home.social

#sssd — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #sssd, aggregated by home.social.

  1. Записки импортозамещенца: как обеспечить централизованную аутентификацию в Linux, серверная часть для SSSD

    Привет, Хабр! Меня зовут Никита, и я являюсь инженером ИБ-компании «Экстрим безопасность». В предыдущей статье мы обсудили, что для централизованной аутентификации в Linux чаще всего используют службу SSSD, которая изначально разрабатывалась для FreeIPA, но поддерживает и другие бэкенды. Давайте познакомимся теперь внимательнее со всеми этими возможностями.

    habr.com/ru/companies/astralin

    #linux #freeipa #samba #activedirectory #sssd #импортозамещение #служба_каталога #системное_администрирование #учебный_процесс #astralinux

  2. Записки импортозамещенца: как обеспечить централизованную аутентификацию в Linux, серверная часть для SSSD

    Привет, Хабр! Меня зовут Никита, и я являюсь инженером ИБ-компании «Экстрим безопасность». В предыдущей статье мы обсудили, что для централизованной аутентификации в Linux чаще всего используют службу SSSD, которая изначально разрабатывалась для FreeIPA, но поддерживает и другие бэкенды. Давайте познакомимся теперь внимательнее со всеми этими возможностями.

    habr.com/ru/companies/astralin

    #linux #freeipa #samba #activedirectory #sssd #импортозамещение #служба_каталога #системное_администрирование #учебный_процесс #astralinux

  3. Записки импортозамещенца: как обеспечить централизованную аутентификацию в Linux, серверная часть для SSSD

    Привет, Хабр! Меня зовут Никита, и я являюсь инженером ИБ-компании «Экстрим безопасность». В предыдущей статье мы обсудили, что для централизованной аутентификации в Linux чаще всего используют службу SSSD, которая изначально разрабатывалась для FreeIPA, но поддерживает и другие бэкенды. Давайте познакомимся теперь внимательнее со всеми этими возможностями.

    habr.com/ru/companies/astralin

    #linux #freeipa #samba #activedirectory #sssd #импортозамещение #служба_каталога #системное_администрирование #учебный_процесс #astralinux

  4. Записки импортозамещенца: как обеспечить централизованную аутентификацию в Linux, серверная часть для SSSD

    Привет, Хабр! Меня зовут Никита, и я являюсь инженером ИБ-компании «Экстрим безопасность». В предыдущей статье мы обсудили, что для централизованной аутентификации в Linux чаще всего используют службу SSSD, которая изначально разрабатывалась для FreeIPA, но поддерживает и другие бэкенды. Давайте познакомимся теперь внимательнее со всеми этими возможностями.

    habr.com/ru/companies/astralin

    #linux #freeipa #samba #activedirectory #sssd #импортозамещение #служба_каталога #системное_администрирование #учебный_процесс #astralinux

  5. Записки импортозамещенца: как обеспечить централизованную аутентификацию в Linux

    Привет, Хабр! Меня зовут Никита, и я из тех, кого принято называть импортозамещенцами. Я работаю в компании-интеграторе по ИБ «Экстрим безопасность», которая помогает заказчикам как с банальным PaperSec'ом, так и в вопросах результативного кибербеза. В нашем арсенале широкий спектр решений: начиная с SecretNet Studio, Dallas Lock, защищённых сетей, и до NGFW и продуктов из экосистемы Positive Technologies. И тем не менее, не смотря на ИБ-шный профиль компании, нам все-таки не удалось увернуться от тотального импортозамеса, который начался в 2022 году.

    habr.com/ru/companies/astralin

    #linux #freeipa #samba #activedirectory #sssd #импортозамещение #служба_каталога #системное_администрирование #учебный_процесс #astralinux

  6. Записки импортозамещенца: как обеспечить централизованную аутентификацию в Linux

