Настройка SASL-аутентификации

Для основной настройки SASL-аутентификации следует:

  • проверить наличие установленных пакетов sasl2-bin, libsasl2-2, libsasl2-modules, libsasl2-modules-gssapi-mit. Если пакеты не найдены, то установить их:
sudo apt install sasl2-bin libsasl2-2 libsasl2-modules libsasl2-modules-gssapi-mit
BASH
  • выполнить настройку службы saslauthd:
    • если в конфигурационном файле /etc/sasl2/host.conf задано mech_list: plain, то убедиться, что пользователь Debian-gdm и все пользователи, которые будут подключаться по протоколу TERA, добавлены в группу sasl. Если пользователя в группе нет, то добавить его:
sudo usermod -a -G sasl Debian-gdm
BASH
    • убедиться, что в файле /etc/default/saslauthd установлены параметры: 
MECHANISMS="pam" 
START=yes
BASH
    • если в конфигурационном файле /etc/sasl2/host.conf задано mech_list: plain, то убедиться, что группа sasl имеет доступ на чтение сертификатов, расположенных в каталоге /etc/termidesk/tera/sasl/;

TERA не допускает передачу логина и пароля в открытом виде, поэтому возникает потребность в обязательном использовании SSL-режима в канале связи.

    • активировать и запустить службу saslauthd:
sudo systemctl enable saslauthd
sudo systemctl start saslauthd
BASH
  • в конфигурационном файле /etc/X11/xorg.conf.d/30-teraqxl.xorg.conf задать параметру SpiceSasl значение True;
  • проверить корректность конфигурационного файла /etc/sasl2/host.conf. Пример файла по умолчанию после установки:
mech_list: plain
log_level: 7
pwcheck_method: saslauthd
auxprop_plugin: pam
BASH

Для дополнительной настройки SASL-аутентификации в режиме Kerberos следует:

  • привести конфигурационный файл /etc/sasl2/host.conf к виду:
mech_list: gssapi
log_level: 7
keytab: /etc/krb5.keytab
service_principal: "*"
BASH
  • при изменении файла /etc/sasl2/host.conf нужно перезапустить службу display-manager:
sudo systemctl restart display-manager
BASH
  • выполнить настройку службы SSSD:
    • убедиться, что в файле конфигурации службы sssd (/etc/sssd/conf.d/*.conf) заданы строки в секции настроек домена. Если строк нет, то добавить (в примере LOCAL.DOMAIN - имя домена):
default_domain_suffix = LOCAL.DOMAIN
use_fully_qualified_names = False
BASH
    • перезапустить службу sssd:
sudo systemctl restart sssd
BASH