Scroll to navigation

AUTHSELECT-MIGRATIO(7)   AUTHSELECT-MIGRATIO(7)

NAME

authselect-migration - authconfig'den authselect'e nasıl geçiş yapılacağı hakkında bir kılavuz.

AÇIKLAMA

Bu kılavuz sayfası, sistem kimlik doğrulamasını ve kimlik kaynaklarını yapılandırmak için kullanılan bir önceki araç olan authconfig ile bunun yerine geçen authselect arasındaki temel farkları açıklamaktadır. Ayrıca authconfig’den authselect’e geçmek için hangi işlemlerin yapılması gerektiğini de açıklamaktadır.

TEMEL FARKLAR

Authselect, sistem yapılandırmasına önceki araç olan authconfig’den tamamen farklı bir şekilde yaklaşmaktadır.

Authconfig, oluşturduğu dosyalarda kullanıcıların yaptığı değişiklikleri korumak için elinden geleni yapar. PAM yapılandırma ve nsswitch.conf dosyalarını (kimlik doğrulama modüllerini ve kimlik kaynaklarını ayarlamak için) oluşturmakla kalmaz, aynı zamanda LDAP ve Kerberos gibi çeşitli hizmetler için basit yapılandırma dosyaları da oluşturur.

Authselect böyle şeyler yapmaz. PAM ve nsswitch.conf haricinde herhangi bir yapılandırma dosyası oluşturmaz ve oluşturulan yapılandırmada elle yapılan değişikliklere kesinlikle izin vermez. Profil adı verilen bir dosya kümesi sağlar. Her profil, ortaya çıkan yapılandırmanın nasıl görünmesi gerektiğini açıklar ve belirli isteğe bağlı özellikler etkinleştirilerek veya devre dışı bırakılarak hafifçe değiştirilebilir. Authselect ile birlikte gelenlerden farklı bir profile ihtiyaç duyulursa, yöneticinin tamamen yeni bir profil oluşturma ve authselect ile bunu kullanma seçeneği vardır. Profiller hakkında daha fazla bilgi edinmek için authselect-profiles(5) sayfasına bakın.

Bu büyük bir dezavantaj gibi görünse de gerçek tam tersidir. Authconfig çok eski bir araçtır ve gerekli hizmetleri sağlayan uygulamalar yıllar içinde hızla değişmiştir. Genellikle, PAM ve nsswitch.conf dosyalarında birden çok kimlik doğrulama modülüne ihtiyaç yoktur, çünkü kullanım durumlarının büyük çoğunluğu SSSD tarafından üstlenilmiştir. Bu nedenle, bunları özel olarak eklemeye veya kaldırmaya gerek yoktur. Ayrıca, realm gibi uzak bir etki alanına katılma sürecini otomatikleştirmenize yardımcı olabilecek sistem hizmetlerinin yapılandırma dosyalarını oluşturmak için daha iyi araçlar da vardır. Ek olarak, birlikte gelen profiller bize tam olarak test edilebilen ve hataya daha az eğilimli olan kapsamlı ve belirleyici sistem yapılandırması sağlar. Bu yapılandırmayı birçok sisteme dağıtmak da çok daha kolaydır.

Muhtemelen en tartışmalı değişiklik, authselect’in yalnızca sssd ve winbind sağlayıcıları için profillerle birlikte gelmesidir. Bu iki sağlayıcı, yerel kullanıcılar ve eski LDAP etki alanlarından IPA veya Active Directory sunucularıyla karmaşık yapılandırmalara kadar tüm modern kullanım durumlarını kapsamaktadır. Profiller artık nss-pam-ldapd için destek içermemektedir ve kullanıcıların sssd’ye geçmeleri tavsiye edilmektedir.

UZAK ETKİ ALANLARINA KATILMA

Bir IPA etki alanına katılmak için ipa-client-install veya realm, ve bir Active Directory etki alanına katılmak için realm araçlarını kullanabilirsiniz. Bu araçlar, doğru authselect profilinin seçilmesini ve tüm arka plan programlarının ve hizmetlerin doğru olarak yapılandırılmasını sağlayacaktır.

