Erklärungen sssd-1

Aus Xinux Wiki
Version vom 2. April 2026, 10:50 Uhr von Thomas.will (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „= Dokumentation: SSSD Konfigurationsparameter = Diese Seite beschreibt die Funktionsweise der zentralen Authentifizierungskomponente SSSD (System Security Ser…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Dokumentation: SSSD Konfigurationsparameter

Diese Seite beschreibt die Funktionsweise der zentralen Authentifizierungskomponente SSSD (System Security Services Daemon) für das it213.int Labornetzwerk.

Sektion [sssd]

Die Sektion [sssd] ist die globale Konfiguration für den Daemon selbst.

  • services = nss, pam, sudo
    • Legt fest, welche System-Schnittstellen SSSD bedienen soll.
      • nss: Stellt Benutzer- und Gruppeninformationen bereit (z. B. für den Befehl 'id' oder 'getent').
      • pam: Übernimmt die eigentliche Anmeldung und Passwortprüfung.
      • sudo: Ermöglicht das Auslesen von Sudo-Regeln aus dem LDAP-Verzeichnis.
  • domains = it213.int
    • Aktiviert die spezifische Konfigurationsdomäne. SSSD ignoriert alle [domain/...] Blöcke, die hier nicht explizit aufgelistet sind.

Sektion [domain/it213.int]

Hier wird definiert, wie und woher die Benutzerdaten bezogen werden.

  • id_provider = ldap
    • Bestimmt die Quelle für Identitätsinformationen (UID, GID, Home-Verzeichnisse). Hier wird das Lightweight Directory Access Protocol verwendet.
  • auth_provider = ldap
    • Legt fest, dass Passwörter gegen das LDAP-Verzeichnis geprüft werden sollen (im Gegensatz zu lokaler Prüfung oder Kerberos).
  • access_provider = permit
    • Eine Sicherheitsrichtlinie. 'permit' erlaubt jedem Benutzer, der im LDAP existiert, sich an diesem Client anzumelden.
  • sudo_provider = ldap
    • Weist SSSD an, die Sudo-Rollen nicht in lokalen Dateien, sondern in der LDAP-Datenbank zu suchen.
  • ldap_uri = ldap://ldap.it213.int
    • Der exakte Standort des LDAP-Servers. Das Protokoll 'ldap://' nutzt standardmäßig Port 389.
  • ldap_search_base = dc=it213,dc=int
    • Der "Wurzelpunkt" für Suchen. SSSD schaut nur unterhalb dieses Pfades nach Benutzern und Gruppen.
  • ldap_sudo_search_base = ou=sudo,dc=it213,dc=int
    • Ein spezialisierter Pfad, der SSSD direkt zu den Sudo-Rollen führt, um die Abfragezeit zu verkürzen.

Sicherheits-Overrides (Testumgebung)

Da im Labornetzwerk in der ersten Phase keine SSL/TLS-Zertifikate verwendet werden, müssen Sicherheitsmechanismen explizit abgeschaltet werden.

  • ldap_id_use_start_tls = false
    • Verhindert, dass SSSD versucht, die Verbindung beim Verbindungsaufbau auf TLS zu "upgraden".
  • ldap_auth_disable_tls_never_use_in_production = true
    • Ein "Hard-Override". SSSD verbietet normalerweise den Versand von Passwörtern im Klartext. Dieser Parameter erzwingt die Erlaubnis für unverschlüsselte Authentifizierung.
  • ldap_tls_reqcert = never
    • Schaltet die Prüfung von Server-Zertifikaten komplett aus. Dies verhindert Fehler, falls der Server ein ungültiges oder selbstsigniertes Zertifikat sendet.
Abgerufen von „http://wiki.ixheim.de/index.php?title=Erklärungen_sssd-1&oldid=68342