu ayarlamanız gerekmektedir.
/etc/yp.conf.
domain alanim broadcast # veya # domain alanim server sunucum
NIS etki alanı ayrıca sistem ağ yapılandırmasında ayarlanmalıdır.
/etc/sysconfig/network.
NISDOMAIN=alanim
Artık sisteminizi yeniden başlatmanıza gerek kalmadan etki alanı adını komut satırından ayarlayabilirsiniz. Ek olarak, selinux’te NIS’i etkinleştirmek gerekebilir.
$ domainname alanim $ setsebool -P allow_ypbind 1
PAROLA KALİTESݶ
Authselect, parola kalitesi kısıtlamalarını uygulamak için pam_pwquality modülünü etkinleştirmektedir. Bu modül yalnızca yerel kullanıcılar için etkinleştirilmektedir. Uzak kullanıcılar, ilgili uzak sunucu tarafından uygulanan parola ilkesini kullanmalıdır.
pam_pwquality modülü /etc/security/pwquality.conf dosyasında yapılandırılabilir. Yapılandırma seçeneklerini ve öntanımlı değerlerini görmek için pam_pwquality(8) sayfasına bakın.
HİZMETLERİ BAŞLATMA¶
Yapılandırmanıza bağlı olarak, gerekli hizmetleri systemd aracılığıyla elle başlatmanız gerekmektedir.
systemctl enable sssd.service ; systemctl start sssd.service
systemctl enable winbind.service ; systemctl start winbind.service
systemctl enable rpcbind.service ; systemctl start rpcbind.service systemctl enable ypbind.service ; systemctl start ypbind.service
systemctl enable oddjobd.service ; systemctl start oddjobd.service
AUTHCONFIG ARAÇLARI¶
Authconfig cacertdir_rehash adlı bir araç sağlamaktadır. Bu araca bağımlıysanız, lütfen aynı amaca hizmet eden normal openssl komutuna geçiş yapın: openssl rehash <dizin>
AYRICA BAKIN¶
authselect(8), authselect-profiles(5), realm(8), ipa-client-install(1), sssd.conf(5), smb.conf(5), ldap.conf(5), krb5.conf(5)
| 2021-06-05 |