Archives pour la catégorie ‘CentOS’

Fleet : déploiement d’un service global avec une template

# vim zabbix@.service
[Unit]
Description=zabbix %i
Requires=docker.service
After=docker.service

[Service]
ExecStartPre=-/usr/bin/docker kill zabbix%i
ExecStartPre=-/usr/bin/docker rm zabbix%i
ExecStartPre=/usr/bin/docker pull bhuisgen/docker-zabbix-coreos
ExecStart=/usr/bin/docker run --name zabbix%i -p 1050%i:10050 -v /var/run/docker.sock:/coreos/var/run/docker.sock -v /proc:/coreos/proc:ro -v /sys:/coreos/sys:ro -v /dev:/coreos/dev:ro -v /dev/log:/dev/log --restart=always bhuisgen/docker-zabbix-coreos zabbix%i.my.domain 80.81.82.83
ExecStop=/usr/bin/docker stop zabbix%i
TimeoutStartSec=900

[X-Fleet]
Global=true
# export FLEETCTL_TUNNEL="cluster.my.domain"
# fleetctl submit zabbix@.service
# fleetctl load zabbix@.service
# fleetctl start zabbix@{0..4}

CentOS : lenteur des logins SSH

L’authentification GSS ralentit l’établissement des connexions SSH sous CentOS 6; la désactivation permet de corriger le problème :

# GSSAPI options
#GSSAPIAuthentication yes
#GSSAPICleanupCredentials yes

CentOS : authentification LDAP avec SSSD

Depuis la version 6, CentOS repose sur SSSD (System Security Services Daemon) pour son système d’authentification externe. Celui-ci remplace nss_ldap, pam_ldap et nslcd, devenus obsolètes et inopérationnels.

Les étapes qui suivent constituent un guide de mise en place rapide pour une authentification LDAP :

[root@vm-pmtac ~]# yum install sssd
[root@vm-pmtac ~]# authconfig --enablesssd --enablesssdauth --enablelocauthorize --update
[root@vm-pmtac ~]# nano /etc/sssd/sssd.conf
[domain/default]
id_provider = ldap
auth_provider = ldap
chpass_provider = ldap
ldap_uri = ldaps://ldap.domain.lu
ldap_default_bind_dn = uid=auth-account,ou=user,ou=built-in,dc=domain,dc=lu
ldap_default_authtok = secret
ldap_default_authtok_type = password
ldap_id_use_start_tls = False
ldap_tls_reqcert = never
ldap_search_base = dc=domain,dc=lu
cache_credentials = True
cache_sensitive = False
enumerate = True

[sssd]
services = nss, pam
config_file_version = 2
domains = default

[nss]
filter_users = root,ldap,named,avahi,haldaemon,dbus,radiusd,news,nscd

[pam]

[sudo]

[autofs]

[ssh]

[pac]

Dans le cas où nscd est utilisé, il est nécessaire de désactiver la mise en cache des mots de passe et groupes, étant donné que sssd effectue dèjà cette tâche :

[root@vm-pmtac ~]# nano /etc/nscd.conf
enable-cache            passwd          yes
enable-cache            group           yes

Reste à redémarrer le démon :

[root@vm-pmtac ~]# /etc/init.d/sssd restart

En cas d’échec d’authentification, il est préférable de le lancer en mode interactif :

[root@vm-pmtac ~]# /etc/init.d/sssd stop
[root@vm-pmtac ~]# sssd -i -d 7
Haut de page