Scroll to navigation

AUTHSELECT-MIGRATIO(7)   AUTHSELECT-MIGRATIO(7)

NAME

authselect-migration - Een gids voor het migreren van authconfig naar authselect.

BESCHRIJVING

Deze handleidingspagina legt de belangrijkste verschillen uit tussen authconfig, het vorige gereedschap voor het configureren van systeemauthenticatie en identiteitsbronnen, en authselect die het vervangt. Het legt ook uit welke stappen moeten worden gezet voor het migreren van authconfig naar authselect.

BELANGRIJKSTE VERSCHILLEN

Authselect heeft een geheel andere benadering van systeemconfiguratie dan het vorige gereedschap authconfig.

Authconfig doet zijn best om de handmatige wijzigingen van de gebruiker te behouden in de bestanden die het aanmaakt. Het maakt niet alleen PAM-configuratiebestanden en nsswitch.conf aan (voor het instellen van authenticatiemodules en identiteitsbronnen) maar het genereert ook eenvoudige configuratiebestanden voor verscheidene diensten zoals LDAP en Kerberos.

Authselect doet dat allemaal niet. Het maakt naast PAM en nsswitch.conf geen andere configuratiebestanden aan en het belet elke handmatige verandering van de gegenereerde configuratie. Het levert een verzameling bestanden die profielen genoemd worden. Elk profiel beschrijft hoe de uiteindelijke configuratie er uit moet zien en elk profiel kan enigszins aangepast worden met het aan- of uitzetten van bepaalde functies. Als de behoefte ontstaat voor een ander profiel dan wat authselect meelevert, dan heeft de beheerder de mogelijkheid tot het aanmaken van een geheel nieuw profiel om dat met authselect te gebruiken. Zie authselect-profiles(5) voor meer informatie over de profielen.

Dit lijkt misschien een groot nadeel maar het tegengestelde is waar. Authconfig is een zeer oud gereedschap en de programma’s die de benodigde diensten aanbieden zijn met de jaren snel veranderd. Het is doorgaans niet meer nodig om meerdere authenticatiemodules te hebben in PAM en nsswitch.conf, omdat in de overgrote meerderheid van de gebruiksgevallen voorzien wordt door SSSD. Derhalve is het niet nodig ze specifiek toe te voegen of te verwijderen. Ook zijn er betere programma’s om de configuratie van systeemachtergrondprocessen te genereren die u kunnen helpen met het automatiseren van de procedure van toetreden naar een ander domein zoals realm. Tevens geven de meegeleverde profielen ons een complete en concrete systeemconfiguratie die volledig getest kan zijn en veel minder foutgevoelig is. Het is ook veel gemakkelijker een dergelijke configuratie te distribueren over vele systemen.

De meest controversiële verandering is waarschijnlijk dat authselect alleen profielen meelevert voor sssd- en winbind-aanbieders. Deze twee aanbieders ondersteunen alle moderne gebruiksgevallen, van het aanbieden van lokale gebruikers en het verouderde LDAP-domein tot complexe configuraties met IPA- of Active Directory-servers. Deze profielen ondersteunen geen nss-pam-ldapd meer en gebruikers worden aangemoedigd om over te gaan op sssd.

VERBINDEN MET AFGELEGEN DOMEINEN

U kunt ipa-client-install of realm gebruiken om te verbinden met een IPA-domein en realm om te verbinden met een Active Directory-domein. Deze gereedschappen zorgen ervoor dat het correcte authselect-profiel geselecteerd wordt en dat alle achtergrondprocessen en diensten juist geconfigureerd worden.

UW SCRIPTS CONVERTEREN

Als u ipa-client-install of realm gebruikt om te verbinden met een domein, kunt u gewoon elke authconfig-aanroep in uw scripts verwijderen. Als dit niet mogelijk is, moet u elke authconfig-aanroep vervangen door zijn gelijkwaardige authselect-aanroep om een correct profiel met de gewenste functies te selecteren. Dan moet u ook een configuratie-bestand schrijven voor de benodigde diensten.

Table 1. Relatie van authconfig-opties met authselect-profielen

Authconfig options Authselect profile
--enableldap --enableldapauth sssd
--enablesssd --enablesssdauth sssd
--enablekrb5 sssd
--enablewinbind --enablewinbindauth winbind
--enablenis none

Table 2. Relatie van authconfig-opties met profiel-functies van authselect

Authconfig options Authselect profile feature
--enablesmartcard with-smartcard
--enablefingerprint with-fingerprint
--enablemkhomedir with-mkhomedir
--enablefaillock with-faillock
--enablepamaccess with-pamaccess
--enablewinbindkrb5 with-krb5
--enableshadow none
--passalgo none


Note

De authconfig-opties --enableshadow and --passalgo=sha512 werden vaak gebruikt om te verzekeren dat wachtwoorden worden opgeslagen in /etc/shadow met gebruik van het sha512-algoritme. De authselect-profielen gebruiken thans hashing met sha512. Dit kan niet met een optie worden gewijzigd, maar alleen door een eigen profiel aan te maken. U kunt de voornoemde opties gewoon weglaten.