    Привет, Хабр! Меня зовут Никита, и я из тех, кого принято называть импортозамещенцами. Я работаю в компании-интеграторе по ИБ «Экстрим безопасность», которая помогает заказчикам как с банальным PaperSec'ом, так и в вопросах результативного кибербеза. В нашем арсенале широкий спектр решений: начиная с SecretNet Studio, Dallas Lock, защищённых сетей, и до NGFW и продуктов из экосистемы Positive Technologies. И тем не менее, не смотря на ИБ-шный профиль компании, нам все-таки не удалось увернуться от тотального импортозамеса, который начался в 2022 году.

    habr.com/ru/companies/astralin

    #linux #freeipa #samba #activedirectory #sssd #импортозамещение #служба_каталога #системное_администрирование #учебный_процесс #astralinux

  7. Записки импортозамещенца: как обеспечить централизованную аутентификацию в Linux

    Привет, Хабр! Меня зовут Никита, и я из тех, кого принято называть импортозамещенцами. Я работаю в компании-интеграторе по ИБ «Экстрим безопасность», которая помогает заказчикам как с банальным PaperSec'ом, так и в вопросах результативного кибербеза. В нашем арсенале широкий спектр решений: начиная с SecretNet Studio, Dallas Lock, защищённых сетей, и до NGFW и продуктов из экосистемы Positive Technologies. И тем не менее, не смотря на ИБ-шный профиль компании, нам все-таки не удалось увернуться от тотального импортозамеса, который начался в 2022 году.

    habr.com/ru/companies/astralin

    #linux #freeipa #samba #activedirectory #sssd #импортозамещение #служба_каталога #системное_администрирование #учебный_процесс #astralinux

  8. Записки импортозамещенца: как обеспечить централизованную аутентификацию в Linux

    Привет, Хабр! Меня зовут Никита, и я из тех, кого принято называть импортозамещенцами. Я работаю в компании-интеграторе по ИБ «Экстрим безопасность», которая помогает заказчикам как с банальным PaperSec'ом, так и в вопросах результативного кибербеза. В нашем арсенале широкий спектр решений: начиная с SecretNet Studio, Dallas Lock, защищённых сетей, и до NGFW и продуктов из экосистемы Positive Technologies. И тем не менее, не смотря на ИБ-шный профиль компании, нам все-таки не удалось увернуться от тотального импортозамеса, который начался в 2022 году.

    habr.com/ru/companies/astralin

    #linux #freeipa #samba #activedirectory #sssd #импортозамещение #служба_каталога #системное_администрирование #учебный_процесс #astralinux

  9. Join-to-domain. Вводим устройство под управлением РЕД ОС в домен и забываем про скучные мануалы

    Привет, Хабр! Меня зовут Владлен, я ― инженер-программист отдела разработки РЕД ОС. Ко мне пришли с предложением рассказать об утилите, которую мы создали для быстрого ввода устройств на базе РЕД ОС в домен. Тема интересная, ведь join-to-domain умеет в несколько механизмов подключения, пережил перенос на другой язык программирования и дружит с РЕД АДМ. Итак, сегодня я расскажу подробнее о том, как мы создали join-to-domain и как использовать его на благо вашей ИТ-инфраструктуры.

    habr.com/ru/companies/redsoft/

    #ред_ос #утилита #Ввод_в_домен #Linux #Active_Directory #Samba #SSSD #Winbind #Автоматизация #администрирование

  10. Join-to-domain. Вводим устройство под управлением РЕД ОС в домен и забываем про скучные мануалы

    Привет, Хабр! Меня зовут Владлен, я ― инженер-программист отдела разработки РЕД ОС. Ко мне пришли с предложением рассказать об утилите, которую мы создали для быстрого ввода устройств на базе РЕД ОС в домен. Тема интересная, ведь join-to-domain умеет в несколько механизмов подключения, пережил перенос на другой язык программирования и дружит с РЕД АДМ. Итак, сегодня я расскажу подробнее о том, как мы создали join-to-domain и как использовать его на благо вашей ИТ-инфраструктуры.

    habr.com/ru/companies/redsoft/

    #ред_ос #утилита #Ввод_в_домен #Linux #Active_Directory #Samba #SSSD #Winbind #Автоматизация #администрирование

