Monthly Archives: Luglio 2014

Comprendere il comando authconfig

La guida seguente serve a far comprendere il comando authconfig.Insieme ad system-config-authentication vanno a sostituire il comando authconfig-tui (tui acronimo di Text User Interface).In sostanza funzionano allo stesso modo differiscono solo nel modo in cui vengono utlizzati:uno è grafico (system-config-authentication) l’altro è a riga di comando. In realtà, il comando authconfig è uno script python e attualmente condivide lo stesso codice del comando authconfig-tui.

Stato di autenticazione

Lo stato attuale di autenticazione di un server è memorizzato nel file /etc/sysconfig/authconfig. In qualsiasi momento, è possibile ottenere la configurazione di autenticazione corrente digitando:

# authconfig --test
caching is enabled
nss_files is always enabled
nss_compat is disabled
nss_db is disabled
nss_hesiod is disabled
 hesiod LHS = ""
 hesiod RHS = ""
nss_ldap is enabled
 LDAP+TLS is enabled
 LDAP server = "ldap://server1.example.com/"
 LDAP base DN = "dc=example,dc=com"
nss_nis is disabled
 NIS server = ""
 NIS domain = ""
...

o

# cat /etc/sysconfig/authconfig
IPADOMAINJOINED=no
USEMKHOMEDIR=no
USEPAMACCESS=no
CACHECREDENTIALS=yes
USESSSDAUTH=no
USESHADOW=yes
USEWINBIND=no
PASSWDALGORITHM=md5
FORCELEGACY=no
...

in alternativa

# grep -v "=no" /etc/sysconfig/authconfig
CACHECREDENTIALS=yes
USESHADOW=yes
PASSWDALGORITHM=md5
USELDAPAUTH=yes
USELOCAUTHORIZE=yes
USECRACKLIB=yes
USELDAP=yes

Confronto authconfig-tui/authconfig

Può essere utile confrontare i comandi di authconfig-tui e authconfig per capire meglio in cosa differiscono. Quando si esegue il comando authconfigtui, viene visualizzata la schermata come questa:

                Authentication Configuration
User Information                        Authentication
[1] Cache Information         [6] Use MD5 Passwords
[2] Use LDAP                  [7] Use Shadow Passwords
[3] Use NIS                   [8] Use LDAP Authentication
[4] Use IPAv2                 [9] Use Kerberos
[5] Use Winbind               [A] Use Fingerprint reader
                              [B] Use Winbind Authentication
                              [C] Local authorization is sufficient
           Cancel                            Next

Qui sotto invece comandi vanno eseguiti direttamente:

1) service start/stop nscd (richiede nscd); chkconfig nscd on/off
2) authconfig –enableldap (richiede nss-pam-ldapd) / –disableldap
3) authconfig –enablenis / –disablenis
4) authconfig –enableipav2 (richiede pam_sss.so) / –disableipav2
5) authconfig –enablewinbind / –disablewinbind
6) authconfig –enablemd5 / –disablemd5
7) authconfig –enableshadow / –disableshadow
8) authconfig –enableldapauth (richiede pam_ldap.so); service start nslcd; chkconfig nslcd on) / –disableldapauth
9) authconfig –enablekrb5 (richiede pam_krb5.so) / –disablekrb5
A) authconfig –enablefingerprint / –disablefingerprint
B) authconfig –enablewinbindauth (richiede pam_winbind.so+samba-client) / –disablewinbindauth
C) authconfig –enablelocauthorize / –disablelocauthorize

Ogni volta che viene eseguito il comando authconfig, l’argomento -update deve essere aggiunto, altrimenti non succede nulla. Secondo la scelta selezionata, possono essere necessari ulteriori comandi. Nel caso di autenticazione LDAP, qui sono alcune delle opzioni:

  • Use of nslcd (vs sssd): –enableforcelegacy
  • LDAP server: –ldapserver=”instructor.example.com”
  • LDAP base dn: –ldapbasedn=”dc=example,dc=com”
  • Use of TLS: –enableldaptls