Scroll to navigation

AUTHSELECT-MIGRATIO(7)   AUTHSELECT-MIGRATIO(7)

NAME

authselect-migration - Průvodce migrací z authconfig na authselect.

POPIS

Tato manuálová stránka vysvětluje hlavní rozdíl mezi authconfig, bývalý nástroj pro nastavení zdrojů systémové autentizace a totožnosti, a authselect, který ho nahrazuje. Stránka rovněž rozvádí, které akce je nutné provést pro migraci z authconfig na authselect.

HLAVNÍ ROZDÍLY

Authselect má zcela jiný přístup k systémové konfiguraci než bývalý nástroj authconfig.

Authconfig se snaží především zachovat vše na ručních změnách uživateli v souborech, které vytváří. Vytváří nejen konfigurační soubory PAM a nsswitch.conf (aby nastavil autentizační moduly a zdroje totožnosti), ale vytváří i jednoduché konfigurační soubory pro několik služeb, jako jsou LDAP a Kerberos.

Authselect takové věci neprovádí. Nevytváří žádné jiné konfigurační soubory kromě PAM a nsswitch.conf a přísně zakazuje jakékoliv ruční úpravy vytvořené konfigurace. Poskytuje sadu souborů nazývaných profily. Každý profil popisuje, jak by měla vypadat výsledná konfigurace a tu lze mírně pozměnit povolením či zákazem určitých volitelných vlastností. Nastane-li potřeba po jiném profilu než ten, který je poskytován společně s authselect, správce systému má možnost vytvořit zcela nový profil a používat ho s authselect. Více informací o profilech viz authselect-profiles(5).

Ačkoliv se to může zdát jako ohromná nevýhoda, opak je pravdou. Authconfig je velmi starý nástroj a aplikace poskytující požadované služby se během let velmi změnily. Např. není již více potřeba mít několik autentizačních modulů PAM a nsswitch.conf, neboť velká většina příkladů použití je pokryta SSSD. Proto není nutné je přidávat nebo odebírat po jednom. Existují rovněž lepší nástroje pro tvorbu konfigurace pro systémové démony, které usnadňují automatizaci procesu připojování ke vzdálené doméně, jako např. realm. Dále nám poskytované profily dávají vyčerpávající a pevně danou systémovou konfigurace, která lze zcela testovat a je méně náchylná k chybám. Je též mnohem snazší takovou konfiguraci distribuovat přes mnoho systémů.

Pravděpodobně nejvíce spornou změnou je to, že authselect poskytuje pouze profily pro poskytovatele sssd a winbind. Tyto dva poskytovatelé pokrývají všechny moderní případy použití, od poskytování místních uživatelů a historické domény LDAP po složitou konfiguraci s IPA nebo servery Active Directory. Profily již neobsahují podporu pro nss-pam-ldapd a uživatelé jsou povzbuzováni k přechodu na sssd.

PŘIPOJENÍ K DOMÉNÁM VZDÁLENĚ

Lze použít jak ipa-client-install, tak realm, abyste se připojily do domény IPA, a realm pro připojení do domény Active Directory. Tyto nástroje zajistí, že je vybrán správný profil authselect a všechny démony a služby jsou řádně nakonfigurovány.

PŘEVOD SKRIPTŮ

Použijete-li k připojení do domény ipa-client-install nebo realm, je možné odstranit ve vašich skriptech kterékoliv volání authconfig. Nemáte-li takovou možnost, potřebujete nahradit každé voláni authconfig ekvivalentem authselectu, abyste zvolili správný profil s požadovanými vlastnostmi. Potřebujete rovně zapsat konfigurační soubor pro vyžadovanou službu.

Table 1. Vztah voleb authconfig k profilům authselectu

Authconfig options Authselect profile
--enableldap --enableldapauth sssd
--enablesssd --enablesssdauth sssd
--enablekrb5 sssd
--enablewinbind --enablewinbindauth winbind
--enablenis none

Table 2. Vztah voleb authconfig k vlastnostem profilům authselectu

Authconfig options Authselect profile feature
--enablesmartcard with-smartcard
--enablefingerprint with-fingerprint
--enablemkhomedir with-mkhomedir
--enablefaillock with-faillock
--enablepamaccess with-pamaccess
--enablewinbindkrb5 with-krb5
--enableshadow none
--passalgo none


Note

Authconfig options --enableshadow and --passalgo=sha512 were often used to make sure that passwords are stored in /etc/shadow using sha512 algorithm. The authselect profiles now use the sha512 hashing method and it cannot be changed through an option (only by creating a custom profile). You can just omit these options.

Příklady.

authconfig --enableldap --enableldapauth --enablefaillock --updateall
authselect select sssd with-faillock
authconfig --enablesssd --enablesssdauth --enablesmartcard --smartcardmodule=sssd --updateall
authselect select sssd with-smartcard
authconfig --enablepamaccess --updateall
authselect select sssd with-pamaccess
authconfig --enablewinbind --enablewinbindauth --winbindjoin=Administrator --updateall
realm join -U Administrator --client-software=winbind WINBINDDOMAIN

KONFIGURAčNí SOUBORY

Tato podkapitola obsahuje úryvky minimální konfigurace různých služeb.

