使用 PAM 进行身份验证

SUSE Multi-Linux Manager 支持使用可插入身份验证模块 (PAM) 和 SSSD 的基于网络的身份验证系统。PAM 是一个库套件,可用于将 SUSE Multi-Linux Manager 与集中式身份验证机制相集成,让用户无需记住多个口令。SUSE Multi-Linux Manager 支持 LDAP、Kerberos 和其他基于网络的身份验证协议。

1. SSSD 配置

过程:配置 SSSD
  1. 在 SUSE Multi-Linux Manager Web UI 中,导航到用户  创建用户,并允许新用户或现有用户使用 PAM 进行身份验证。

    In usernames, additionally to alphanumeric characters, -, _, ., and @ are allowed.

  2. Check the Pluggable Authentication Modules (PAM) checkbox.

  3. 在服务器容器中配置 SSSD。在 SUSE Multi-Linux Manager 容器主机的命令提示符处,以 root 身份进入服务器容器:

    mgrctl term
  4. 在容器内部,执行以下步骤:

    1. Edit /etc/sssd/sssd.conf according to your configuration. For an example, see LDAP 与 Active Directory 集成的示例.

    2. 完成后,退出容器:

      exit
  5. 使用以下命令重启 SUSE Multi-Linux Manager:

    mgradm restart

在 SUSE Multi-Linux Manager Web UI 中更改口令只会更改 SUSE Multi-Linux Manager Server 上的本地口令。如果为该用户启用 PAM,则可能根本不会使用本地口令。例如,在上面的示例中,Kerberos 口令并未更改。使用网络服务的口令更改机制来更改这些用户的口令。

有关配置 PAM 的详细信息,请参见《SUSE Linux Enterprise Server 安全指南》,其中提供了一个通用示例,该示例同样适用于其他基于网络的身份验证方法。此外,它还介绍了如何配置 Active Directory (AD) 服务。有关详细信息,请参见 https://documentation.suse.com/sles/15-SP7/html/SLES-all/part-auth.html

1.1. LDAP 与 Active Directory 集成的示例

要将 LDAP 与 Active Directory 集成,可以使用以下示例。

在代码段中,根据您的环境更改以下占位符:

$domain

您的域名

$ad_server

FQDN of the AD server if it is not auto-detected from the $domain $uyuni-hostname: The name of the machine this AD client is supposed to be known. If not set, it will be uyuni-server.mgr.internal.

Example snippet for /etc/sssd/sssd.conf:

[sssd]
config_file_version = 2
services = nss, pam
domains = $domain

[nss]

[pam]

[domain/$domain]
id_provider = ad
chpass_provider = ad
access_provider = ad
auth_provider = ad

ad_domain = $domain
ad_server = $ad_server
ad_hostname = $uyuni-hostname

ad_gpo_map_network = +susemanager

krb5_keytab = FILE:/etc/rhn/krb5.conf.d/krb5.keytab
krb5_ccname_template = FILE:/tmp/krb5cc_%{uid}