Capítulo 1. Configuración de la autenticación de usuarios mediante authselect

1.1. Para qué sirve authselect

Puede utilizar la utilidad authselect para configurar la autenticación de usuarios en un host Red Hat Enterprise Linux 8.

Puede configurar la información de identidad y las fuentes y proveedores de autenticación seleccionando uno de los perfiles ya creados:

  • El perfil predeterminado sssd habilita el demonio de servicios de seguridad del sistema (SSSD) para los sistemas que utilizan la autenticación LDAP.
  • El perfil winbind habilita la utilidad Winbind para sistemas directamente integrados con Microsoft Active Directory.
  • El perfil nis garantiza la compatibilidad con los sistemas heredados de Network Information Service (NIS).
  • El perfil minimal sólo sirve a los usuarios y grupos locales directamente desde los archivos del sistema, lo que permite a los administradores eliminar los servicios de autenticación de red que ya no son necesarios.

Después de seleccionar un perfil authselect para un host determinado, el perfil se aplica a todos los usuarios que se conectan al host.

Red Hat recomienda el uso de authselect en entornos de gestión de identidades semicentralizados, por ejemplo, si su organización utiliza bases de datos LDAP, Winbind o NIS para autenticar a los usuarios que utilizan los servicios de su dominio.

Aviso

No utilice authselect si su host es parte de Red Hat Enterprise Linux Identity Management (IdM). Al unir su host a un dominio IdM con el comando ipa-client-install se configura automáticamente la autenticación SSSD en su host.

Del mismo modo, no utilice authselect si su host forma parte de Active Directory a través de SSSD. Al llamar al comando realm join para unir su host a un dominio de Active Directory, se configura automáticamente la autenticación SSSD en su host.

1.1.1. Archivos y directorios que authselect modifica

La utilidad authconfig, utilizada en versiones anteriores de Red Hat Enterprise Linux, creaba y modificaba muchos archivos de configuración diferentes, lo que dificultaba la resolución de problemas. Authselect simplifica las pruebas y la resolución de problemas porque sólo modifica los siguientes archivos y directorios:

/etc/nsswitch.conf

La biblioteca C de GNU y otras aplicaciones utilizan este archivo de configuración del conmutador de servicios de nombres (NSS) para determinar las fuentes de las que obtener información de servicios de nombres en un rango de categorías, y en qué orden. Cada categoría de información se identifica con un nombre de base de datos.

/etc/pam.d/* archivos

Linux-PAM (Pluggable Authentication Modules) es un sistema de módulos que se encargan de las tareas de autenticación de las aplicaciones (servicios) del sistema. La naturaleza de la autenticación es configurable dinámicamente: el administrador del sistema puede elegir cómo autenticarán a los usuarios las aplicaciones individuales que prestan servicios.

Los archivos de configuración en el directorio /etc/pam.d/ listan las PAMs que realizarán las tareas de autenticación requeridas por un servicio, y el comportamiento apropiado de la PAM-API en caso de que las PAMs individuales fallen.

Entre otras cosas, estos archivos contienen información sobre:

  • condiciones de bloqueo de la contraseña del usuario
  • la posibilidad de autentificarse con una tarjeta inteligente
  • la posibilidad de autentificarse con un lector de huellas dactilares

/etc/dconf/db/distro.d/* archivos

Este directorio contiene perfiles de configuración para la utilidad dconf, que puede utilizar para gestionar la configuración de la interfaz gráfica de usuario (GUI) del Escritorio GNOME.

1.1.2. Los proveedores de datos en /etc/nsswitch.conf

El perfil por defecto sssd establece el SSSD como fuente de información mediante la creación de entradas sss en /etc/nsswitch.conf:

passwd:     sss files
group:      sss files
netgroup:   sss files
automount:  sss files
services:   sss files
...

Esto significa que el sistema busca primero en la SSSD si se solicita información relativa a uno de esos elementos:

  • passwd para la información del usuario
  • group para la información del grupo de usuarios
  • netgroup para la información de NIS netgroup
  • automount para información de automontaje NFS
  • services para obtener información sobre los servicios

Sólo si la información solicitada no se encuentra en la caché de sssd y en el servidor que proporciona la autenticación, o si sssd no se está ejecutando, el sistema busca en los archivos locales, es decir /etc/*.

Por ejemplo, si se solicita información sobre un identificador de usuario, primero se busca en la caché de sssd. Si no se encuentra allí, se consulta el archivo /etc/passwd. De forma análoga, si se solicita la afiliación a un grupo de usuarios, se busca primero en la caché sssd y sólo si no se encuentra allí, se consulta el archivo /etc/group.

En la práctica, la base de datos local files no suele consultarse. La excepción más importante es el caso del usuario root, que nunca es gestionado por sssd sino por files.