SSSD是紅帽企業版Linux6中新加入的一個守護進程，該進程可以用來訪問多種驗證服務器，如LDAP，Kerberos等，并提供授權。SSSD是介于本地用戶和數據存儲之間的進程，本地客戶端首先連接SSSD，再由SSSD聯系外部資源提供者(一臺遠程服務器)。

這樣做有一些幾點優勢：?

? ?1.避免了本地每個客戶端程序對認證服務器大量連接，所有本地程序僅聯系SSSD，由SSSD連接認證服務器或SSSD緩存，有效的降低了負載。?

? ?2.允許離線授權。SSSD可以緩存遠程服務器的用戶認證身份，這允許在遠程認證服務器宕機時，繼續成功授權用戶訪問必要的資源。

?

?

?下面來介紹下RHEL5.6的配置方法。

客戶端安裝sssd

Yum –y install sssd

?

配置/etc/sssd/sssd/conf

?

domains = test.com

?

?[domain/test.com]

cache_credentials = True

krb5_store_password_if_offline = True

ipa_domain = test.com

id_provider = ipa

auth_provider = ipa

access_provider = ipa

ipa_hostname = ipaclient56.test.com

chpass_provider = ipa

#ipa_dyndns_update = True

ldap_krb5_keytab = /etc/krb5.keytab

ipa_server = _srv_, ipa.test.com

ldap_uri = ldap://172.16.10.158

#debug_level = 4

debug_level = 0xFFF0

ldap_user_search_base = dc=test,dc=com

ldap_group_search_base = dc=test,dc=com

ldap_search_base = dc=test,dc=com

enumerate = true

ldap_schema = IPA

?

.

注：公司環境和我虛擬機環境不同，配置參數也可能不同。

?

配置 [root@ipaclient56 ~]# vim /etc/pam.d/system-auth

?

auth??????? sufficient??? pam_sss.so use_first_pass

…..???? …..??? …….

account???? [default=bad success=ok user_unknown=ignore] pam_sss.so

…..???? …..??? …….

password??? sufficient??? pam_sss.so use_authtok

…..???? …..??? …….

session???? optional????? pam_sss.so

?

?

配置[root@ipaclient56 ~]# vim /etc/nsswitch.conf

?

passwd:???? files sss

shadow:???? files sss

group:????? files sss

……? …….?? ……

netgroup:?? files sss

……?? ……? ……..

aliases:??? ?files nisplus

?

?

關閉nscd

[root@ipaclient56 ~]# service nscd stop

停止 nscd：??????????????????????????????????????????????? [確定]

?

開啟sssd進程

[root@ipaclient56 ~]# service sssd start

啟動 sssd：??????????????????????????????????????????????? [確定]

?

抓取下進程，可以看到正常運行。

[root@ipaclient56 ~]# netstat -antup | grep sssd

tcp??????? 0????? 1 172.16.10.159:44964???????? 50.23.225.49:389??????????? SYN_SENT??? 3856/sssd_be

?

由IPAserver為客戶端生成一個密鑰表

~]# ipa-getkeytab -s ipa.test.com -p host/ipaclient56.test.com -k ipaclient56.keytab

?

把這個密鑰文件復制到sssd客戶端上

Scp ipaclient56.keytab root@ipaclient56.test.com:~/

?

客戶端把這個密鑰文件重命名為krb5.keytab并移動到/etc下

Mv ipaclient56.keytab /etc/krb5.keytab

?

測試登入遠程登入客戶機。

?

問題解決：

?

日志：[sssd[ldap_child[3918]]]: Failed to initialize credentials using keytab [(null)]: Decrypt integrity check failed. Unable to create GSSAPI-encrypted LDAP connection.

?

Failed to initialize credentials using keytab [/etc/krb5.keytab]: Decrypt integrity check failed. Unable to create GSSAPI-encrypted LDAP connection.

?

解決辦法：sssd.conf添加，ldap_krb5_keytab = /etc/krb5.keytab ，IPAserver手動更新客戶端keytab。

?

?