BETİKLERİNİZİ DÖNÜŞTÜRME

Bir etki alanına katılmak için ipa-client-install veya realm araçlarını kullanıyorsanız, betiklerinizdeki tüm authconfig çağrılarını kaldırabilirsiniz. Böyle bir seçeneğiniz yoksa, istenen özelliklere sahip doğru bir profil seçmek için her bir authconfig çağrısını eş değer authselect çağrısı ile değiştirmeniz, ardından gerekli hizmetler için yapılandırma dosyası yazmanız gerekmektedir.

Table 1. Authconfig seçeneklerinin authselect profilleriyle ilişkisi

Authconfig options Authselect profile
--enableldap --enableldapauth sssd
--enablesssd --enablesssdauth sssd
--enablekrb5 sssd
--enablewinbind --enablewinbindauth winbind
--enablenis none

Table 2. Authconfig seçeneklerinin authselect profil özellikleriyle ilişkisi

Authconfig options Authselect profile feature
--enablesmartcard with-smartcard
--enablefingerprint with-fingerprint
--enablemkhomedir with-mkhomedir
--enablefaillock with-faillock
--enablepamaccess with-pamaccess
--enablewinbindkrb5 with-krb5
--enableshadow none
--passalgo none


Note

--enableshadow ve --passalgo=sha512 authconfig seçenekleri, parolaların /etc/shadow dosyasında sha512 algoritması kullanılarak saklandığından emin olmak için sıklıkla kullanılırdı. Authselect profilleri artık sha512 şifreleme yöntemini kullanıyor ve bir seçenek aracılığıyla değiştirilemez (yalnızca özel bir profil oluşturarak değiştirilebilir). Bu seçenekleri yalnızca atlayabilirsiniz.

Örnekler.

authconfig --enableldap --enableldapauth --enablefaillock --updateall
authselect select sssd with-faillock
authconfig --enablesssd --enablesssdauth --enablesmartcard --smartcardmodule=sssd --updateall
authselect select sssd with-smartcard
authconfig --enablepamaccess --updateall
authselect select sssd with-pamaccess
authconfig --enablewinbind --enablewinbindauth --winbindjoin=Administrator --updateall
realm join -U Administrator --client-software=winbind WINBINDDOMAIN

YAPILANDIRMA DOSYALARI

Bu bölüm, çeşitli hizmetlerin asgari yapılandırması için parçalar içermektedir.

LDAP

LDAP pam_ldap ve nss_ldap aracılığıyla doğrudan kullanılmasa bile, openldap-libs ve dolaylı olarak ldapsearch gibi LDAP araçlarını yapılandırmak için ldap.conf dosyasını yapılandırmak yine de faydalıdır.

/etc/openldap/ldap.conf.

# Öntanımlı temel etki alanı adını belirle
BASE   dc=example,dc=com
# Öntanımlı LDAP sunucusunu belirle
URI    ldap://ldap.example.com ldap://ldap-master.example.com:666

KERBEROS

Kerberos kullanıyorsanız, krb5-lib ve dolayısıyla kinit gibi araçların doğrudan çalışabilmesi için öntanımlı Kerberos erişim alanının yapılandırılmış olması gerekmektedir.

/etc/krb5.conf.

[libdefaults]

default_realm = ALANIM [realms]
ALANIM = {
kdc = kdc.myrealm.org
} [domain_realm]
myrealm.org = ALANIM
.myrealm.org = ALANIM

SSSD

Authselect, kullanıcıları mümkün olan her yerde SSSD kullanmaya teşvik etmektedir. Birçok yapılandırma seçeneği vardır, sssd.conf(5) sayfasına bakın. Bu, default olarak adlandırılan bir LDAP etki alanı oluşturan asgari bir yapılandırmadır. LDAP sunucusu DNS aramalarıyla otomatik olarak bulunmaktadır.

/etc/sssd/sssd.conf.

