CentOS : authentification LDAP avec SSSD

Boris HUISGEN May 29, 2013

administration système centos ldap sssd

Depuis la version 6, CentOS repose sur SSSD (System Security Services Daemon) pour son système d’authentification externe. Celui-ci remplace nss_ldap, pam_ldap et nslcd, devenus obsolètes et inopérationnels.

Les étapes qui suivent constituent un guide de mise en place rapide pour une authentification LDAP :

[root@vm-pmtac ~]# yum install sssd

[root@vm-pmtac ~]# authconfig --enablesssd --enablesssdauth --enablelocauthorize --update
[root@vm-pmtac ~]# vim /etc/sssd/sssd.conf

[domain/default]
id_provider = ldap
auth_provider = ldap
chpass_provider = ldap
ldap_uri = ldaps://ldap.domain.lu
ldap_default_bind_dn = uid=auth-account,ou=user,ou=built-in,dc=domain,dc=lu
ldap_default_authtok = secret
ldap_default_authtok_type = password
ldap_id_use_start_tls = False
ldap_tls_reqcert = never
ldap_search_base = dc=domain,dc=lu
cache_credentials = True
cache_sensitive = False
enumerate = True

[sssd]
services = nss, pam
config_file_version = 2
domains = default

[nss]
filter_users = root,ldap,named,avahi,haldaemon,dbus,radiusd,news,nscd

[pam]

[sudo]

[autofs]

[ssh]

[pac]

Dans le cas où nscd est utilisé, il est nécessaire de désactiver la mise en cache des mots de passe et groupes, étant donné que sssd effectue dèjà cette tâche :

[root@vm-pmtac ~]# vim /etc/nscd.conf

enable-cache            passwd          yes
enable-cache            group           yes

Reste à redémarrer le démon :

[root@vm-pmtac ~]# /etc/init.d/sssd restart

En cas d’échec d’authentification, il est préférable de le lancer en mode interactif :

[root@vm-pmtac ~]# /etc/init.d/sssd stop
[root@vm-pmtac ~]# sssd -i -d 7

See also

Pgina : authentification modulaire pour Windows
Read more
OpenVPN : authentification LDAP
Read more
Debian : serveur de fichiers AFP avec gestion LDAP
Read more