一些參數作用：

ip_domain??可選，指定這個域的名稱，如果沒有，使用配置的域名
ipa_hosename??可選，可能被設置在機器的主機名。
ipa_dyndns_update?可選，這個選項告訴SSSD自動更新DNS服務器內置FreeIPA v2這個客戶機的IP地。默認關閉。true false
???注意:在較舊的系統(如RHEL 5),對于這種行為能穩定可靠地運行,默認在/etc/krb5.conf Kerberos領域必須設置正確。
ipa_dyndns_iface?適用于只有當ipa_dyndns_update是真的。選擇接口的IP地址應該用于動態域名更新。默認使用ip地址IPA LDAP連接。
ipa_host_search_base ?可選，使用給定字符串作為主機搜索基礎對象。默認ldap_search_base 的值。
???參考ldap_search_base配置多個搜索基地。

krb5_realm ??Kerberos領域的名稱。這是可選的,默認為“ipa_domain”的值。
config_file_version ?顯示配置文件的語法版本
reconnection_retries ?服務的次數應該試圖重新連接在發生數據提供程序崩潰或重啟之前放棄　　默認值:3
domains???域是一個數據庫,其中包含用戶信息。SSSD可以同時使用多個域,但至少有一個必須配置或SSSD不會開始。這個參數域的列????表描述你希望他們被查詢的順序。
krb5_rcache_dir ?目錄的文件系統上SSSD應該存儲Kerberos重播緩存文件。

id_provider ??為域標識提供者使用。支持id提供商（ipa local ad proxy ldap）
auth_provider??身份驗證提供者使用的域。支持身份驗證提供者
access_provider ?為域訪問控制提供者使用。有兩個內置訪問提供者(除了任何包含在安裝后端)內部特殊的供應商
chpass_provider ?提供者應該為域處理更改密碼操作。支持更改密碼提供者
subdomains_provider ?提供者應該處理獲取的子域。這個值應該總是id_provider一樣。支持子域名提供商。
cache_credentials?確定用戶憑證也緩存在本地LDB的緩存，用戶憑證存儲在一個SHA512散列,而不是明文

ldap_schema ??指定在目標系統上使用的模式類型的LDAP服務器。根據所選擇的模式,默認屬性名稱從服務器檢索可能會有所不同。一些????屬性處理的方式也不同。 rfc2307 rfc2307bis IPA AD 默認rfc2307
ldap_default_authtok_type 默認的身份驗證令牌的類型綁定DN 目前兩種機制支持obfuscated_password? password
ldap_default_bind_dn ?默認的綁定DN用于執行LDAP操作
ldap_default_authtok ?默認的身份驗證令牌綁定DN。目前只有明文密碼支持
ldap_user_object_class?在LDAP對象類的用戶條目
ldap_user_home_directoryLDAP屬性,其中包含用戶的主目錄的名稱。
ldap_user_ssh_public_keyLDAP屬性,其中包含用戶的SSH公鑰
ldap_enumeration_refresh_timeout 指定多少秒SSSD必須等待刷新緩存的枚舉記錄
ldap_group_name ?LDAP屬性,對應的組名
ldap_service_object_class在ldap服務的對象類條目
ldap_service_name?LDAP屬性,其中包含服務屬性的名稱和他們的別名
ldap_tls_reqcert ?指定檢查執行在TLS會話服務器證書,如果有的話。它可以被指定為以下值之一:demand hard try allow never 默認hard
ldap_tls_cacert??指定的文件,其中包含證書的證書頒發機構sssd將識別。
ldap_krb5_keytab??指定要使用的keytab當使用SASL / GSSAPI
ldap_krb5_init_creds ?指定id_provider應該初始化Kerberos憑證(TGT)。執行這個動作只有SASL使用GSSAPI機制選擇
ldap_krb5_ticket_lifetime指定壽命TGT如果使用GSSAPI的以秒為單位 默認86400
ldap_user_search_base?一個可選的基本DN,搜索范圍和LDAP篩選限制LDAP搜索這個屬性類型
ldap_group_search_base
krb5_store_password_if_offline 存儲用戶的密碼如果提供者離線和用它來請求一個TGT當供應商再次上線

????

?

轉載于:https://blog.51cto.com/aaronit/1588623

總結

以上是生活随笔為你收集整理的rhel5.6 sssd配置方法。的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。