1.2. Escolhendo um perfil authselect
Como administrador do sistema, você pode selecionar um perfil para o utilitário authselect para um host específico. O perfil será aplicado a cada usuário que fizer login no host.
Pré-requisitos
-
Você precisa de
rootcredenciais para executarauthselectcomandos
Procedimento
Selecione o perfil
authselectque é apropriado para seu provedor de autenticação. Por exemplo, para entrar na rede de uma empresa que usa LDAP, escolhasssd.# authselect select
sssd(Opcional) Você pode modificar as configurações de perfil padrão adicionando as seguintes opções ao comando
authselect select sssdouauthselect select winbind, por exemplo:-
with-faillock -
with-smartcard -
with-fingerprint
-
Para ver a lista completa das opções disponíveis, consulte Seção 1.5, “Convertendo seus scripts de
authconfigparaauthselect” ou a página de manualauthselect-migration(7).
Certifique-se de que os arquivos de configuração que são relevantes para seu perfil estejam configurados corretamente antes de concluir o procedimento authselect select. Por exemplo, se o daemon sssd não estiver configurado corretamente e ativo, a execução de authselect select faz com que somente usuários locais possam se autenticar, usando pam_unix.
Passos de verificação
Verifique se
sssentradas para SSSD estão presentes em/etc/nsswitch.conf:passwd: sss files group: sss files netgroup: sss files automount: sss files services: sss files ...
Reveja o conteúdo do arquivo
/etc/pam.d/system-authpara ver as entradas empam_sss.so:# Generated by authselect on Tue Sep 11 22:59:06 2018 # Do not modify this file manually. auth required pam_env.so auth required pam_faildelay.so delay=2000000 auth [default=1 ignore=ignore success=ok] pam_succeed_if.so uid >= 1000 quiet auth [default=1 ignore=ignore success=ok] pam_localuser.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 1000 quiet_success auth sufficient pam_sss.so forward_pass auth required pam_deny.so account required pam_unix.so account sufficient pam_localuser.so ...
Recursos adicionais
-
Para uma lista de perfis prontos
authselect, ver Seção 1.1, “O que é authselect usado para”. Se o ajuste de um perfil pronto, adicionando uma das opções de linha de comando
authselect selectdescritas acima, não for suficiente para seu caso de uso, você pode:-
modificar um perfil pronto, alterando o arquivo
/etc/authselect/user-nsswitch.conf. Para maiores detalhes, ver Seção 1.3, “Modificando um perfil auto-selecionado pronto”. - criar seu próprio perfil personalizado. Para maiores detalhes, veja Seção 1.4, “Criando e implantando seu próprio perfil authselect”.
-
modificar um perfil pronto, alterando o arquivo