  11. Join-to-domain. Вводим устройство под управлением РЕД ОС в домен и забываем про скучные мануалы

    Привет, Хабр! Меня зовут Владлен, я ― инженер-программист отдела разработки РЕД ОС. Ко мне пришли с предложением рассказать об утилите, которую мы создали для быстрого ввода устройств на базе РЕД ОС в домен. Тема интересная, ведь join-to-domain умеет в несколько механизмов подключения, пережил перенос на другой язык программирования и дружит с РЕД АДМ. Итак, сегодня я расскажу подробнее о том, как мы создали join-to-domain и как использовать его на благо вашей ИТ-инфраструктуры.

    habr.com/ru/companies/redsoft/

    #ред_ос #утилита #Ввод_в_домен #Linux #Active_Directory #Samba #SSSD #Winbind #Автоматизация #администрирование

  12. Join-to-domain. Вводим устройство под управлением РЕД ОС в домен и забываем про скучные мануалы

    Привет, Хабр! Меня зовут Владлен, я ― инженер-программист отдела разработки РЕД ОС. Ко мне пришли с предложением рассказать об утилите, которую мы создали для быстрого ввода устройств на базе РЕД ОС в домен. Тема интересная, ведь join-to-domain умеет в несколько механизмов подключения, пережил перенос на другой язык программирования и дружит с РЕД АДМ. Итак, сегодня я расскажу подробнее о том, как мы создали join-to-domain и как использовать его на благо вашей ИТ-инфраструктуры.

    habr.com/ru/companies/redsoft/

    #ред_ос #утилита #Ввод_в_домен #Linux #Active_Directory #Samba #SSSD #Winbind #Автоматизация #администрирование

  13. We are almost ready with #FreeIPA #SSSD #Keycloak stand at #FOSDEM. Come to visit us at building K!

  14. About to leave to Brussels for #CentOSConnect and #FOSDEM. We will have a #FreeIPA / #SSSD / #Keycloak stand on Saturday (at building K level 1 group C) and Identity and Access Management devroom (H.2214) on Sunday.

    Come to see and discuss!

  15. Been setting up and testing #tlog + #sssd for #Linux session recording. It's looking quite nice.

  16. Мониторинг SSSD через D-Bus: создаем собственный Ansible-модуль вместо sssctl

    Привет, Хабр! Сегодня хочу поделиться опытом того, как я отказался от стандартной утилиты мониторинга SSSD в пользу прямого общения с демоном через D-Bus и создал полнофункциональный Ansible-модуль. Избавиться от зависимости!

    habr.com/ru/companies/astralin

    #ansible #freeipa #sssd #dbus #dbusmonitor #activedirectory #ansible_roles #opensource #шина_данных

  17. Мониторинг SSSD через D-Bus: создаем собственный Ansible-модуль вместо sssctl

    Привет, Хабр! Сегодня хочу поделиться опытом того, как я отказался от стандартной утилиты мониторинга SSSD в пользу прямого общения с демоном через D-Bus и создал полнофункциональный Ansible-модуль. Избавиться от зависимости!

    habr.com/ru/companies/astralin

    #ansible #freeipa #sssd #dbus #dbusmonitor #activedirectory #ansible_roles #opensource #шина_данных

  18. Мониторинг SSSD через D-Bus: создаем собственный Ansible-модуль вместо sssctl

    Привет, Хабр! Сегодня хочу поделиться опытом того, как я отказался от стандартной утилиты мониторинга SSSD в пользу прямого общения с демоном через D-Bus и создал полнофункциональный Ansible-модуль. Избавиться от зависимости!

    habr.com/ru/companies/astralin

    #ansible #freeipa #sssd #dbus #dbusmonitor #activedirectory #ansible_roles #opensource #шина_данных

  19. Мониторинг SSSD через D-Bus: создаем собственный Ansible-модуль вместо sssctl

