Drucken

SSSD Integration mit Kerberos, LDAP, Active Directory und FreeIPA

Der System Security Services Daemon (SSSD) ist ein Set von Daemons, welche die Kommunikation von Clients mit zentralen Verzeichnisdiensten und Authentifizierungsmechanismen verwalten. Die Kommunikation mit dem Client erfolgt dabei über die klassischen PAM- und NSS-Schnittstellen. Im Backend gibt es dann unterschiedliche Security-Provider, beispielsweise für die Kommunikation mit einem LDAP, Kerberos, Active Directory oder FreeIPA-Server. Dieser Kurs richtet sich an System Administratoren und Consultants, die einen soliden Einstieg in das komplexe SSSD Thema erhalten wollen.

Jeder Teilnehmer erhält sein eigenes komplexes Netzwerk bestehend aus mehreren CentOS8, SLES15, Debian11 und Windows Server 2019 VMs zur Verfügung um das erlernte Wissen testen zu können.

Agenda

  • Grundlagen Identity Management
    • Identity Management (IdM)
    • Identity Access Management (IAM)
    • Verzeichnisdienste (VD)
    • Speicherbackends und Zugriffsmethoden
  • Grundlagen SSSD
    • Vorteile des System Security Services Daemon (SSSD)
    • Architektur von SSSD (Monitor, Responder, Backends,...)
    • /etc/sssd/sssd.conf
    • PAM Responder Modul pam_sss.so
  • DNS Server Einstellungen für LDAP und Kerberos
    • Forward Lookup Zone
    • Reverse Lookup Zone
    • Service Records (_kerberos, _ldap, _gc )
  • FreeIPA
    • Einrichten eines FreeIPA Servers
    • FreeIPA Verwaltungswerkzeuge (Webinterface, ipa, ipa-*)
    • Basis Verwaltung von Benutzer, Gruppen, Passwort Richtlinien und Host Einträgen
  • Name Service Switch (NSS)
    • Auflösen von Objekt Namen mit /etc/nsswitch.conf
    • NSS Service Prodvider Konfiguration
    • NSS Diagnose mit getent
    • NSS Cache Technologien (nscd, sssd)
    • Verwaltung des Name Service Caching Daemon (nscd)
    • Troubleshooting des nscd
  • Grundlagen LDAP Connect
    • ldapsearch im Detail
    • Parameter in der ldap.conf
    • Verschlüsselte Verbindung (389, 636, StartTLS)
    • Einbinden des CA-Zertifikates
    • LDAP Filterverknüpfungen
    • Troubleshooting und Debuggen einer LDAP Verbindung
  • Pluggable Authentication Modules (PAM)
    • Aufbau der PAM Konfigurationsdateien
    • PAM Verwaltungsprogramme der einzelnen Distributionen
    • Aktivieren von pam_mkhomedir, pam_ldap, pam_sss
  • LDAP Anbindung via SSSD
    • LDAP spezifische Parameter in sssd.conf
    • Troubleshooting LDAP Probleme
    • /etc/sssd/sssd.conf
    • Aufbau der Konfigurationsdatei im Detail
    • SSSD Provider im Vergleich
    • Cache und enumerate Einstellungen
    • Auswahl des richtigen ldap_schema (rfc2307, rfc2307bis, ipa, ad)
    • ldap_uri und Service Discovery
  • Troubleshooting SSSD
    • SSSD Log Dateien Verwaltung
    • Debug Level Anpassungen
    • SSSD Cache Dateien löschen
    • Diagnose mit sssctl
  • SSSD Zugriffsbeschränkungen
    • SSSD Access control Providers (access_provider)
    • simple access Provider im Detail
    • ldap access Provider im Detail
    • Debugging von Problemen bei der Zugriffsbeschränkung
  • Kerberos Grundlagen
    • Kerberos Terms (Principal, Realm, Cross Realms,...)
    • Kerberos Komponenten (KDC, AS, TGT, TGS, ADM, ...)
    • Kerberos Kommunikationsablauf im Detail
    • GSSAPI, SPNEGO, SSPI
    • Cross-Realm-Authentifizierung
    • Aufbau der Kerberos Client Datei /etc/krb5.conf
  • Kerberos Authentifizierung
    • Active Directory Installation auf Windows Server 2019
    • Manuelles einbinden eines Linux Hosts im ADS
    • Host Objekt erstellen, Kerberos Attribute erstellen, Keytab auf Linux einbinden
    • SSSD Kerberos und AD Integration
    • SSSD Kerberos und FreeIPA Integration
    • Kerberos spezifische Parameter in sssd.conf
    • ldap vs ad id_provider
    • SSH Zugriff via Kerberos Ticket
    • SSSD und realmd Einbindung
  • Fortgeschrittene sssd.conf Parameter
    • Heimatverzeichnis
    • Login Shell
    • SID <-> UID Mapping
    • SUDO Regeln zentral in FreeIPA und ADS speichern
    • ...

