1.2. Elegir un perfil authselect
Como administrador del sistema, puede seleccionar un perfil para la utilidad authselect para un host específico. El perfil se aplicará a todos los usuarios que inicien sesión en el host.
Requisitos previos
-
Necesita las credenciales de
rootpara ejecutar los comandos deauthselect
Procedimiento
Seleccione el perfil
authselectque sea apropiado para su proveedor de autenticación. Por ejemplo, para iniciar sesión en la red de una empresa que utiliza LDAP, seleccionesssd.# authselect select
sssd(Opcional) Puede modificar la configuración del perfil por defecto añadiendo las siguientes opciones al comando
authselect select sssdoauthselect select winbind, por ejemplo:-
with-faillock -
with-smartcard -
with-fingerprint
-
Para ver la lista completa de opciones disponibles, consulte Sección 1.5, “Convertir sus guiones de
authconfigaauthselect” o la página de manualauthselect-migration(7).
Asegúrese de que los archivos de configuración relevantes para su perfil están configurados correctamente antes de finalizar el procedimiento authselect select. Por ejemplo, si el demonio sssd no está configurado correctamente y activo, la ejecución de authselect select da como resultado que sólo los usuarios locales puedan autenticarse, utilizando pam_unix.
Pasos de verificación
Compruebe que las entradas de
ssspara SSSD están presentes en/etc/nsswitch.conf:passwd: sss files group: sss files netgroup: sss files automount: sss files services: sss files ...
Revise el contenido del archivo
/etc/pam.d/system-authpara ver las entradas depam_sss.so:# Generated by authselect on Tue Sep 11 22:59:06 2018 # Do not modify this file manually. auth required pam_env.so auth required pam_faildelay.so delay=2000000 auth [default=1 ignore=ignore success=ok] pam_succeed_if.so uid >= 1000 quiet auth [default=1 ignore=ignore success=ok] pam_localuser.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 1000 quiet_success auth sufficient pam_sss.so forward_pass auth required pam_deny.so account required pam_unix.so account sufficient pam_localuser.so ...
Recursos adicionales
-
Para ver una lista de perfiles ya hechos en
authselect, consulte Sección 1.1, “Para qué sirve authselect”. Si ajustar un perfil ya hecho añadiendo una de las opciones de la línea de comandos
authselect selectdescritas anteriormente no es suficiente para su caso de uso, puede:-
modificar un perfil ya hecho cambiando el archivo
/etc/authselect/user-nsswitch.conf. Para más detalles, consulte Sección 1.3, “Modificación de un perfil authselect ya hecho”. - crear su propio perfil personalizado. Para más detalles, consulte Sección 1.4, “Creación y despliegue de su propio perfil authselect”.
-
modificar un perfil ya hecho cambiando el archivo