    Привет, Хабр! Сегодня хочу поделиться опытом того, как я отказался от стандартной утилиты мониторинга SSSD в пользу прямого общения с демоном через D-Bus и создал полнофункциональный Ansible-модуль. Избавиться от зависимости!

    habr.com/ru/companies/astralin

    #ansible #freeipa #sssd #dbus #dbusmonitor #activedirectory #ansible_roles #opensource #шина_данных

  20. Как поручить работу с доменом стандартным средствам Linux

    В этой статье мы расскажем, как использовать сторонние библиотеки PAM непосредственно из кода для делегирования задач достаточно гибким способом. В прошлом у нас уже была статья про разработку и применение простого PAM модуля для работы со смарт-картами. Рекомендуем ознакомиться для полного понимания.

    habr.com/ru/companies/aktiv-co

    #домен #pam #аутентификация #sssd #2fa

  21. Hmmm.... #SSSD zickt rum während #Winbind brav seinen Dienst tut. Irgendwas ist doch da im argen 😩

  22. Hmmm.... #SSSD zickt rum während #Winbind brav seinen Dienst tut. Irgendwas ist doch da im argen 😩

  23. Hmmm.... #SSSD zickt rum während #Winbind brav seinen Dienst tut. Irgendwas ist doch da im argen 😩

  24. Hmmm.... #SSSD zickt rum während #Winbind brav seinen Dienst tut. Irgendwas ist doch da im argen 😩

  25. Hmmm.... #SSSD zickt rum während #Winbind brav seinen Dienst tut. Irgendwas ist doch da im argen 😩

  26. #FOSDEM
    Our proposal for #FreeIPA #SSSD #Keycloak #OpenWallet stand was accepted this year! We have some demo ideas but if you want to see an integration/feature demoed, tell us!

    fosdem.org/2026/news/2025-11-1

  27. Auf meinem Arbeitslaptop läuft nun endlich #Linux statt Windows – aus Gründen leider wohl nur auf Zeit. :tux: :fedora: #Fedora wurde die Distri der Wahl, weil ich das mal richtig im Alltag testen will ich im Job vor allem mit #RedHat basierten Servern arbeite. Fedora Workstation macht Spaß! Teste aktuell auch ausgiebig #Gnome (privat nutze ich seit Jahren #Plasma).

    Vom eigentlich ganz coolen #WSL unter Windows hatte ich inzwischen die Fresse gestrichen voll: Immer wieder brauchte ich komplizierte Workarounds für bestimmte Netzwerksachen und um Windows und #WSL2 korrekt zu verbinden.

    Trotz wirklich langjähriger #Linux-Erfahrung brauchte ich da auch den ein oder anderen Tipp von einem Kollegen (z.B. Mounten von Netzwerklaufwerken im AD-Umfeld via #SSSD) und habe auch ewig an der korrekten HTTP-Proxy-Konfiguration gebastelt. Die Sicherheitsschicht #SELinux interferierte dann noch beim #OpenVPN. Man muss dazu aber auch sagen: Das sind alles ganz schöne Spezialprobleme, die man auch in anderen Varianten unter Windows hat und ebenso Gefrickel erfordern. Aber jetzt läuft alles. 🙂

  28. Лучшие практики настройки кэширования DNS на рабочих станциях Linux в домене

    Привет, Хабр! C вами сегодня Владимир Кудрявцев, Илья Князев и Иван Пономарев. Дело было вечером, дебажить было нечего. К нам пришел Анатолий, менеджер продукта ALD Pro, и попросил разобраться, с чего это Linux приходит в такую задумчивость от недоступности первых двух DNS-серверов, в то время как Windows вполне нормально справляется с таким сценарием. «Да, как два байта переслать,» – подумали мы. И начался квест длиной в две недели. Материалы будут полезны, даже если вы все ещё используете обычные Linux-системы с ванильными версиями компонентов. Knock, knock, Neo.

    habr.com/ru/companies/astralin

    #dns #astralinux #linux #ald pro #freeipa #sssd #systemdresolvd #системное_администрирование #импортозамещение

