Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
ldap_client [Le 08/07/2009, 11:33] 213.95.41.13 |
ldap_client [Le 11/09/2022, 11:29] (Version actuelle) moths-art Suppression des espaces en fin de ligne (détecté et corrigé via le bot wiki-corrector (https://forum.ubuntu-fr.org/viewtopic.php?id=2067892) |
||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | {{tag>annuaire ldap BROUILLON}} | + | {{tag>BROUILLON pam}} |
---- | ---- | ||
Ligne 13: | Ligne 13: | ||
===== Note pour Gutsy ===== | ===== Note pour Gutsy ===== | ||
- | Il y a un nouvel outil dans Gutsy pour modifier les outils de pam et de nsswitch en même temps : | + | Il y a un nouvel outil dans Gutsy pour modifier les outils de pam et de nsswitch en même temps : |
sudo auth-client-config -a -p lac_ldap | sudo auth-client-config -a -p lac_ldap | ||
- | ===== L'intallation et la configuration de LDAP ===== | + | ===== L’installation et la configuration de LDAP ===== |
- | ==== Installation des paquets ==== | + | |
- | + | ||
- | Vous avez besoin des paquets suivant ''libpam-ldap'' et ''libnss-ldap'' pour la configuration du client : | + | |
- | + | ||
- | sudo apt-get install libpam-ldap libnss-ldap | + | |
- | + | ||
- | Pendant l'installation, vous allez avoir à répondre à ces questions : | + | |
- | * **L'adresse du serveur LDAP utilisé**. Vous pouvez aussi utiliser un **fully qualified domain**. Par exemple : **ldap.exemple.com** | + | |
- | sur l'image ci dessous, à la place de 127.0.0.1, choisissez lIP de votre serveur, c'est la meilleure solution pour eviter les problèmes. | + | |
- | {{:configuration-ldap-nss-pam.png|}} | + | |
- | * **Le nom de la base de recherche**. For exemple **dc=example,dc=com** | + | |
- | * **La version de LDAP à utiliser**. Vous choisirez habituellement **3**. | + | |
- | * **Si votre base de donnée requiert une connection**. Vous choisirez habituellement **no** ici. | + | |
- | * **Si vous voulez faire une configuration en Lecture/Écriture par le propriétaire seulement**. Donc **no** devrait être la réponse. | + | |
- | * Le prochain dialogue vous explique qu'il ne peut configurer **nsswitch.conf** automatiquement. | + | |
- | * **Si vous voulez que le root local soit l'administrateur de la base de données**, vous devez habituellement choisir **yes** ici. | + | |
- | * Ensuite, **si votre base de données requiert une connexion**. Vous devez choisir **no** ici. | + | |
- | * **Votre compte root**. Par exemple : **cn=manager,dc=example,dc=com** | + | |
- | * **Son mot de passe**. | + | |
- | * Ensuite, la boite de dialogue vous explique les différentes méthode de crypyage. On va vous demander d'indiquer **la méthode de cryptage avant d'envoyer le mot de passe**. **exop** est habituellement un bon choix. | + | |
- | + | ||
- | <note important>Ici, une explication des fichiers créés et de leur contenus serait la bienvenue. Ainsi que les modifications manuelles, possibles</note> | + | |
- | + | ||
- | Un petit dpkg-reconfigure libpam-ldap permet de refaire cette configuration, au cas ou! | + | |
==== La configuration de nsswitch.conf ==== | ==== La configuration de nsswitch.conf ==== | ||
Ligne 50: | Ligne 26: | ||
et remplacer **compat** par **ldap files** ou par cette commande dans vi : | et remplacer **compat** par **ldap files** ou par cette commande dans vi : | ||
- | s/compat/ldap files/g | + | :g/compat/s//files ldap/g |
+ | |||
+ | Votre fichier /etc/nsswitch.conf doit alors contenir les lignes suivantes : | ||
+ | |||
+ | <code> | ||
+ | passwd: files ldap | ||
+ | group: files ldap | ||
+ | shadow: files ldap | ||
+ | </code> | ||
+ | |||
+ | Pensez à **redémarrer le démon nscd**, qui garde en cache les résultats : | ||
+ | /etc/init.d/nscd restart | ||
+ | ou | ||
- | <note important>Un modele du fichier nssswitch.conf serait ici aussi bienvenue avec quelques commentaires sur les lignes de ce même fichier</note> | + | service nscd restart |
===== Tester la configuration de nsswitch.conf avec getent ===== | ===== Tester la configuration de nsswitch.conf avec getent ===== | ||
Ligne 65: | Ligne 53: | ||
getent group <someldapgroup> | getent group <someldapgroup> | ||
- | Si vous avez une réponse dans les deux cas **nsswitch.conf** est correctement configuré la seule chose qui reste à faire est de configurer PAM. | + | Si vous avez une réponse dans les deux cas **nsswitch.conf** est correctement configuré la seule chose qui reste à faire est |
- | <note important>Sans réponses, quels sont les points à vérifier pour trouver l'origine du problème ?</note> | + | de configurer PAM. |
