CentOS : authentification LDAP avec SSSD

Depuis la version 6, CentOS repose sur SSSD (System Security Services Daemon) pour son système d’authentification externe. Celui-ci remplace _nssldap, _pamldap et nslcd, devenus obsolètes et inopérationnels.

Les étapes qui suivent constituent un guide de mise en place rapide pour une authentification LDAP :

[root@vm-pmtac ~]# yum install sssd

[root@vm-pmtac ~]# authconfig --enablesssd --enablesssdauth --enablelocauthorize --update
[root@vm-pmtac ~]# vim /etc/sssd/sssd.conf

[domain/default]
id_provider = ldap
auth_provider = ldap
chpass_provider = ldap
ldap_uri = ldaps://ldap.domain.lu
ldap_default_bind_dn = uid=auth-account,ou=user,ou=built-in,dc=domain,dc=lu
ldap_default_authtok = secret
ldap_default_authtok_type = password
ldap_id_use_start_tls = False
ldap_tls_reqcert = never
ldap_search_base = dc=domain,dc=lu
cache_credentials = True
cache_sensitive = False
enumerate = True

[sssd]
services = nss, pam
config_file_version = 2
domains = default

[nss]
filter_users = root,ldap,named,avahi,haldaemon,dbus,radiusd,news,nscd

[pam]

[sudo]

[autofs]

[ssh]

[pac]

Dans le cas où nscd est utilisé, il est nécessaire de désactiver la mise en cache des mots de passe et groupes, étant donné que sssd effectue dèjà cette tâche :

[root@vm-pmtac ~]# vim /etc/nscd.conf

enable-cache            passwd          yes
enable-cache            group           yes

Reste à redémarrer le démon :

[root@vm-pmtac ~]# /etc/init.d/sssd restart

En cas d’échec d’authentification, il est préférable de le lancer en mode interactif :

[root@vm-pmtac ~]# /etc/init.d/sssd stop
[root@vm-pmtac ~]# sssd -i -d 7