Obtenha sudoers através do LDAP (SUSE Linux Enterprise Server 12)

3

Eu tenho um problema com a minha configuração LDAP no SUSE Linux Enterprise Server 12.

Como muitos de vocês sabem, o arquivo ldap.conf foi substituído pelo sssd.conf e alguns outros arquivos conf como nsswitch.conf.

Eu quero ter autenticação por meio do LDAP, escolhendo usuários de uma unidade organizacional específica. Eu também preciso obter a definição para sudoers através do LDAP. Eu nunca trabalhei com o sssd antes.

Minha configuração atual do NSS é a seguinte:

passwd: files ldap
shadow: files ldap
group:  files ldap

hosts:  files dns
networks:       files

services:       files
protocols:      files
rpc:    files
ethers: files
netmasks:       files
netgroup:       files nis
publickey:      files

bootparams:     files
automount:      files nis
aliases:        files
passwd_compat:  files
group_compat:   files
sudoers:        ldap files [I added this line]

E aqui está o meu sssd.conf:

[sssd]
config_file_version = 2
services = nss, pam
domains = *****
sbus_timeout = 30

[nss]
filter_users = root
filter_groups = root
reconnection_retries = 3
entry_cache_timeout = 300
entry_cache_nowait_percentage = 75

[pam]

[domain/GuH]
id_provider = ldap
auth_provider = ldap
ldap_schema = rfc2307bis
ldap_user_object_class = posixAccount
debug_level = 20
#access_provider = ldap
ldap_uri = ldap://******.de
ldap_search_base = o=***
create_homedir = truei
ldap_tls_cacert = /etc/sssd/certs/*******.pem
ldap_tls_cacertdir = /etc/sssd/certs
ldap_id_use_start_tls = true
ldap_default_bind_dn = cn=********,o=guh
ldap_default_authtok_type = *******
ldap_default_authtok = *********
ldap_user_member_of = *********
ldap_group_name = cn=*******,ou=*******,ou=******,o=******

Apenas assuma que os * são colocados corretamente.

Além disso, há alguma coisa para fazer em um arquivo de configuração do PAM? Eu não vi ninguém abordar isso ainda.

    
por Meerkat 14.09.2016 / 12:37

1 resposta

0

Este passo a passo funcionou para mim no Ubuntu 14.04. Além disso, a página Redhat referenciada na comentários não parecem mais referenciar authconfig . Os destaques são:

  • Se o seu LDAP não incluir um, importe um esquema de sudoers (por exemplo, schema.ActiveDirectory é exigido pelo Active Directory)
  • Crie regras seguindo a página man do sudoers-ldap (no Active Directory, usando uma ferramenta como o ADSI Edit)
  • Atualize etc/nsswitch.conf para incluir sss entre os sudoers =
  • Atualize etc/sssd/sssd.conf para incluir:
    • sudo entre os services =
    • a sudo_provider = line (no meu caso ad para o Active Directory, mas possivelmente ldap )
    • uma seção [sudo] vazia (não são necessárias configurações, mas o Redhat afirma que isso aciona a configuração adequada do suporte do sudo)

Muitas pessoas tiveram problemas devido a bugs em várias partes da pilha, então veja esta resposta e esta pergunta se você tiver algum problema. FWIW estas instruções me forneceram informações de depuração suficientes para confirmar que as regras estavam fluindo até o sudo, especificamente:

  • Adicione as seguintes linhas ao /etc/sudo.conf:

    Debug sudo /var/log/sudo_debug.log all@debug
    Debug sudoers.so /var/log/sudo_debug.log all@debug
    
  • Execute o comando sudo como o usuário que você deseja depurar

por 20.06.2017 / 21:28