Autenticação no Ubuntu com LDAP seguro do Google Workspace

Iniciado por nadinholsc, 02 de Maio de 2023, 09:27

tópico anterior - próximo tópico
Imprimir
Ir para Fim Páginas1
Ações

nadinholsc

02 de Maio de 2023, 09:27
Olé galera, beleza?

Recentemente iniciei testes para utilizar o LDAP seguro do Google Workspace como servidor LDAP para autenticações de máquinas linux.

A configuração pareceu funcionar bem, os usuários são criados, no entanto tenho notado muitos erros na autenticação, independente se a senha digitada está correta ou não.

recebo o erro "Desculpe, isso não funcionou. Tente novamente" para ubuntu 20.04, o erro "Desculpe, a autenticação por senha não funcionou. Tente novamente" para o ubuntu 22.04 ou simplesmente retorna pra tela de login.
Eventualmente o login acontece e consigo acessar o perfil criado  ou criar novos perfis.

Meu arquivo sssd.conf está desta forma:
Código Selecionar
sssd]
services = nss,pam,sudo
config_file_version = 2
domains = meudominio.com.br

[domain/meudominio.com.br]
cache_credentials = True
#Para ubuntu 20 é necessário esta linha
ldap_tls_cipher_suite = NORMAL:!VERS-TLS1.3
# Local onde está salvo o certificado do serviço LDAP para linux no Google Admin Console
ldap_tls_cert = /usr/local/share/ca-certificates/certificado.crt
# Local onde está salvo a chave do serviço LDAP para linux no Google Admin Console
ldap_tls_key = /usr/local/share/ca-certificates/chave.key
ldap_uri = ldaps://ldap.google.com:636
ldap_search_base = dc=meudominio,dc=com,dc=br
id_provider = ldap
auth_provider = ldap
ldap_schema = rfc2307bis
ldap_user_uuid = entryUUID
#ldap_groups_use_matching_rule_in_chain = true
#ldap_initgroups_use_matching_rule_in_chain = true
create_homedir = True
enumerate = false

[pam]
# Tempo em dias em que a senha expira para utilização Offline
offline_credentials_expiration = 2
offline_failed_login_attempts = 3
offline_failed_login_delay = 5

E a configuração do arquivo common-session:
Código Selecionar
session required pam_unix.so
session required        pam_mkhomedir.so skel=/etc/skel/ umask=0022
session optional pam_sss.so
session optional pam_systemd.so
session optional pam_mkhomedir.so
session optional pam_ecryptfs.so unwrap

Seria algo na configuração desses arquivos?

Desde já agradeço.

nadinholsc

#1
10 de Maio de 2023, 10:02
Consegui resolver o problema acrescentando um tempo a mais de espera do cliente a resposta do servidor.

Bastou acrescentar a linha ldap_opt_timeout = <tempo, em segundos , que o cliente aguardara a resposta do servidor>.
No meu caso coloquei ldap_opt_timeout = 120.

Aparentemente sanou o problema.
Imprimir
Ir para Topo Páginas1
Ações