 

Empfohlene Vorkenntnisse

Dieser Kurs richtet sich an Absolventen des Kurses:  "Linux 2 - System Administration"

Details zu diesem Open Source Training

Kurstitel: SSSD Integration mit Kerberos, LDAP, Active Directory und FreeIPA
Kurspreis: 1.390,00 € exkl. MwSt
pro Teilnehmer, Standardpreis ohne Rabatt

Kursdatum:    
Kurszeiten:

01.09.22 - 02.09.22
09:30 - 17:00
Alternative Termine stehen am Ende dieser Seite


Dieses Training findet in der typischen Classroom Variante und in der Live Variante übers Internet statt. Sie können selber entscheiden welche Variante besser für sie passt.


Kursort:


Das Classroom Training findet statt bei:

LinuxCampus
Brodtischgasse 4
2700 Wr. Neustadt (Österreich) Austria
Website des Veranstaltungsortes
LinuxCampus
Das Live Training findet statt bei:

Sie können vom jedem Ort teilnehmen von dem Sie möchten und es ist keine Anreise notwendig. Sie benötigen nur eine Webcam, einen Webbrowser und einen VNC-Client für den Zugriff auf ihr Teilnehmer LAB.

Details:

Der Kurs ist auf 10 Teilnehmer beschränkt
Die Unterrichtssprache ist Deutsch
Die Kursunterlagen werden im PDF Format bereitgestellt
Jeder Teilnehmer erhält ein Kurszertifikat
Kalt- und Heißgetränke und Snacks werden kostenlos bereitgestellt

Kennen Sie schon das LinuxCampus.net Rabatt & Bonus System?

Den Kurstermin 01.09.22 - 02.09.22 buchen

Schritt 1:  Auswahl der Kursvariante (Classroom oder Live)
Schritt 2:  Angabe der Teilnehmer Daten

Dieser Termin ist leider bereits AUSGEBUCHT!


Alternative Kursmöglichkeiten

Alternativer Kursort:
Dieses Thema kann auch als In-House Training oder Einzeltraining gebucht werden

Alternativer Termin:
Ab 3 Teilnehmern bieten wir Ihnen gerne einen auf Ihre Bedürfnisse abgestimmten Termin an

Weitere Termine zu diesem Kursthema

Datum Kurstitel Ort
01.09.2022 - 02.09.2022 09.30 SSSD Integration mit Kerberos, LDAP, Act... LinuxCampus
21.11.2022 - 22.11.2022 09.30 SSSD Integration mit Kerberos, LDAP, Act... LinuxCampus

Diese Seite verwendet Cookies. Für eine uneingeschränkte Nutzung der Webseite werden Cookies benötigt. Sie stimmen der Verwendung von Cookies durch Anklicken von "OK" zu. Nähere Informationen finden Sie in unseren Datenschutzbestimmungen und unter dem folgenden Link "Weitere Informationen".