AUTHSELECT-MIGRATIO(7) | AUTHSELECT-MIGRATIO(7) |
NAME¶
authselect-migration - Een gids voor het migreren van authconfig naar authselect.
BESCHRIJVING¶
Deze handleidingspagina legt de belangrijkste verschillen uit tussen authconfig, het vorige gereedschap voor het configureren van systeemauthenticatie en identiteitsbronnen, en authselect die het vervangt. Het legt ook uit welke stappen moeten worden gezet voor het migreren van authconfig naar authselect.
BELANGRIJKSTE VERSCHILLEN¶
Authselect heeft een geheel andere benadering van systeemconfiguratie dan het vorige gereedschap authconfig.
Authconfig doet zijn best om de handmatige wijzigingen van de gebruiker te behouden in de bestanden die het aanmaakt. Het maakt niet alleen PAM-configuratiebestanden en nsswitch.conf aan (voor het instellen van authenticatiemodules en identiteitsbronnen) maar het genereert ook eenvoudige configuratiebestanden voor verscheidene diensten zoals LDAP en Kerberos.
Authselect doet dat allemaal niet. Het maakt naast PAM en nsswitch.conf geen andere configuratiebestanden aan en het belet elke handmatige verandering van de gegenereerde configuratie. Het levert een verzameling bestanden die profielen genoemd worden. Elk profiel beschrijft hoe de uiteindelijke configuratie er uit moet zien en elk profiel kan enigszins aangepast worden met het aan- of uitzetten van bepaalde functies. Als de behoefte ontstaat voor een ander profiel dan wat authselect meelevert, dan heeft de beheerder de mogelijkheid tot het aanmaken van een geheel nieuw profiel om dat met authselect te gebruiken. Zie authselect-profiles(5) voor meer informatie over de profielen.
Dit lijkt misschien een groot nadeel maar het tegengestelde is waar. Authconfig is een zeer oud gereedschap en de programma’s die de benodigde diensten aanbieden zijn met de jaren snel veranderd. Het is doorgaans niet meer nodig om meerdere authenticatiemodules te hebben in PAM en nsswitch.conf, omdat in de overgrote meerderheid van de gebruiksgevallen voorzien wordt door SSSD. Derhalve is het niet nodig ze specifiek toe te voegen of te verwijderen. Ook zijn er betere programma’s om de configuratie van systeemachtergrondprocessen te genereren die u kunnen helpen met het automatiseren van de procedure van toetreden naar een ander domein zoals realm. Tevens geven de meegeleverde profielen ons een complete en concrete systeemconfiguratie die volledig getest kan zijn en veel minder foutgevoelig is. Het is ook veel gemakkelijker een dergelijke configuratie te distribueren over vele systemen.
De meest controversiële verandering is waarschijnlijk dat authselect alleen profielen meelevert voor sssd- en winbind-aanbieders. Deze twee aanbieders ondersteunen alle moderne gebruiksgevallen, van het aanbieden van lokale gebruikers en het verouderde LDAP-domein tot complexe configuraties met IPA- of Active Directory-servers. Deze profielen ondersteunen geen nss-pam-ldapd meer en gebruikers worden aangemoedigd om over te gaan op sssd.
VERBINDEN MET AFGELEGEN DOMEINEN¶
U kunt ipa-client-install of realm gebruiken om te verbinden met een IPA-domein en realm om te verbinden met een Active Directory-domein. Deze gereedschappen zorgen ervoor dat het correcte authselect-profiel geselecteerd wordt en dat alle achtergrondprocessen en diensten juist geconfigureerd worden.
UW SCRIPTS CONVERTEREN¶
Als u ipa-client-install of realm gebruikt om te verbinden met een domein, kunt u gewoon elke authconfig-aanroep in uw scripts verwijderen. Als dit niet mogelijk is, moet u elke authconfig-aanroep vervangen door zijn gelijkwaardige authselect-aanroep om een correct profiel met de gewenste functies te selecteren. Dan moet u ook een configuratie-bestand schrijven voor de benodigde diensten.
Table 1. Relatie van authconfig-opties met authselect-profielen
Authconfig options | Authselect profile |
--enableldap --enableldapauth | sssd |
--enablesssd --enablesssdauth | sssd |
--enablekrb5 | sssd |
--enablewinbind --enablewinbindauth | winbind |
--enablenis | none |
Table 2. Relatie van authconfig-opties met profiel-functies van authselect
Authconfig options | Authselect profile feature |
--enablesmartcard | with-smartcard |
--enablefingerprint | with-fingerprint |
--enablemkhomedir | with-mkhomedir |
--enablefaillock | with-faillock |
--enablepamaccess | with-pamaccess |
--enablewinbindkrb5 | with-krb5 |
--enableshadow | none |
--passalgo | none |
Note
De authconfig-opties --enableshadow and --passalgo=sha512 werden vaak gebruikt om te verzekeren dat wachtwoorden worden opgeslagen in /etc/shadow met gebruik van het sha512-algoritme. De authselect-profielen gebruiken thans hashing met sha512. Dit kan niet met een optie worden gewijzigd, maar alleen door een eigen profiel aan te maken. U kunt de voornoemde opties gewoon weglaten.
