Rôle Ansible : sssd-ldap

Un rôle Ansible qui installe et configure sssd, nsswitch, pam et sshd pour récupérer des comptes utilisateurs à partir de LDAP.

Actuellement testé sur

• Ubuntu 18.04.2 LTS (Bionic Beaver)

Exigences

Vous devez définir certaines variables nécessaires pour vous connecter au serveur LDAP.

Bien sûr, vous pouvez définir les identifiants utilisés pour se connecter à votre serveur LDAP en texte clair, mais je recommande vivement d'utiliser Ansible Vault.

ldap_search_base: "cn=accounts,dc=example,dc=com"
ldap_user_search_base: "cn=users,cn=accounts,dc=example,dc=com"
ldap_group_search_base: "cn=groups,cn=accounts,dc=example,dc=com"
ldap_pam_filter: "&(objectclass=posixAccount)(!(nsaccountlock=True))"
ldap_bind_dn: !vault |
  $ANSIBLE_VAULT;1.1;AES256
  ( ... )
ldap_bind_pw: !vault |
  $ANSIBLE_VAULT;1.1;AES256
  ( ... )

Autres variables du rôle

Vous pouvez trouver les options disponibles dans defaults/main.yml et templates/sssd.conf.j2.

Les plus importantes sont

use_sssd: true   #  pourquoi quelqu'un voudrait-il le changer ?
sssd_use_ssh_keys_from_ldap: true
ldap_user_ssh_public_key: "ipaSshPubKey"

sshd_AuthorizedKeysCommand: /usr/bin/sss_ssh_authorizedkeys
sshd_AuthorizedKeysCommandUser: root

sssd_create_homedir: true
sssd_cache_credentials: true

Dépendances

Aucune.

Exemple de Playbook

    - hosts: servers
      roles:
         - role: weehal.sssd

Licence

BSD

Informations sur l'auteur

Ce rôle a été créé en 2019 par Michał 'warf' Łuczak