  29. Как FreeIPA защищает SSH от MITM-атак

    Привет, Хабр! Сегодня мы предлагаем погрузиться во внутреннюю кухню протокола SSH, заострив особое внимание на его интеграции с доменом FreeIPA. Настройка такого взаимодействия будет интересна администраторам, привыкшим к централизованному управлению Windows-серверами и рабочими местами, входящими в состав MS AD. Развитие нашей продуктовой линейки включает глубокий анализ технологического стека, и мы хотим поделиться с читателями результатами своих исследований. Как известно, время — деньги, поэтому инженеры стараются настраивать удаленный доступ везде, где только можно, чтобы ничего не администрировать ногами.

    habr.com/ru/companies/astralin

    #ssh #freeipa #ald_pro #mitm #ключи #dh #sshfp #kerberos #sssd #диффихеллман

  30. @signaleleven @pid_eins @jasmin

    Hi @nik ,

    I wonder how this can help my Linux Desktop project @eu_os to get SSO with existing #OIDC servers such as Keykcloak/authentik/EU Login. It seems your documentation does not build properly. docs.bergblau.io/components/we is blank.

    #SSSD #EU_OS #iDM #EULogin

  31. I got back to #WebIDAMd, a #systemd-userdbd-based system for using #OAuth / #OIDC / #REST identity providers for #Linux system authentication.

    And I can now show off a first demo (no #PAM authentication yet, but user and group listing):

    asciinema.org/a/728567

    In contrast to #sssd's recent OIDC module, WebIDAMd is fully provider-agnostic and integrates transparently with userdbd, the current/upcoming standard in most Linux distributions instead of requiring a full separate software stack.

  32. I got back to #WebIDAMd, a #systemd-userdbd-based system for using #OAuth / #OIDC / #REST identity providers for #Linux system authentication.

    And I can now show off a first demo (no #PAM authentication yet, but user and group listing):

    asciinema.org/a/728567

    In contrast to #sssd's recent OIDC module, WebIDAMd is fully provider-agnostic and integrates transparently with userdbd, the current/upcoming standard in most Linux distributions instead of requiring a full separate software stack.

  33. I got back to #WebIDAMd, a #systemd-userdbd-based system for using #OAuth / #OIDC / #REST identity providers for #Linux system authentication.

    And I can now show off a first demo (no #PAM authentication yet, but user and group listing):

    asciinema.org/a/728567

    In contrast to #sssd's recent OIDC module, WebIDAMd is fully provider-agnostic and integrates transparently with userdbd, the current/upcoming standard in most Linux distributions instead of requiring a full separate software stack.

  34. I got back to #WebIDAMd, a #systemd-userdbd-based system for using #OAuth / #OIDC / #REST identity providers for #Linux system authentication.

    And I can now show off a first demo (no #PAM authentication yet, but user and group listing):

    asciinema.org/a/728567

    In contrast to #sssd's recent OIDC module, WebIDAMd is fully provider-agnostic and integrates transparently with userdbd, the current/upcoming standard in most Linux distributions instead of requiring a full separate software stack.

  35. I got back to #WebIDAMd, a #systemd-userdbd-based system for using #OAuth / #OIDC / #REST identity providers for #Linux system authentication.

    And I can now show off a first demo (no #PAM authentication yet, but user and group listing):

    asciinema.org/a/728567

    In contrast to #sssd's recent OIDC module, WebIDAMd is fully provider-agnostic and integrates transparently with userdbd, the current/upcoming standard in most Linux distributions instead of requiring a full separate software stack.

