OpenLDAP : LDAP クライアントの設定 (SSSD)2024/04/18

	SSSD を使用した LDAP クライアントの設定です。
[1]	SSD を使用する場合は、こちらを参考に LDAP サーバー側で SSL/TLS の設定を実施しておきます。
[2]	SSD をインストールして設定します。

root@node02:~ #

pkg install -y sssd pam_mkhomedir

root@node02:~ #

vi /usr/local/etc/sssd/sssd.conf

# 新規作成
# [dc=***,dc=***] の部分は自身のドメイン名に変更

[sssd]
services = nss, pam
domains = default

[domain/default]
id_provider = ldap
autofs_provider = ldap
auth_provider = ldap
chpass_provider = ldap
ldap_uri = ldap://dlp.srv.world/
ldap_search_base = dc=srv,dc=world
ldap_id_use_start_tls = True
ldap_tls_cacertdir = /etc/ssl/certs
cache_credentials = True
ldap_tls_reqcert = allow

[nss]
homedir_substring = /home

root@node02:~ #

chmod 600 /usr/local/etc/sssd/sssd.conf

root@node02:~ #

vi /etc/pam.d/system

# 以下のように追記

# auth
#auth           sufficient      pam_krb5.so             no_warn try_first_pass
#auth           sufficient      pam_ssh.so              no_warn try_first_pass
auth            sufficient      pam_sss.so              no_warn try_first_pass
auth            required        pam_unix.so             no_warn try_first_pass nullok

# account
#account        required        pam_krb5.so
account         required        pam_login_access.so
account         required        pam_sss.so             no_warn ignore_authinfo_unavail ignore_unknown_user
account         required        pam_unix.so

# session
#session        optional        pam_ssh.so              want_agent
session         required        pam_lastlog.so          no_fail
session         required        pam_mkhomedir.so        umask=0077

# password
#password       sufficient      pam_krb5.so             no_warn try_first_pass
password        required        pam_unix.so             no_warn try_first_pass

root@node02:~ #

vi /etc/pam.d/sshd

# 以下のように追記

# auth
#auth           sufficient      pam_krb5.so             no_warn try_first_pass
#auth           sufficient      pam_ssh.so              no_warn try_first_pass
auth            sufficient      pam_sss.so              no_warn try_first_pass
auth            required        pam_unix.so             no_warn try_first_pass

# account
account         required        pam_nologin.so
#account        required        pam_krb5.so
account         required        pam_login_access.so
account         required        pam_sss.so             no_warn ignore_authinfo_unavail ignore_unknown_user
account         required        pam_unix.so

# session
#session        optional        pam_ssh.so              want_agent
session         required        pam_permit.so
session         required        pam_mkhomedir.so        umask=0077

# password
#password       sufficient      pam_krb5.so             no_warn try_first_pass
password        required        pam_unix.so             no_warn try_first_pass

root@node02:~ #

vi /etc/nsswitch.conf

# 以下のように変更

#
# nsswitch.conf(5) - name service switch configuration file
#
group: files sss
group_compat: nis
hosts: files dns
netgroup: compat
networks: files
passwd: files sss
passwd_compat: nis
shells: files
services: compat
services_compat: nis
protocols: files
rpc: files

root@node02:~ #

service sssd enable

sssd enabled in /etc/rc.conf
root@node02:~ #

service sssd start

Starting sssd.

root@node02:~ #

exit

FreeBSD/amd64 (node01.srv.world) (ttyu0)

login: freebsd      # LDAP ユーザー
Password:           # LDAP パスワード

FreeBSD 14.0-RELEASE (GENERIC) #0 releng/14.0-n265380-f9716eee8ab4: Fri Nov 10 05:57:23 UTC 2023

Welcome to FreeBSD!

.....
.....

freebsd@node02:~ $    # logined

[3]	各ユーザーが自身の LDAP パスワードを変更する場合は、ldappasswd コマンドを使用します。

freebsd@node02:~ $

ldappasswd -H ldap://dlp.srv.world:389 -x -D "uid=freebsd,ou=people,dc=srv,dc=world" -W -a old_password -s new_password

Enter LDAP Password:

# 現在の LDAP パスワード

freebsd@node02:~ $