SSSD Integration mit Kerberos, LDAP, Active Directory und FreeIPA

Der System Security Services Daemon (SSSD) ist ein Set von Daemons, welche die Kommunikation von Clients mit zentralen Verzeichnisdiensten und Authentifizierungsmechanismen verwalten. Die Kommunikation mit dem Client erfolgt dabei über die klassischen PAM- und NSS-Schnittstellen. Im Backend gibt es dann unterschiedliche Security-Provider, beispielsweise für die Kommunikation mit einem LDAP, Kerberos, Active Directory oder FreeIPA-Server. Dieser Kurs richtet sich an System Administratoren und Consultants, die einen soliden Einstieg in das komplexe SSSD Thema erhalten wollen.

Jeder Teilnehmer erhält sein eigenes komplexes Netzwerk bestehend aus mehreren RHEL, SLES, Debian und Windows Server VMs zur Verfügung um das erlernte Wissen testen zu können.

Agenda

• Grundlagen Identity Management
  • Identity Management (IdM)
  • Identity Access Management (IAM)
  • Verzeichnisdienste (VD)
  • Speicherbackends und Zugriffsmethoden
• Grundlagen SSSD
  • Vorteile des System Security Services Daemon (SSSD)
  • Architektur von SSSD (Monitor, Responder, Backends,...)
  • /etc/sssd/sssd.conf
  • PAM Responder Modul pam_sss.so
• DNS Server Einstellungen für LDAP und Kerberos
  • Forward Lookup Zone
  • Reverse Lookup Zone
  • Service Records (_kerberos, _ldap, _gc )
• FreeIPA
  • Einrichten eines FreeIPA Servers
  • FreeIPA Verwaltungswerkzeuge (Webinterface, ipa, ipa-*)
  • Basis Verwaltung von Benutzer, Gruppen, Passwort Richtlinien und Host Einträgen
• Name Service Switch (NSS)
  • Auflösen von Objekt Namen mit /etc/nsswitch.conf
  • NSS Service Prodvider Konfiguration
  • NSS Diagnose mit getent
  • NSS Cache Technologien (nscd, sssd)
  • Verwaltung des Name Service Caching Daemon (nscd)
  • Troubleshooting des nscd
• Grundlagen LDAP Connect
  • ldapsearch im Detail
  • Parameter in der ldap.conf
  • Verschlüsselte Verbindung (389, 636, StartTLS)
  • Einbinden des CA-Zertifikates
  • LDAP Filterverknüpfungen
  • Troubleshooting und Debuggen einer LDAP Verbindung
• Pluggable Authentication Modules (PAM)
  • Aufbau der PAM Konfigurationsdateien
  • PAM Verwaltungsprogramme der einzelnen Distributionen
  • Aktivieren von pam_mkhomedir, pam_ldap, pam_sss
• LDAP Anbindung via SSSD
  • LDAP spezifische Parameter in sssd.conf
  • Troubleshooting LDAP Probleme
  • /etc/sssd/sssd.conf
  • Aufbau der Konfigurationsdatei im Detail
  • SSSD Provider im Vergleich
  • Cache und enumerate Einstellungen
  • Auswahl des richtigen ldap_schema (rfc2307, rfc2307bis, ipa, ad)
  • ldap_uri und Service Discovery
• Troubleshooting SSSD
  • SSSD Log Dateien Verwaltung
  • Debug Level Anpassungen
  • SSSD Cache Dateien löschen
  • Diagnose mit sssctl
• SSSD Zugriffsbeschränkungen
  • SSSD Access control Providers (access_provider)
  • simple access Provider im Detail
  • ldap access Provider im Detail
  • Debugging von Problemen bei der Zugriffsbeschränkung
• Kerberos Grundlagen
  • Kerberos Terms (Principal, Realm, Cross Realms,...)
  • Kerberos Komponenten (KDC, AS, TGT, TGS, ADM, ...)
  • Kerberos Kommunikationsablauf im Detail
  • GSSAPI, SPNEGO, SSPI
  • Cross-Realm-Authentifizierung
  • Aufbau der Kerberos Client Datei /etc/krb5.conf
• Kerberos Authentifizierung
  • Active Directory Installation auf Windows Server
  • Manuelles einbinden eines Linux Hosts im ADS
  • Host Objekt erstellen, Kerberos Attribute erstellen, Keytab auf Linux einbinden
  • SSSD Kerberos und AD Integration
  • SSSD Kerberos und FreeIPA Integration
  • Kerberos spezifische Parameter in sssd.conf
  • ldap vs ad id_provider
  • SSH Zugriff via Kerberos Ticket
  • SSSD und realmd Einbindung
• Fortgeschrittene sssd.conf Parameter
  • Heimatverzeichnis
  • Login Shell
  • SID <-> UID Mapping
  • SUDO Regeln zentral in FreeIPA und ADS speichern
  • ...

Empfohlene Vorkenntnisse

Dieser Kurs richtet sich an Absolventen des Kurses:  "Linux 2 - System Administration"

Details zu diesem Open Source Training

Den Kurstermin 05.08.24 - 06.08.24 buchen

Schritt 1:  Auswahl der Kursvariante (Classroom oder Live)
Schritt 2:  Angabe der Teilnehmer Daten

Kurspreis

EUR 1.490,00

Kursart

Classroom (Präsenztraining) Live (Videokonferenz)

Firmenname

UID

Bestellnummer

Bestellername

Aktionscode

Rechnungsadresse

PLZ

Ort

Land

Teilnehmername

Anrede

Herr Frau

Telefon

eMail

Anmerkung

AGB

Hiermit bestätige ich das ich die AGB gelesen und akzeptiert habe

1 Kursvariante

2 Anmeldedetails

Alternative Kursmöglichkeiten

Alternativer Kursort:
Dieses Thema kann auch als In-House Training oder Einzeltraining gebucht werden

Alternativer Termin:
Ab 3 Teilnehmern bieten wir Ihnen gerne einen auf Ihre Bedürfnisse abgestimmten Termin an

Weitere Termine zu diesem Kursthema