LDAP

Even if LDAP is not directly used through pam_ldap and nss_ldap, it is still useful to configure ldap.conf to configure openldap-libs and indirectly, e.g. LDAP tools such as ldapsearch.

/etc/openldap/ldap.conf.

# Nastavení výchozího bázového dn
BASE   dc=example,dc=com
# Nastavení výchozího serveru LDAP
URI    ldap://ldap.example.com ldap://ldap-master.example.com:666

KERBEROS

If you use Kerberos, the default Kerberos realm should be configured in order for krb5-libs and therefore tools such as kinit to work out of the box.

/etc/krb5.conf.

[libdefaults]

default_realm = MYREALM [realms]
MYREALM = {
kdc = kdc.myrealm.org
} [domain_realm]
myrealm.org = MYREALM
.myrealm.org = MYREALM

SSSD

Authselect povzbuzuje uživatele, aby používali SSSD všude kde je to možné. Existuje mnoho konfiguračních voleb, viz sssd.conf(5). Zde máte minimální konfiguraci, která vytvoří jednu doménu LDAP s názvem default. Server LDAP je objevován automaticky přes vyhledávání DNS.

/etc/sssd/sssd.conf.

[sssd]
config_file_version = 2
domains = default
[domain/default]
id_provider = ldap
ldap_uri = _srv_
dns_discovery_domain = myrealm

A zde je úryvek konfigurace pro stejnou doménu, ale autentizace se nyní provádí přes Kerberos. Server KDC je objevován automaticky přes vyhledávání DNS.

/etc/sssd/sssd.conf.

[sssd]
config_file_version = 2
domains = default
[domain/default]
id_provider = ldap
auth_provider = krb5
ldap_uri = _srv_
krb5_server = _srv_
krb5_realm = MYREALM
dns_discovery_domain = myrealm

Přejete-li si nakonfigurovat SSSD pro doménu IPA nebo Active Directory, použijte nástroj realm. Ten provede počáteční nastavení, které v sobě zahrnuje vytvoření keytab Kerberos a základní konfigurace SSSD. Lze ji pak dovylepšit úpravou /etc/sssd/sssd.conf.

WINBIND

Chcete-li nakonfigurovat stroj tak, aby používal Winbind, využijte realm. Ten provede počáteční nastavení, které v sobě zahrnuje vytvoření keytab Kerberos a spuštění adcli pro připojení k doméně. Rovněž provede změny v smb.conf. Nastavení pak lze dovylepšít úpravou /etc/samba/smb.conf.

NIS

Je několik míst, které je nutné nakonfigurovat, aby autentizace pomocí NIS fungovala. Nejprve potřebujete nastavit doménu NIS a volitelně také server NIS v /etc/yp.conf.

/etc/yp.conf.

domain mydomain broadcast
# or
# domain mydomain server myserver

Doménu NIS je nutné nastavit rovněž v síťové konfiguraci systému.

/etc/sysconfig/network.

NISDOMAIN=mydomain

Nyní lze nastavit název domény s pomocí příkazové řádky a není tak nutné restartovat celý systém. Dále může být nezbytné povolit NIS v selinuxu.

$ domainname mydomain
$ setsebool -P allow_ypbind 1

KVALITA HESLA

Authselect umožňuje modulu pam_pwquality prosazovat omezení pro kvalitu hesla. Tento modul je povolen pouze pro místní uživatele. Vzdálení uživatelé by měly používat politiku hesel, která je prosazována příslušným vzdáleným serverem.

Modul pam_pwquality lze nakonfigurovat v /etc/security/pwquality.conf. Jeho konfigurační volby a výchozí hodnoty viz pam_pwquality(8).

SPOUŠTĚNÍ SLUŽEB

V závislosti na konfiguraci potřebujete ručně spustit požadované služby s pomocí systemd.

•SSSD

systemctl enable sssd.service ; systemctl start sssd.service

•Winbind

systemctl enable winbind.service ; systemctl start winbind.service

•NIS

systemctl enable rpcbind.service ; systemctl start rpcbind.service
systemctl enable ypbind.service ; systemctl start ypbind.service

•Je-li povolena vlastnost mkhomedir

systemctl enable oddjobd.service ; systemctl start oddjobd.service

NÁSTROJE AUTHCONFIG

Authconfig poskytuje nástroj s názvem cacertdir_rehash. Pokud na tomto nástroji závisíte, prosíme, přejděte na původní příkaz openssl: openssl rehash <directory>, který slouží stejnému účelu.

VIZ TÉŽ

authselect(8), authselect-profiles(5), realm(8), ipa-client-install(1), sssd.conf(5), smb.conf(5), ldap.conf(5), krb5.conf(5)

2021-06-05