Voorbeelden.
authconfig --enableldap --enableldapauth --enablefaillock --updateall authselect select sssd with-faillock authconfig --enablesssd --enablesssdauth --enablesmartcard --smartcardmodule=sssd --updateall authselect select sssd with-smartcard authconfig --enablepamaccess --updateall authselect select sssd with-pamaccess authconfig --enablewinbind --enablewinbindauth --winbindjoin=Administrator --updateall realm join -U Administrator --client-software=winbind WINBIND-DOMEIN
CONFIGURATIEBESTANDEN¶
Deze sectie bevat fragmenten voor minimale configuratie van verschillende services.
LDAP¶
ldap.conf hoeft niet te worden geconfigureerd voor systeemidentiteit en authenticatiebronnen wanneer het sssd-profiel wordt gebruikt. ldap.conf zou echter moeten worden geconfigureerd wanneer LDAP-gereedschappen zoals ldapsearch worden geïnstalleerd met het pakket openldap-clients.
/etc/openldap/ldap.conf.
# Instellen van de standaard basis dn BASE dc=example,dc=com # Instellen van de standaard LDAP-server URI ldap://ldap.example.com ldap://ldap-master.example.com:666
KERBEROS¶
Als u Kerberos gebruikt, dan moet de standaard Kerberos-realm geconfigureerd worden. Opdat krb5-libs en daarmee ook gereedschappen zoals kinit meteen werken.
/etc/krb5.conf.
[libdefaults]
default_realm = MYREALM [realms]
MYREALM = {
kdc = kdc.myrealm.org
} [domain_realm]
myrealm.org = MYREALM
.myrealm.org = MYREALM
SSSD¶
Authselect moedigt gebruikers aan om waar mogelijk SSSD te gebruiken. Er zijn veel configuratie-opties, zie sssd.conf(5). Dit is een minimale configuratie die een LDAP-domein met de naam default aanmaakt. De LDAP-server wordt automatisch gevonden met DNS-verzoeken.
/etc/sssd/sssd.conf.
[sssd] config_file_version = 2 domains = default [domain/default] id_provider = ldap ldap_uri = _srv_ dns_discovery_domain = myrealm
En hier volgt een configuratiefragment voor hetzelfde domein maar nu wordt de authenticatie uitgevoerd met Kerberos. De KDC-server wordt automatisch gevonden via DNS-verzoeken.
/etc/sssd/sssd.conf.
[sssd] config_file_version = 2 domains = default [domain/default] id_provider = ldap auth_provider = krb5 ldap_uri = _srv_ krb5_server = _srv_ krb5_realm = MYREALM dns_discovery_domain = myrealm
Als u SSSD wilt configureren voor een IPA- of Active Directory-domein, gebruik dan het realm-gereedschap. Dit zal een initiële configuratie uitvoeren, wat inhoudt het aanmaken van een Kerberos sleuteltab en het genereren van een basale SSSD-configuratie. U kunt het daarna optimaliseren door /etc/sssd/sssd.conf te modificeren.
WINBIND¶
Als u de machine wilt configureren om Winbind te gebruiken, gebruik dan realm. Deze zal een initiële configuratie uitvoeren, wat inhoudt het aanmaken van een Kerberos sleuteltab en het uitvoeren van adcli om toe te treden tot het domein. Het wijzigt ook smb.conf. U kunt het daarna optimaliseren door /etc/samba/smb.conf te modificeren.
NIS¶
Er zijn enkele zaken die geconfigureerd moeten worden om NIS-authenticatie te laten werken. U moet namelijk een NIS-domein en desgewenst ook een NIS-server instellen in /etc/yp.conf.
/etc/yp.conf.
domain mydomain broadcast # of # domain mydomain server myserver
NIS-domein moet ook ingesteld worden in de systeemnetwerkconfiguratie.
/etc/sysconfig/network.
NISDOMAIN=mydomain
Welnu, u kunt de domeinnaam instellen op de commandoregel dus is het niet nodig uw systeem te herstarten. Tevens kan het nodig zijn om NIS in selinux aan te zetten.
$ domainname mydomain $ setsebool -P allow_ypbind 1
WACHTWOORDKWALITEIT¶
Authselect zet de module pam_pwquality aan om kwaliteitseisen aan wachtwoorden op te leggen. Deze module wordt alleen voor lokale gebruikers aangezet. Afgelegen gebruikers moeten het wachtwoordbeleid volgen dat op hun afgelegen server wordt afgedwongen.
De module pam_pwquality kan geconfigureerd worden in /etc/security/pwquality.conf. Zie pam_pwquality(8) voor de instelmogelijkheden en de standaardwaarden.
DIENSTEN OPSTARTEN¶
Afhankelijk van uw configuratie, moet u de benodigde diensten handmatig starten met systemd.
systemctl enable sssd.service ; systemctl start sssd.service
systemctl enable winbind.service ; systemctl start winbind.service
systemctl enable rpcbind.service ; systemctl start rpcbind.service systemctl enable ypbind.service ; systemctl start ypbind.service
systemctl enable oddjobd.service ; systemctl start oddjobd.service
AUTHCONFIG-GEREEDSCHAPPEN¶
Authconfig leverde een gereedschap genaamd cacertdir_rehash mee. Als u afhankelijk bent van dit gereedschap, stapt u dan over op uw systeemeigen openssl commando: openssl rehash <directory> dat hetzelfde doel dient.
ZIE OOK¶
authselect(8), authselect-profiles(5), realm(8), ipa-client-install(1), sssd.conf(5), smb.conf(5), ldap.conf(5), krb5.conf(5)
2021-06-05 |