Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
ldap_client [Le 16/09/2013, 13:01] 193.253.96.225 [Installation des paquets] |
ldap_client [Le 11/09/2022, 11:29] (Version actuelle) moths-art Suppression des espaces en fin de ligne (détecté et corrigé via le bot wiki-corrector (https://forum.ubuntu-fr.org/viewtopic.php?id=2067892) |
||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | {{tag>BROUILLON}} | + | {{tag>BROUILLON pam}} |
---- | ---- | ||
Ligne 13: | Ligne 13: | ||
===== Note pour Gutsy ===== | ===== Note pour Gutsy ===== | ||
- | Il y a un nouvel outil dans Gutsy pour modifier les outils de pam et de nsswitch en même temps : | + | Il y a un nouvel outil dans Gutsy pour modifier les outils de pam et de nsswitch en même temps : |
sudo auth-client-config -a -p lac_ldap | sudo auth-client-config -a -p lac_ldap | ||
===== L’installation et la configuration de LDAP ===== | ===== L’installation et la configuration de LDAP ===== | ||
- | ==== Installation des paquets ==== | ||
- | gay | ||
- | Vous avez besoin des paquets suivants ''libpam-ldap'' et ''libnss-ldap'' pour la configuration du client : | ||
- | |||
- | sudo apt-get install libpam-ldap libnss-ldap | ||
- | |||
- | Pendant l'installation, vous allez avoir à répondre à ces questions : | ||
- | * **L'adresse du serveur LDAP utilisé**. Vous pouvez aussi utiliser un **fully qualified domain**. Par exemple : **ldap.exemple.com** | ||
- | sur l'image ci-dessous, à la place de 127.0.0.1, choisissez l'IP de votre serveur, c'est la meilleure solution pour éviter les problèmes. | ||
- | {{:configuration-ldap-nss-pam.png|}} | ||
- | * **Le nom de la base de recherche**. Par exemple **dc=example,dc=com** | ||
- | * **La version de LDAP à utiliser**. Vous choisirez habituellement **3**. | ||
- | * **Si votre base de données requiert une connexion**. Vous choisirez habituellement **no** ici. | ||
- | * **Si vous voulez faire une configuration en Lecture/Écriture par le propriétaire seulement**. Donc **no** devrait être la réponse. | ||
- | * Le prochain dialogue vous explique qu'il ne peut configurer **nsswitch.conf** automatiquement. | ||
- | * **Si vous voulez que le root local soit l'administrateur de la base de données**, vous devez habituellement choisir **yes** ici. | ||
- | * Ensuite, **si votre base de données requiert une connexion**. Vous devez choisir **no** ici. | ||
- | * **Votre compte root**. Par exemple : **cn=manager,dc=example,dc=com** | ||
- | * **Son mot de passe**. | ||
- | * Ensuite, la boite de dialogue vous explique les différentes méthodes de cryptage. On va vous demander d'indiquer **la méthode de cryptage avant d'envoyer le mot de passe**. **exop** est habituellement un bon choix. | ||
- | <note important>Ici, une explication des fichiers créés et de leur contenu serait la bienvenue. Ainsi que les modifications manuelles, possibles</note> | ||
- | |||
- | Un petit dpkg-reconfigure ldap-auth-config permet de refaire cette configuration, au cas où !!! | ||
==== La configuration de nsswitch.conf ==== | ==== La configuration de nsswitch.conf ==== | ||
Ligne 59: | Ligne 36: | ||
</code> | </code> | ||
- | Pensez à **redémarrer le démon nscd**, qui garde en cache les résultats : /etc/init.d/nscd restart | + | Pensez à **redémarrer le démon nscd**, qui garde en cache les résultats : |
+ | |||
+ | /etc/init.d/nscd restart | ||
+ | ou | ||
+ | |||
+ | service nscd restart | ||
===== Tester la configuration de nsswitch.conf avec getent ===== | ===== Tester la configuration de nsswitch.conf avec getent ===== | ||
Ligne 70: | Ligne 53: | ||
getent group <someldapgroup> | getent group <someldapgroup> | ||
- | Si vous avez une réponse dans les deux cas **nsswitch.conf** est correctement configuré la seule chose qui reste à faire est | + | Si vous avez une réponse dans les deux cas **nsswitch.conf** est correctement configuré la seule chose qui reste à faire est |
de configurer PAM. | de configurer PAM. | ||
Ligne 78: | Ligne 61: | ||
