https://wiki.gazzi.net/index.php?action=history&feed=atom&title=Tips_Linux%2FOpenLDAP_e_SSH
Tips Linux/OpenLDAP e SSH - Cronologia
2026-05-17T03:24:51Z
Cronologia della pagina su questo sito
MediaWiki 1.40.1
https://wiki.gazzi.net/index.php?title=Tips_Linux/OpenLDAP_e_SSH&diff=621&oldid=prev
Admin: Creazione sottosezione Tips Linux: OpenLDAP e SSH con configurazione LDAP/SSSD/SSH e sudo
2026-03-25T11:26:53Z
<p>Creazione sottosezione Tips Linux: OpenLDAP e SSH con configurazione LDAP/SSSD/SSH e sudo</p>
<p><b>Nuova pagina</b></p><div>= OpenLDAP e SSH =<br />
<br />
Questa pagina documenta una configurazione pratica di integrazione tra OpenLDAP e SSH su Ubuntu, con autenticazione utenti centralizzata e privilegi sudo per utente tecnico.<br />
<br />
== Obiettivo ==<br />
* Login SSH con utenza LDAP (es. `gazzinet`)<br />
* Risoluzione utenti via SSSD/NSS<br />
* Elevazione privilegi con `sudo`<br />
<br />
== Parametri LDAP usati ==<br />
* URI: `ldap://172.16.1.7:389`<br />
* Base DN: `dc=gazzi,dc=local`<br />
* User search base: `ou=People,dc=gazzi,dc=local`<br />
* Group search base: `ou=Groups,dc=gazzi,dc=local`<br />
* Bind DN tecnico: `uid=ldapbind,ou=People,dc=gazzi,dc=local`<br />
<br />
== Pacchetti installati ==<br />
<syntaxhighlight lang="bash"><br />
apt-get update<br />
apt-get install -y sssd-ldap libnss-sss libpam-sss ldap-utils sudo qemu-guest-agent<br />
</syntaxhighlight><br />
<br />
== Configurazione SSSD ==<br />
File: `/etc/sssd/sssd.conf`<br />
<br />
<syntaxhighlight lang="ini"><br />
[sssd]<br />
services = nss, pam<br />
config_file_version = 2<br />
domains = GAZZI<br />
<br />
[domain/GAZZI]<br />
id_provider = ldap<br />
auth_provider = ldap<br />
chpass_provider = ldap<br />
access_provider = permit<br />
cache_credentials = True<br />
enumerate = False<br />
use_fully_qualified_names = False<br />
fallback_homedir = /home/%u<br />
default_shell = /bin/bash<br />
ldap_uri = ldap://172.16.1.7:389<br />
ldap_search_base = dc=gazzi,dc=local<br />
ldap_user_search_base = ou=People,dc=gazzi,dc=local<br />
ldap_group_search_base = ou=Groups,dc=gazzi,dc=local<br />
ldap_default_bind_dn = uid=ldapbind,ou=People,dc=gazzi,dc=local<br />
ldap_default_authtok = ********<br />
ldap_user_object_class = inetOrgPerson<br />
ldap_user_name = uid<br />
ldap_group_object_class = groupOfNames<br />
ldap_group_name = cn<br />
ldap_tls_reqcert = never<br />
ldap_id_use_start_tls = False<br />
ldap_auth_disable_tls_never_use_in_production = true<br />
</syntaxhighlight><br />
<br />
Note:<br />
* Il parametro `ldap_auth_disable_tls_never_use_in_production = true` รจ stato necessario in questo ambiente LDAP non-TLS.<br />
* In produzione consigliata: LDAP su TLS/LDAPS con certificati validi.<br />
<br />
== Integrazione NSS/PAM ==<br />
* In `/etc/nsswitch.conf` aggiunto `sss` per `passwd`, `group`, `shadow`<br />
* Home automatica al primo login via `pam_mkhomedir`<br />
<br />
== Configurazione SSH ==<br />
File override: `/etc/ssh/sshd_config.d/99-ldap-auth.conf`<br />
<br />
<syntaxhighlight lang="text"><br />
UsePAM yes<br />
PasswordAuthentication yes<br />
KbdInteractiveAuthentication yes<br />
PubkeyAuthentication yes<br />
</syntaxhighlight><br />
<br />
== Sudo per utente LDAP ==<br />
File: `/etc/sudoers.d/90-gazzinet-ldap`<br />
<br />
<syntaxhighlight lang="text"><br />
gazzinet ALL=(ALL:ALL) ALL<br />
</syntaxhighlight><br />
<br />
== Verifiche effettuate ==<br />
<syntaxhighlight lang="bash"><br />
getent passwd gazzinet<br />
systemctl is-active sssd<br />
sshd -T | grep -E 'usepam|passwordauthentication|kbdinteractiveauthentication'<br />
</syntaxhighlight><br />
<br />
Test operativo finale:<br />
* Login SSH come `gazzinet` riuscito<br />
* `sudo` funzionante con password utente LDAP<br />
<br />
[[Category:Tips Linux]]</div>
Admin