sssd

Co je zač sssd

Instalace

Konfigurace

Přihlašování

Při lokálním přihlášení na stroji, u kterého se ověřuje přístup přes sssd se použije pro ověření hesla k příslušnému username primárně ta doména, v jejímž LDAPu se najde username nejdřív. Pokud se tedy použije při přihlášení pouze username...

login: username

Provede v našem případě sssd ověření hesla vůči kerberu ČVUT (jde o tzv. "hlavní heslo"). A to z toho důvodu, že naši uživatelé jsou podmnožinou uživatelů ČVUT, takže se vyskytují jak v ČVUT LDAPu, tak AD a ověření vůči kerberu ČVUT je v konfiguračním souboru /etc/sssd/sssd.conf uvedeno před ověřením vůči AD.

Vůči AD by se v takovém případě heslo ověřovalo pouze v případě, že by sssd username ve ČVUT LDAPu nenašel.

Chceme-li se tedy vyhnout zmatkům při zadávání hesla je doporučeno uvádět také doménu vůči níž se má heslo k příslušnému username ověřit. Při ověření hlavním heslem ČVUT takto...

login: username@felk.cvut.cz

A při ověření heslem do AD takto...

login: username@ad.felk.cvut.cz

Podobně je tomu při přihlašování přes ssh klienta. Při ověření hlavním ČVUT heslem...

ssh username@felk.cvut.cz@stroj.cz

a u ověření heslem do AD..

ssh username@ad.felk.cvut.cz@stroj.cz

Je doporučeno používat primárně ověřování vůči AD a to především z těchto důvodů: Jednak v případě zapomenutí hesla do AD, nebo i pouhého podezření, že došlo k jeho kompromitaci, si můžete heslo do AD snadno a rychle nastavit sami prostřednictvím webové stránky ..., která se ověřuje hlavním ČVUT heslem. Používáním ověření vůči AD snižujete pravděpodobnost, že dojde je kompromitaci vašeho hlavního hesla. A také snižujete pravděpodobnost, že dojde opakovaným chybným zadáním hesla k zabanování IP adresy vašeho stroje na straně kerbera ČVUT.

Lokální přihlášení na Windows stroji, který se ověřuje vůči doméně..

.\username