Voorbeelden.

authconfig --enableldap --enableldapauth --enablefaillock --updateall
authselect select sssd with-faillock
authconfig --enablesssd --enablesssdauth --enablesmartcard --smartcardmodule=sssd --updateall
authselect select sssd with-smartcard
authconfig --enablepamaccess --updateall
authselect select sssd with-pamaccess
authconfig --enablewinbind --enablewinbindauth --winbindjoin=Administrator --updateall
realm join -U Administrator --client-software=winbind WINBIND-DOMEIN

CONFIGURATIEBESTANDEN

Deze sectie bevat fragmenten voor minimale configuratie van verschillende services.

LDAP

ldap.conf hoeft niet te worden geconfigureerd voor systeemidentiteit en authenticatiebronnen wanneer het sssd-profiel wordt gebruikt. ldap.conf zou echter moeten worden geconfigureerd wanneer LDAP-gereedschappen zoals ldapsearch worden geïnstalleerd met het pakket openldap-clients.

/etc/openldap/ldap.conf.

# Instellen van de standaard basis dn
BASE   dc=example,dc=com
# Instellen van de standaard LDAP-server
URI    ldap://ldap.example.com ldap://ldap-master.example.com:666

KERBEROS

Als u Kerberos gebruikt, dan moet de standaard Kerberos-realm geconfigureerd worden. Opdat krb5-libs en daarmee ook gereedschappen zoals kinit meteen werken.

/etc/krb5.conf.

[libdefaults]

default_realm = MYREALM [realms]
MYREALM = {
kdc = kdc.myrealm.org
} [domain_realm]
myrealm.org = MYREALM
.myrealm.org = MYREALM

SSSD

Authselect moedigt gebruikers aan om waar mogelijk SSSD te gebruiken. Er zijn veel configuratie-opties, zie sssd.conf(5). Dit is een minimale configuratie die een LDAP-domein met de naam default aanmaakt. De LDAP-server wordt automatisch gevonden met DNS-verzoeken.

/etc/sssd/sssd.conf.

[sssd]
config_file_version = 2
domains = default
[domain/default]
id_provider = ldap
ldap_uri = _srv_
dns_discovery_domain = myrealm

En hier volgt een configuratiefragment voor hetzelfde domein maar nu wordt de authenticatie uitgevoerd met Kerberos. De KDC-server wordt automatisch gevonden via DNS-verzoeken.

/etc/sssd/sssd.conf.

[sssd]
config_file_version = 2
domains = default
[domain/default]
id_provider = ldap
auth_provider = krb5
ldap_uri = _srv_
krb5_server = _srv_
krb5_realm = MYREALM
dns_discovery_domain = myrealm

Als u SSSD wilt configureren voor een IPA- of Active Directory-domein, gebruik dan het realm-gereedschap. Dit zal een initiële configuratie uitvoeren, wat inhoudt het aanmaken van een Kerberos sleuteltab en het genereren van een basale SSSD-configuratie. U kunt het daarna optimaliseren door /etc/sssd/sssd.conf te modificeren.

WINBIND

Als u de machine wilt configureren om Winbind te gebruiken, gebruik dan realm. Deze zal een initiële configuratie uitvoeren, wat inhoudt het aanmaken van een Kerberos sleuteltab en het uitvoeren van adcli om toe te treden tot het domein. Het wijzigt ook smb.conf. U kunt het daarna optimaliseren door /etc/samba/smb.conf te modificeren.

NIS

Er zijn enkele zaken die geconfigureerd moeten worden om NIS-authenticatie te laten werken. U moet namelijk een NIS-domein en desgewenst ook een NIS-server instellen in /etc/yp.conf.

/etc/yp.conf.

domain mydomain broadcast
# of
# domain mydomain server myserver

NIS-domein moet ook ingesteld worden in de systeemnetwerkconfiguratie.

/etc/sysconfig/network.

NISDOMAIN=mydomain

Welnu, u kunt de domeinnaam instellen op de commandoregel dus is het niet nodig uw systeem te herstarten. Tevens kan het nodig zijn om NIS in selinux aan te zetten.

$ domainname mydomain
$ setsebool -P allow_ypbind 1

WACHTWOORDKWALITEIT

Authselect zet de module pam_pwquality aan om kwaliteitseisen aan wachtwoorden op te leggen. Deze module wordt alleen voor lokale gebruikers aangezet. Afgelegen gebruikers moeten het wachtwoordbeleid volgen dat op hun afgelegen server wordt afgedwongen.

De module pam_pwquality kan geconfigureerd worden in /etc/security/pwquality.conf. Zie pam_pwquality(8) voor de instelmogelijkheden en de standaardwaarden.

DIENSTEN OPSTARTEN

Afhankelijk van uw configuratie, moet u de benodigde diensten handmatig starten met systemd.

•SSSD

systemctl enable sssd.service ; systemctl start sssd.service

•Winbind

systemctl enable winbind.service ; systemctl start winbind.service

•NIS

systemctl enable rpcbind.service ; systemctl start rpcbind.service
systemctl enable ypbind.service ; systemctl start ypbind.service

•Als de mkhomedir-functie aangezet is

systemctl enable oddjobd.service ; systemctl start oddjobd.service

AUTHCONFIG-GEREEDSCHAPPEN

Authconfig leverde een gereedschap genaamd cacertdir_rehash mee. Als u afhankelijk bent van dit gereedschap, stapt u dan over op uw systeemeigen openssl commando: openssl rehash <directory> dat hetzelfde doel dient.

ZIE OOK

authselect(8), authselect-profiles(5), realm(8), ipa-client-install(1), sssd.conf(5), smb.conf(5), ldap.conf(5), krb5.conf(5)

2021-06-05