AUTHSELECT-MIGRATIO(7) | AUTHSELECT-MIGRATIO(7) |
NAME¶
authselect-migration - Guía de migración de authconfig a authselect.
DESCRIPCIÓN¶
En esta página se explican las diferencias más importantes entre authconfig (la herramienta anterior de configuración de fuentes de identidad y autenticación) y authconfig, que reemplaza a la primera. También se explican las acciones a realizar para migrar de una a otra.
DIFERENCIAS PRINCIPALES¶
Authselect usa un enfoque completamente diferente al de authconfig.
Authconfig hace todo lo posible para mantener los cambios que el usuario pueda haber realizado manualmente sobre los archivos que genera. Además de los archivos de configuración de PAM y nsswitch.conf (para los módulos de autenticación y las fuentes de identidad) también genera archivos simples para otros servicios, como LDAP y Kerberos.
Authselect no hace nada de eso. Sólo genera los archivos de configuración de PAM y nsswitch.conf, y prohíbe cambios manuales. Proporciona un conjunto de archivos llamados perfiles. Cada perfil describe cómo debe quedar la configuración final y permite cierta variación mediante la activación de características opcionales. En caso necesario, el administrado puede crear un nuevo perfil y usarlo con authselect. Consulte authselect-profiles(5) para más información sobre los perfiles.
Puede parecer una desventaja, pero es justo lo contrario. Authconfig es una herramienta antigua y las aplicaciones que proporcionan los servicios han cambiado mucho con los años. Normalmente ya no hay necesidad de tener varios módulos de autenticación en PAM y nsswitch.conf, pues SSSD cubre por sí solo la mayoría de casos, así que no hace falta añadirlos o quitarlos individualmente. Y hay herramientas mejores para generar la configuración de servicios que permiten la unión a dominios remotos, como realm. Además los perfiles incluidos dan una configuración completa y determinista que se puede probar y es menos propensa a errores. También es más fácil distribuir esa configuración entre varios sistemas.
Probablemente el cambio más controvertido sea que authselect sólo incluye perfiles para sssd y winbind. Con ellos se cubren todas las necesidades modernas, desde los usuarios locales y dominios LDAP antiguos hasta configuraciones complejas con servidores IPA o Active Directory. Los perfiles ya no son incluyen soporte para nss-pam-ldapd y se recomienda a los usuarios cambiar a sssd.
UNIÓN A DOMINIOS REMOTOS¶
Puede usar ipa-client-install`o `realm para unirse a un dominio IPA, y realm para unirse a un dominio Active Directory. Estas herramientas se asegurarán de que esté seleccionado el perfil authselect correcto y de que todos los servicios y demonios estén bien configurados.
CONVERSIÓN DE GUIONES¶
Si usa ipa-client-install o realm para unirse a un dominio, puede eliminar las llamadas a authconfig de sus guiones. Si no cuenta con esta opción tendrá que cambiar cada llamada a authconfig por la equivalente a authselect para elegir un perfil con las características que necesite. Después tendrá que escribir además los archivos de configuración de los respectivos servicios.
Table 1. Transformación de opciones de authconfig en perfiles de authselect
Authconfig options | Authselect profile |
--enableldap --enableldapauth | sssd |
--enablesssd --enablesssdauth | sssd |
--enablekrb5 | sssd |
--enablewinbind --enablewinbindauth | winbind |
--enablenis | none |
Table 2. Transformación de opciones de authconfig en características de perfiles de authselect
Authconfig options | Authselect profile feature |
--enablesmartcard | with-smartcard |
--enablefingerprint | with-fingerprint |
--enablemkhomedir | with-mkhomedir |
--enablefaillock | with-faillock |
--enablepamaccess | with-pamaccess |
--enablewinbindkrb5 | with-krb5 |
--enableshadow | none |
--passalgo | none |
Note
Authconfig options --enableshadow and --passalgo=sha512 were often used to make sure that passwords are stored in /etc/shadow using sha512 algorithm. The authselect profiles now use the sha512 hashing method and it cannot be changed through an option (only by creating a custom profile). You can just omit these options.
Ejemplos.
authconfig --enableldap --enableldapauth --enablefaillock --updateall authselect select sssd with-faillock authconfig --enablesssd --enablesssdauth --enablesmartcard --smartcardmodule=sssd --updateall authselect select sssd with-smartcard authconfig --enablepamaccess --updateall authselect select sssd with-pamaccess authconfig --enablewinbind --enablewinbindauth --winbindjoin=Administrador --updateall realm join -U Administrador --client-software=winbind DOMINIOWINBIND
ARCHIVOS DE CONFIGURACIÓN¶
Esta sección contiene fragmentos para una mínima configuración de varios servicios.