  36. Доверительные отношения ALD Pro <-> SambaDC

    В связи с волной импортозамещения и в частности службы каталогов, возникает вопрос их сосуществования в гетерогенной среде и возможности построения доверительных отношений. В данной статье разберем возможности продукта ALD Pro по построение доверительных отношений с SambaDC, и далее проверим возможности модулей миграции и синхронизации, которые позволяют перейти на ALD Pro, и отказаться частично или полностью от других каталогов в инфраструктуре.

    habr.com/ru/articles/925076/

    #ald pro #astralinux #samba #freeipa #доверительные_отношения #kerberos #sssd

  37. I'm #listening to the latest mix from SSSD (kia ora e hoa!);

    freefm.org.nz/Programmes/Detai

    He drops a sample from a rah-rah post-WW2 film uses the phrase "future citizen's" to describe children in public education. That's some aspirational language. We could use a bit of that.

    (2/?)

    #podcasts #FreeFM #Deep#InSessioNZ #SSSD #music #electronic

  38. Как освоить Linux за 64 часа, и почему я инвестировал в этот проект 1.5 года своей жизни

    Привет, Хабр! Меня зовут Павел, и я расскажу вам о том, как можно быстро выйти из Матрицы освоить Linux. Мне повезло принять участие в крутом проекте по разработке учебного курса для службы каталога ALD Pro , которую Астра создала на замену MS Active Directory, и об этой истории мне хотелось бы вам поведать. Увидеть, насколько глубока кроличья нора

    habr.com/ru/companies/astralin

    #astralinux #ald_pro #linux #freeipa #samba #sssd #служба_каталогов #системное_администрирование #импортозамещение #учебный_процесс

  39. @indridi last time I had this need, #Fedora was good at it, but any distro should be able to handle it. Look up something called #sssd.

  40. I'll mark this as happened yesterday though it was my morning today:

    #YesterdayAtWork:
    - UNIX domain socket support was merged to MIT #Kerberos upstream!
    - KDB stackable driver load support was merged to MIT Kerberos upstream!
    - Investigated some of #SSSD failures in #Fedora OpenQA, two separate issues: SELinux policy (already fixed upstream) and some timing desync in OpenQA that is likely an execution race
    - bunch of meetings in past two days, including interesting discussions with customers

  41. #sssd anybody? Is it possible to tell the daemon that the TGT provider is now online eg. after VPN has been connected?

  42. @CyrilBrulebois >While #sssd supports settings for the CA certs directory, those aren't actually used

    Sounds like an sssd bug, they could easily use ldap_set_option() to make libldap use their CA cert settings.

  43. Brought to you by #strace-ing sssd to the connect(), getrandom(), and few read()/write() calls before switching to #GnuTLS localization files to get the “error message”, where it became obvious no actual certificates were being checked locally… Then checking #sssd's source code, diving into the #openldap rabbit hole and its dedicated config file, ending with:

    # TLS certificates (needed for GnuTLS)
    TLS_CACERT /etc/ssl/certs/ca-certificates.crt

  44. While #sssd supports settings for the CA certs directory, those aren't actually used, and the TLS connection to the LDAP is delegated to #openldap functions, which require… /etc/ldap/ldap.conf to point somewhere. Without that file, the server certificate is not trusted…

    And while libldap-common was pulled via the libldap-<ABI> library which was itself pulled by sssd-ldap in Debian 10, that's no longer the case in Debian 11.

  45. Today's fun: #sssd deployed on Debian 10 works fine once ca-certificates is tweaked to include the internal CA; but doesn't on Debian 11 with the exact same playbook.

    Weird “Unknown error code” in the TLS layer — THANK YOU SO MUCH CRYPTOGRAPHERS FOR ACCURATE ERROR REPORTING.

  46. Is anyone using sssd with AD on ubuntu and getting weird, intermittent and machine-dependent ID mapping failures (for users and groups)? And maybe even has a solution?

    #sssd

  47. My PR to add a better description of how identity mapping is done in FreeIPA has been finally merged. It is a bit of high level overview but should help in case you are lost:

    freeipa.readthedocs.io/en/late

    #freeipa #sssd

  48. Looking for info #alma #rocky #rhel in AD and using as a file server.

    RHEL docs seem to say #sssd is the preferred way to join domain, but they don't explain how to use sssd and NOT #winbind for #smb

    Can you use smb file shares with WIndows permissions and not use the winbind method to join AD?