[sssd]
config_file_version = 2
domains = default
[domain/default]
id_provider = ldap
ldap_uri = _srv_
dns_discovery_domain = alanim

Ve aşağıda aynı etki alanı için kimlik doğrulamasını Kerberos üzerinden yapan bir yapılandırma örneği verilmiştir. KDC sunucusu DNS aramalarıyla otomatik olarak bulunmaktadır.

/etc/sssd/sssd.conf.

[sssd]
config_file_version = 2
domains = default
[domain/default]
id_provider = ldap
auth_provider = krb5
ldap_uri = _srv_
krb5_server = _srv_
krb5_realm = ALANIM
dns_discovery_domain = alanim

SSSD’yi bir IPA veya Active Directory etki alanı için yapılandırmak istiyorsanız, realm aracını kullanın. Bu, bir Kerberos anahtar tablosu ve temel SSSD yapılandırmasını oluşturmayı içeren bir başlangıç kurulumu gerçekleştirecektir. Daha sonra /etc/sssd/sssd.conf dosyasını değiştirerek istediğiniz ayarlamaları yapabilirsiniz.

WINBIND

Makineyi Winbind kullanacak şekilde yapılandırmak istiyorsanız realm aracını kullanın. Bu, bir Kerberos anahtar tablosu oluşturmayı ve etki alanına katılmak için adcli komutunu çalıştırmayı içeren bir başlangıç kurulumu gerçekleştirecektir. Ayrıca smb.conf dosyasında da değişiklikler yapacaktır. Daha sonra /etc/samba/smb.conf dosyasını değiştirerek istediğiniz ayarlamaları yapabilirsiniz.

NIS

NIS kimlik doğrulamasının çalışması için yapılandırılması gereken birkaç yer vardır. Öncelikle, /etc/yp.conf dosyasında NIS etki alanını ve isteğe bağlı olarak NIS sunucusunu ayarlamanız gerekmektedir.

/etc/yp.conf.

domain alanim broadcast
# veya
# domain alanim server sunucum

NIS etki alanı ayrıca sistem ağ yapılandırmasında ayarlanmalıdır.

/etc/sysconfig/network.

NISDOMAIN=alanim

Artık sisteminizi yeniden başlatmanıza gerek kalmadan etki alanı adını komut satırından ayarlayabilirsiniz. Ek olarak, selinux’te NIS’i etkinleştirmek gerekebilir.

$ domainname alanim
$ setsebool -P allow_ypbind 1

PAROLA KALİTESİ

Authselect, parola kalitesi kısıtlamalarını uygulamak için pam_pwquality modülünü etkinleştirmektedir. Bu modül yalnızca yerel kullanıcılar için etkinleştirilmektedir. Uzak kullanıcılar, ilgili uzak sunucu tarafından uygulanan parola ilkesini kullanmalıdır.

pam_pwquality modülü /etc/security/pwquality.conf dosyasında yapılandırılabilir. Yapılandırma seçeneklerini ve öntanımlı değerlerini görmek için pam_pwquality(8) sayfasına bakın.

HİZMETLERİ BAŞLATMA

Yapılandırmanıza bağlı olarak, gerekli hizmetleri systemd aracılığıyla elle başlatmanız gerekmektedir.

•SSSD

systemctl enable sssd.service ; systemctl start sssd.service

•Winbind

systemctl enable winbind.service ; systemctl start winbind.service

•NIS

systemctl enable rpcbind.service ; systemctl start rpcbind.service
systemctl enable ypbind.service ; systemctl start ypbind.service

•mkhomedir özelliği etkinse

systemctl enable oddjobd.service ; systemctl start oddjobd.service

AUTHCONFIG ARAÇLARI

Authconfig cacertdir_rehash adlı bir araç sağlamaktadır. Bu araca bağımlıysanız, lütfen aynı amaca hizmet eden normal openssl komutuna geçiş yapın: openssl rehash <dizin>

AYRICA BAKIN

authselect(8), authselect-profiles(5), realm(8), ipa-client-install(1), sssd.conf(5), smb.conf(5), ldap.conf(5), krb5.conf(5)

2021-06-05