TERA. Настройка SASL-аутентификации

• проверить наличие установленных пакетов sasl2-bin, libsasl2-2, libsasl2-modules, libsasl2-modules-gssapi-mit. Если пакеты не найдены, то установить их:

sudo apt install sasl2-bin libsasl2-2 libsasl2-modules libsasl2-modules-gssapi-mit

• выполнить настройку службы saslauthd:
  • если в конфигурационном файле /etc/sasl2/host.conf задано mech_list: plain, то убедиться, что пользователь fly-dm и все пользователи, которые будут подключаться по протоколу TERA, добавлены в группу sasl. Если пользователя в группе нет, то добавить его:

sudo usermod -a -G sasl fly-dm

• • убедиться, что в файле /etc/default/saslauthd установлены параметры: 

MECHANISMS="pam" 
START=yes

• • если в конфигурационном файле /etc/sasl2/host.conf задано mech_list: plain, то убедиться, что группа sasl имеет доступ на чтение сертификатов, расположенных в каталоге /etc/termidesk/tera/sasl/;

• • активировать и запустить службу saslauthd:

sudo systemctl enable saslauthd
sudo systemctl start saslauthd

• в конфигурационном файле /etc/X11/xorg.conf.d/30-teraqxl.xorg.conf задать параметру SpiceSasl значение True;
• проверить корректность конфигурационного файла /etc/sasl2/host.conf. Пример файла по умолчанию после установки:

mech_list: plain
log_level: 7
pwcheck_method: saslauthd
auxprop_plugin: pam

Для дополнительной настройки SASL-аутентификации в режиме Kerberos следует:

• привести конфигурационный файл /etc/sasl2/host.conf к виду:

mech_list: gssapi
log_level: 7
keytab: /etc/krb5.keytab
service_principal: "*"

• при изменении файла /etc/sasl2/host.conf нужно перезапустить службу display-manager:

sudo systemctl restart display-manager

• выполнить настройку службы SSSD:
  • убедиться, что в файле конфигурации службы sssd (/etc/sssd/conf.d/*.conf) заданы строки в секции настроек домена. Если строк нет, то добавить (в примере LOCAL.DOMAIN - имя домена):

default_domain_suffix = LOCAL.DOMAIN
use_fully_qualified_names = False

• • перезапустить службу sssd:

sudo systemctl restart sssd