SSSD Integration mit Kerberos, LDAP, Active Directory und FreeIPA

Der System Security Services Daemon (SSSD) ist ein Set von Daemons, welche die Kommunikation von Clients mit zentralen Verzeichnisdiensten und Authentifizierungsmechanismen verwalten. Die Kommunikation mit dem Client erfolgt dabei über die klassischen PAM- und NSS-Schnittstellen. Im Backend gibt es dann unterschiedliche Security-Provider, beispielsweise für die Kommunikation mit einem LDAP, Kerberos, Active Directory oder FreeIPA-Server. Dieser Kurs richtet sich an System Administrator*innen und Consultant*innen, die einen soliden Einstieg in das komplexe SSSD Thema erhalten wollen.
Jede*r Teilnehmer*in erhält sein eigenes komplexes Netzwerk bestehend aus mehreren CentOS8, SLES15, Debian11 und Windows Server 2019 VMs zur Verfügung um das erlernte Wissen testen zu können.

Absolvent*innen des Kurses "Linux 2 - System Administration"

Grundlagen Identity Management

• Identity Management (IdM)
• Identity Access Management (IAM)
• Verzeichnisdienste (VD)
• Speicherbackends und Zugriffsmethoden

Grundlagen SSSD

• Vorteile des System Security Services Daemon (SSSD)
• Architektur von SSSD (Monitor, Responder, Backends,...)
• /etc/sssd/sssd.conf
• PAM Responder Modul pam_sss.so

DNS Server Einstellungen für LDAP und Kerberos

• Forward Lookup Zone
• Reverse Lookup Zone
• Service Records (_kerberos, _ldap, _gc )

FreeIPA

• Einrichten eines FreeIPA Servers
• FreeIPA Verwaltungswerkzeuge (Webinterface, ipa, ipa-*)
• Basis Verwaltung von Benutzer, Gruppen, Passwort Richtlinien und Host Einträgen

Name Service Switch (NSS)

• Auflösen von Objekt Namen mit /etc/nsswitch.conf
• NSS Service Prodvider Konfiguration
• NSS Diagnose mit getent
• NSS Cache Technologien (nscd, sssd)
• Verwaltung des Name Service Caching Daemon (nscd)
• Troubleshooting des nscd

Grundlagen LDAP Connect

• ldapsearch im Detail
• Parameter in der ldap.conf
• Verschlüsselte Verbindung (389, 636, StartTLS)
• Einbinden des CA-Zertifikates
• LDAP Filterverknüpfungen
• Troubleshooting und Debuggen einer LDAP Verbindung

Pluggable Authentication Modules (PAM)

• Aufbau der PAM Konfigurationsdateien
• PAM Verwaltungsprogramme der einzelnen Distributionen
• Aktivieren von pam_mkhomedir, pam_ldap, pam_sss

LDAP Anbindung via SSSD

• LDAP spezifische Parameter in sssd.conf
• Troubleshooting LDAP Probleme
• /etc/sssd/sssd.conf
• Aufbau der Konfigurationsdatei im Detail
• SSSD Provider im Vergleich
• Cache und enumerate Einstellungen
• Auswahl des richtigen ldap_schema (rfc2307, rfc2307bis, ipa, ad)
• ldap_uri und Service Discovery

Troubleshooting SSSD

• SSSD Log Dateien Verwaltung
• Debug Level Anpassungen
• SSSD Cache Dateien löschen
• Diagnose mit sssctl

SSSD Zugriffsbeschränkungen

• SSSD Access control Providers (access_provider)
• simple access Provider im Detail
• ldap access Provider im Detail
• Debugging von Problemen bei der Zugriffsbeschränkung

Kerberos Grundlagen

• Kerberos Terms (Principal, Realm, Cross Realms,...)
• Kerberos Komponenten (KDC, AS, TGT, TGS, ADM, ...)
• Kerberos Kommunikationsablauf im Detail
• GSSAPI, SPNEGO, SSPI
• Cross-Realm-Authentifizierung
• Aufbau der Kerberos Client Datei /etc/krb5.conf

Kerberos Authentifizierung

• Active Directory Installation auf Windows Server 2019
• Manuelles einbinden eines Linux Hosts im ADS
• Host Objekt erstellen, Kerberos Attribute erstellen, Keytab auf Linux einbinden
• SSSD Kerberos und AD Integration
• SSSD Kerberos und FreeIPA Integration
• Kerberos spezifische Parameter in sssd.conf
• ldap vs ad id_provider
• SSH Zugriff via Kerberos Ticket
• SSSD und realmd Einbindung

Fortgeschrittene sssd.conf Parameter

• Heimatverzeichnis
• Login Shell
• SID <-> UID Mapping
• SUDO Regeln zentral in FreeIPA und ADS speichern