1.2. Elegir un perfil authselect
Como administrador del sistema, puede seleccionar un perfil para la utilidad authselect
para un host específico. El perfil se aplicará a todos los usuarios que inicien sesión en el host.
Requisitos previos
-
Necesita las credenciales de
root
para ejecutar los comandos deauthselect
Procedimiento
Seleccione el perfil
authselect
que sea apropiado para su proveedor de autenticación. Por ejemplo, para iniciar sesión en la red de una empresa que utiliza LDAP, seleccionesssd
.# authselect select
sssd
(Opcional) Puede modificar la configuración del perfil por defecto añadiendo las siguientes opciones al comando
authselect select sssd
oauthselect select winbind
, por ejemplo:-
with-faillock
-
with-smartcard
-
with-fingerprint
-
Para ver la lista completa de opciones disponibles, consulte Sección 1.5, “Convertir sus guiones de
authconfig
aauthselect
” o la página de manualauthselect-migration(7)
.
Asegúrese de que los archivos de configuración relevantes para su perfil están configurados correctamente antes de finalizar el procedimiento authselect select
. Por ejemplo, si el demonio sssd
no está configurado correctamente y activo, la ejecución de authselect select
da como resultado que sólo los usuarios locales puedan autenticarse, utilizando pam_unix
.
Pasos de verificación
Compruebe que las entradas de
sss
para SSSD están presentes en/etc/nsswitch.conf
:passwd: sss files group: sss files netgroup: sss files automount: sss files services: sss files ...
Revise el contenido del archivo
/etc/pam.d/system-auth
para ver las entradas depam_sss.so
:# Generated by authselect on Tue Sep 11 22:59:06 2018 # Do not modify this file manually. auth required pam_env.so auth required pam_faildelay.so delay=2000000 auth [default=1 ignore=ignore success=ok] pam_succeed_if.so uid >= 1000 quiet auth [default=1 ignore=ignore success=ok] pam_localuser.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 1000 quiet_success auth sufficient pam_sss.so forward_pass auth required pam_deny.so account required pam_unix.so account sufficient pam_localuser.so ...
Recursos adicionales
-
Para ver una lista de perfiles ya hechos en
authselect
, consulte Sección 1.1, “Para qué sirve authselect”. Si ajustar un perfil ya hecho añadiendo una de las opciones de la línea de comandos
authselect select
descritas anteriormente no es suficiente para su caso de uso, puede:-
modificar un perfil ya hecho cambiando el archivo
/etc/authselect/user-nsswitch.conf
. Para más detalles, consulte Sección 1.3, “Modificación de un perfil authselect ya hecho”. - crear su propio perfil personalizado. Para más detalles, consulte Sección 1.4, “Creación y despliegue de su propio perfil authselect”.
-
modificar un perfil ya hecho cambiando el archivo