Linux ldap

Apr 29, 2022 | News, System Integration | 0 commenti

Questa guida è basata sul corrispondente how-to pubblicato sul sito ufficiale di Ubuntu: https://ubuntu.com/server/docs/service-sssd

Installazione e join

Installazione prerequisiti

sudo apt install sssd-ad sssd-tools realmd adcli

Discover del dominio

sudo realm -v discover frosinone.n3tcom.com
Questo comando riporta come output i dettagli del dominio ed i software suggeriti per interagire con esso:

$ sudo realm -v discover mydomain.com
 * Resolving: _ldap._tcp.mydomain.com
 * Performing LDAP DSE lookup on: 192.168.168.150
 * Performing LDAP DSE lookup on: 192.168.168.151
 * Successfully discovered: mydomain.com
mydomain.com
  type: kerberos
  realm-name: MYDOMAIN.COM
  domain-name: mydomain.com
  configured: no
  server-software: active-directory
  client-software: sssd
  required-package: sssd-tools
  required-package: sssd
  required-package: libnss-sss
  required-package: libpam-sss
  required-package: adcli
  required-package: samba-common-bin

Join al dominio

sudo realm join -v [-U <domain_admin_user>] mydomain.com

Per default, al momento del join viene chiesta la password dell’utente administrator; per usare un utente differente, specificarlo con l’opzione -U.

Configurazione

Servizio SSSD

Il file di configurazione del servizio SSSD è: /etc/sssd/sssd.conf
La configurazione è stata generata automaticamente al momento del join, ma può essere ulteriormente raffinata. Per esempio, possiamo fare in modo che la home directory di default, se non diversamente specificata dagli attributi POSIX dell’account utente, sia del tipo /home/mydomain/<nomeutente>:

fallback_homedir = /home/mydomain/%u

Per evitare che al prompt della shell compaia il fully qualified name dell’utente (ad esempio jsmith@mydomain.com) si può impostare:

use_fully_qualified_names = False

In alternativa alla precedente, si potrebbe usare anche full_name_format = %1$s

Per restringere l’accesso solo ad utenti che rispondono a determinate caratteristiche, si può usare un filtro LDAP:

ad_access_filter = (&(objectClass=person)(memberOf=CN=LinuxAdmins,CN=Users,DC=mydomain,DC=com))

Con il filtro precedente, si consente l’accesso soltanto agli utenti che fanno parte del gruppo Active Directory LinuxAdmins.

Creazione della home directory dell’utente

Se la home specificata per l’utente non esiste, il comportamento di default consiste nell’aprirgli una shell di login nella directory root (/). Per fare in modo che la directory utente venga creata al suo primo login, usiamo il comando:
sudo pam-auth-update --enable mkhomedir

Torna alle NEWS