- | ===== Changer l'ordre de l'authentification dans nsswitch.conf ===== | + | Il est aussi possible de taper directement : getent passwd vous devez alors voir tous les utilisateurs de votre serveur ldap. Si ce n'est pas le cas, éditez et vérifiez le contenu des fichiers **/etc/ldap/ldap.conf** et **/etc/libnss-ldap.conf**. Pour modifier ce dernier utilsez la commande : |
+ | <code> dpkg-reconfigure libnss-ldap | ||
+ | </code> | ||
- | Vous pouvez interchanger **ldap** et **files** pour que pam vérifie d'abors dans les fichiers locaux et ensuite sur le serveur LDAP : | + | <note important>Sans réponses, quels sont les points à vérifier pour trouver l'origine du problème ?</note> |
+ | <note> Sans réponses voir si le nom de la base de recherche (ici Par exemple dc=example,dc=com) est bon; Vérifier si l'adresse IP du serveur LDAP est le bon (la majeur parti des problèmes proviennent d'ici) ou alors oublie du restart du deamon nscd </note> | ||
- | sudo vi /etc/nsswitch.conf | ||
- | ...et changez les lignes : | ||
- | |||
- | passwd: files ldap | ||
- | group: files ldap | ||
- | shadow: files ldap | ||
===== Configuration de PAM ===== | ===== Configuration de PAM ===== | ||
Ligne 104: | Ligne 89: | ||
auth required pam_unix.so nullok_secure use_first_pass | auth required pam_unix.so nullok_secure use_first_pass | ||
+ | Bonsoir à tous ! | ||
==== /etc/pam.d/common-password ==== | ==== /etc/pam.d/common-password ==== | ||
Ligne 120: | Ligne 106: | ||
===== Utilisez des mots de passe plus complexes ===== | ===== Utilisez des mots de passe plus complexes ===== | ||
- | Pour l'utilisation de mot de passe plus difficile à être cassés il vous suffit d'installer le paquet ''libpam-cracklib'' : | + | Pour l'utilisation de mots de passe plus difficiles à casser, il vous suffit d'installer le paquet ''libpam-cracklib'' : |
sudo apt-get install libpam-cracklib | sudo apt-get install libpam-cracklib | ||
Ligne 167: | Ligne 153: | ||
* Je ne peux promettre que ce document soit sans erreur mais je l'ai testé et il fonctionne. | * Je ne peux promettre que ce document soit sans erreur mais je l'ai testé et il fonctionne. | ||
+ | |||
+ | ===== Alternative ===== | ||
+ | Vous pouvez aussi voir cette procédure réécrite en phase de validation à https://doc.ubuntu-fr.org/utilisateurs/fr.laugier/ldap_client | ||
+ | |||
+ | ==== Installation d'un client LDAP sur ubuntu 14.04 / Linux Mint 17 ==== | ||
+ | Je me permets d'avancer une autre méthode que j'ai suivi, celle énoncée ici n'ayant pas fonctionné. | ||
+ | |||
+ | Tout d'abord pour installer le client sur une ubuntu/mint 14.04, j'ai suivi ce tuto pour activer l'authentification lorsque le serveur LDAP est accessible | ||
+ | |||
+ | === Online Mode (Serveur LDAP Accessible) === | ||
+ | Pour configurer le client ldap sur ma distrib ubuntu, j'ai suivi ce tuto qui a fonctionné comme un charme : | ||
+ | |||
+ | https://www.digitalocean.com/community/tutorials/how-to-authenticate-client-computers-using-ldap-on-an-ubuntu-12-04-vps | ||
+ | |||
+ | et pour la conf de mes laptop, j'ai ajouté ceci | ||
+ | |||
+ | === Offline mode (Serveur LDAP inaccessible - Laptop itinérants) === | ||
+ | |||
+ | <code> | ||
+ | sudo apt-get install nss-updatedb libnss-db libpam-ccreds nslcd | ||
+ | sudo nss_updatedb ldap | ||
+ | </code> | ||
+ | Editer le fichier /etc/nsswitch.conf tel que: | ||
+ | <file> | ||
+ | passwd: files ldap [NOTFOUND=return] db | ||
+ | group: files ldap [NOTFOUND=return] db | ||
+ | </file> | ||
+ | ensuite éditer etc/pam.d/common-account pour remplacer la ligne | ||
+ | <file> | ||
+ | account [success=1 default=ignore] pam_ldap.so | ||
+ | </file> | ||
+ | par | ||
+ | <file> | ||
+ | account [success=1 authinfo_unavail=1 default=ignore] pam_ldap.so | ||
+ | </file> | ||
+ | il suffira maintenant d'un : | ||
+ | <code>sudo nss_updatedb ldap</code> | ||
+ | pour mettre à jour la copie locale des users LDAP | ||
+ | <note help>a noter que pour qu'un utilisateur puisse se connecter hors ligne, il aura du préalablement se logguer sur cette machine alors qu'elle pouvait contacter le serveur LDAP pour un premier check du mot de passe</note> | ||
===== Crédits ===== | ===== Crédits ===== | ||
Ligne 172: | Ligne 197: | ||
Source : traduction de https://wiki.ubuntu.com/LDAPClientAuthentication | Source : traduction de https://wiki.ubuntu.com/LDAPClientAuthentication | ||
- | * La plupart des informations viennent de cette page : http://craige.mcwhirter.com.au/2005/ubuntu-ldap-client.html | + | * La plupart des informations viennent de cette page : |
+ | http://mcwhirter.com.au/craige/blog/2006/Making-a-Debian-or-Ubuntu-Machine-an-LDAP-Authentication-Client | ||
* Des informations additionnelles peuvent être trouvées ici : | * Des informations additionnelles peuvent être trouvées ici : | ||
* http://www.gentoo.org/doc/en/ldap-howto.xml | * http://www.gentoo.org/doc/en/ldap-howto.xml |