LDAP¶
Incluso si no se usa LDAP directamente mediante pam_ldap y nss_ldap, sigue siendo útil configurar ldap.conf para openldap-libs e indirectamente otras herramientas como ldapsearch.
/etc/openldap/ldap.conf.
# El dn base predeterminado BASE dc=example,dc=com # El servidor LDAP predeterminado URI ldap://ldap.example.com ldap://ldap-master.example.com:666
KERBEROS¶
Si usa Kerberos, debe configurar el entorno predeterminado para que funcionen krb5-libs y por tanto herramientas como kinit.
/etc/krb5.conf.
[libdefaults]
default_realm = MIENTORNO [realms]
MIENTORNO = {
kdc = kdc.myrealm.org
} [domain_realm]
myrealm.org = MIENTORNO
.myrealm.org = MIENTORNO
SSSD¶
Authselect recomienda usar SSSD siempre que sea posible. Hay muchas opciones de configuración, consulte sssd.conf(5). Esta es una configuración mínima que crea un dominio LDAP llamado dominio. El servidor LDAP se encuentra automáticamente mediante DNS.
/etc/sssd/sssd.conf.
[sssd] config_file_version = 2 domains = dominio [domain/dominio] id_provider = ldap ldap_uri = _srv_ dns_discovery_domain = mientorno
Y este es un fragmento para el mismo dominio pero con autenticación mediante Kerberos. El servidor KDC se encuentra mediante DNS.
/etc/sssd/sssd.conf.
[sssd] config_file_version = 2 domains = dominio [domain/dominio] id_provider = ldap auth_provider = krb5 ldap_uri = _srv_ krb5_server = _srv_ krb5_realm = MIENTORNO dns_discovery_domain = mientorno
Si quiere configurar SSSD para usar un dominio IPA o Active Directory, use la herramienta realm. Hará la configuración inicial de creación de claves Kerberos y configuración básica de SSSD. Después puede ajustarla editando /etc/sssd/sssd.conf.
WINBIND¶
Si quiere configurar su equipo para usar Winbind, utilice realm. Hará la configuración inicial de creación de claves Kerberos y ejecutará adcli para unirse al dominio. También modifica smb.conf. Después puede ajustar la configuración editando /etc/samba/smb.conf.
NIS¶
Hay que modificar varios archivos para que funcione la autenticación NIS. Primero debe establecer el dominio NIS y opcionalmente el servidor NIS en /etc/yp.conf.
/etc/yp.conf.
domain midominio broadcast # o, si indica el servidor: # domain midominio server miservidor
El servidor NIS también debe indicarse en la configuración de red.
/etc/sysconfig/network.
NISDOMAIN=midominio
Ahora puede establecer el nombre de dominio desde la línea de órdenes, sin necesidad de reiniciar el sistema. Además puede ser necesario activar NIS en selinux.
$ domainname midominio $ setsebool -P allow_ypbind 1
CALIDAD DE CONTRASEÑAS¶
Authselect activa el módulo pam_pwquality para imponer restricciones de calidad en las contraseñas. El módulo sólo se habilita para los usuarios locales. Los usuarios remotos deberán atenerse a la política de claves impuesta por el servidor remoto correspondiente.
El módulo pam_pwquality se configura en /etc/security/pwquality.conf. Consulte pam_pwquality(8) para ver las opciones disponibles y sus valores predeterminados.
INICIO DE SERVICIOS¶
Según la configuración, tendrá que iniciar manualmente los servicios necesarios mediante systemd.
systemctl enable sssd.service ; systemctl start sssd.service
systemctl enable winbind.service ; systemctl start winbind.service
systemctl enable rpcbind.service ; systemctl start rpcbind.service systemctl enable ypbind.service ; systemctl start ypbind.service
systemctl enable oddjobd.service ; systemctl start oddjobd.service
HERRAMIENTAS AUTHCONFIG¶
Authconfig incluía una herramienta llamada cacertdir_rehash. Si la usa, cambie al comando nativo de openssl: openssl rehash <directorio>, que da el mismo servicio.
VÉASE TAMBIÉN¶
authselect(8), authselect-profiles(5), realm(8), ipa-client-install(1), sssd.conf(5), smb.conf(5), ldap.conf(5), krb5.conf(5)
2021-06-05 |