使用 PAM 进行身份验证
SUSE Multi-Linux Manager 支持使用可插入身份验证模块 (PAM) 和 SSSD 的基于网络的身份验证系统。PAM 是一个库套件,可用于将 SUSE Multi-Linux Manager 与集中式身份验证机制相集成,让用户无需记住多个口令。SUSE Multi-Linux Manager 支持 LDAP、Kerberos 和其他基于网络的身份验证协议。
1. SSSD 配置
-
在 SUSE Multi-Linux Manager Web UI 中,导航到,并允许新用户或现有用户使用 PAM 进行身份验证。
In usernames, additionally to alphanumeric characters,
-,_,., and@are allowed. -
Check the
Pluggable Authentication Modules (PAM)checkbox. -
在服务器容器中配置 SSSD。在 SUSE Multi-Linux Manager 容器主机的命令提示符处,以 root 身份进入服务器容器:
mgrctl term
-
在容器内部,执行以下步骤:
-
Edit
/etc/sssd/sssd.confaccording to your configuration. For an example, see LDAP 与 Active Directory 集成的示例. -
完成后,退出容器:
exit
-
-
使用以下命令重启 SUSE Multi-Linux Manager:
mgradm restart
|
在 SUSE Multi-Linux Manager Web UI 中更改口令只会更改 SUSE Multi-Linux Manager Server 上的本地口令。如果为该用户启用 PAM,则可能根本不会使用本地口令。例如,在上面的示例中,Kerberos 口令并未更改。使用网络服务的口令更改机制来更改这些用户的口令。 |
有关配置 PAM 的详细信息,请参见《SUSE Linux Enterprise Server 安全指南》,其中提供了一个通用示例,该示例同样适用于其他基于网络的身份验证方法。此外,它还介绍了如何配置 Active Directory (AD) 服务。有关详细信息,请参见 https://documentation.suse.com/sles/15-SP7/html/SLES-all/part-auth.html。
1.1. LDAP 与 Active Directory 集成的示例
要将 LDAP 与 Active Directory 集成,可以使用以下示例。
在代码段中,根据您的环境更改以下占位符:
$domain-
您的域名
$ad_server-
FQDN of the AD server if it is not auto-detected from the
$domain$uyuni-hostname: The name of the machine this AD client is supposed to be known. If not set, it will beuyuni-server.mgr.internal.
Example snippet for /etc/sssd/sssd.conf:
[sssd]
config_file_version = 2
services = nss, pam
domains = $domain
[nss]
[pam]
[domain/$domain]
id_provider = ad
chpass_provider = ad
access_provider = ad
auth_provider = ad
ad_domain = $domain
ad_server = $ad_server
ad_hostname = $uyuni-hostname
ad_gpo_map_network = +susemanager
krb5_keytab = FILE:/etc/rhn/krb5.conf.d/krb5.keytab
krb5_ccname_template = FILE:/tmp/krb5cc_%{uid}