<note important>Sans réponses, quels sont les points à vérifier pour trouver l'origine du problème ?</note> | <note important>Sans réponses, quels sont les points à vérifier pour trouver l'origine du problème ?</note> | ||
+ | <note> Sans réponses voir si le nom de la base de recherche (ici Par exemple dc=example,dc=com) est bon; Vérifier si l'adresse IP du serveur LDAP est le bon (la majeur parti des problèmes proviennent d'ici) ou alors oublie du restart du deamon nscd </note> | ||
+ | |||
Ligne 104: | Ligne 89: | ||
auth required pam_unix.so nullok_secure use_first_pass | auth required pam_unix.so nullok_secure use_first_pass | ||
+ | Bonsoir à tous ! | ||
==== /etc/pam.d/common-password ==== | ==== /etc/pam.d/common-password ==== | ||
Ligne 120: | Ligne 106: | ||
===== Utilisez des mots de passe plus complexes ===== | ===== Utilisez des mots de passe plus complexes ===== | ||
- | Pour l'utilisation de mot de passe plus difficile à être cassés il vous suffit d'installer le paquet ''libpam-cracklib'' : | + | Pour l'utilisation de mots de passe plus difficiles à casser, il vous suffit d'installer le paquet ''libpam-cracklib'' : |
sudo apt-get install libpam-cracklib | sudo apt-get install libpam-cracklib | ||
Ligne 167: | Ligne 153: | ||
* Je ne peux promettre que ce document soit sans erreur mais je l'ai testé et il fonctionne. | * Je ne peux promettre que ce document soit sans erreur mais je l'ai testé et il fonctionne. | ||
+ | |||
+ | ===== Alternative ===== | ||
+ | Vous pouvez aussi voir cette procédure réécrite en phase de validation à https://doc.ubuntu-fr.org/utilisateurs/fr.laugier/ldap_client | ||
+ | |||
+ | ==== Installation d'un client LDAP sur ubuntu 14.04 / Linux Mint 17 ==== | ||
+ | Je me permets d'avancer une autre méthode que j'ai suivi, celle énoncée ici n'ayant pas fonctionné. | ||
+ | |||
+ | Tout d'abord pour installer le client sur une ubuntu/mint 14.04, j'ai suivi ce tuto pour activer l'authentification lorsque le serveur LDAP est accessible | ||
+ | |||
+ | === Online Mode (Serveur LDAP Accessible) === | ||
+ | Pour configurer le client ldap sur ma distrib ubuntu, j'ai suivi ce tuto qui a fonctionné comme un charme : | ||
+ | |||
+ | https://www.digitalocean.com/community/tutorials/how-to-authenticate-client-computers-using-ldap-on-an-ubuntu-12-04-vps | ||
+ | |||
+ | et pour la conf de mes laptop, j'ai ajouté ceci | ||
+ | |||
+ | === Offline mode (Serveur LDAP inaccessible - Laptop itinérants) === | ||
+ | |||
+ | <code> | ||
+ | sudo apt-get install nss-updatedb libnss-db libpam-ccreds nslcd | ||
+ | sudo nss_updatedb ldap | ||
+ | </code> | ||
+ | Editer le fichier /etc/nsswitch.conf tel que: | ||
+ | <file> | ||
+ | passwd: files ldap [NOTFOUND=return] db | ||
+ | group: files ldap [NOTFOUND=return] db | ||
+ | </file> | ||
+ | ensuite éditer etc/pam.d/common-account pour remplacer la ligne | ||
+ | <file> | ||
+ | account [success=1 default=ignore] pam_ldap.so | ||
+ | </file> | ||
+ | par | ||
+ | <file> | ||
+ | account [success=1 authinfo_unavail=1 default=ignore] pam_ldap.so | ||
+ | </file> | ||
+ | il suffira maintenant d'un : | ||
+ | <code>sudo nss_updatedb ldap</code> | ||
+ | pour mettre à jour la copie locale des users LDAP | ||
+ | <note help>a noter que pour qu'un utilisateur puisse se connecter hors ligne, il aura du préalablement se logguer sur cette machine alors qu'elle pouvait contacter le serveur LDAP pour un premier check du mot de passe</note> | ||
===== Crédits ===== | ===== Crédits ===== | ||
Ligne 172: | Ligne 197: | ||
Source : traduction de https://wiki.ubuntu.com/LDAPClientAuthentication | Source : traduction de https://wiki.ubuntu.com/LDAPClientAuthentication | ||
- | * La plupart des informations viennent de cette page : | + | * La plupart des informations viennent de cette page : |
http://mcwhirter.com.au/craige/blog/2006/Making-a-Debian-or-Ubuntu-Machine-an-LDAP-Authentication-Client | http://mcwhirter.com.au/craige/blog/2006/Making-a-Debian-or-Ubuntu-Machine-an-LDAP-Authentication-Client | ||
* Des informations additionnelles peuvent être trouvées ici : | * Des informations additionnelles peuvent être trouvées ici : |