Ceci est une ancienne révision du document !
Traduit par phetu
Original: https://wiki.ubuntu.com/LDAPClientAuthentication
À qui cela s'adresse
Cette page est pour n'importe qui qui veut rendre son Ubuntu capable de s'authentifier auprès d'un serveur OpenLDAP.
L'utilisateur qui désire s'authentifier avec Sun Java Enterprise System Directory Server doit regarder cette page https://wiki.ubuntu.com/SunLDAPClientAuthentication
L'intallation et la configuration de LDAP
1. Installation des paquets
Vous avez besoin des paquets suivant libpam-ldap et libnss-ldap pour la configuration du client:
sudo apt-get install libpam-ldap libnss-ldap
Pendant l'installation, vous allez avoir ces questions à réponde:
- L'adresse du serveur LDAP utilisé. Vous pouvez aussi utilisé un fully qualified domain. Par exemple: ldap.exemple.com
- Le nom de la base de recherche. For exemple dc=example,dc=com
- La version de LDAP à utiliser. Vous choisirez habituellement 3.
- Si votre base de donnée requière une connection. Vous choisirez habituellement no ici.
- Si vous voulez faire une configuration en Lecture/Écriture par le propriétaire seulement. Donc no devrsait être la réponce.
- Le prochain dialogue vous explique qu'il ne peut configurer nsswitch.conf automatiquement.
- Si vous voulez que le root local soit l'administrateur de la base de données. Vous devez habituellement choisir yes ici.
- Encore, si votre base de données requière une connection. Vous devez choisir no ici.
- Votre compte root. Par exemple: cn=manager,dc=example,dc=com
- Son mot de passe.
- Ensuite, la boite de dialogue vous explique les différentes méthode d'encryption, On va vous demander poour la méthode d'encryption avant d'envoyez le mot de passe. exop est habituellement un bon choix.
2. La configuration de nsswitch.conf
Malheureusement nous ne pouvons tester la configuration des paquets plus haut sans la modification de /etc/nsswitch.conf:
sudo vi /etc/nsswitch.conf
et remplacer compat par ldap files ou par cette commande dans vi:
s/compat/ldap files/g
Tester la configuration de nsswitch.conf avec getent
Maintenant vous pouvez tester la configuration avec les commandes plus bas (remplacer <someldapuser> par un nom d'usager et <someldapgroup> par un nom de groupe présent dans votre serveur LDAP):
getent passwd <someldapuser> getent group <someldapgroup>
Si vous avez une responce dans les deux cas nsswitch.conf est correctement configurer la seul chose qui reste à faire est de configurer PAM.
Changer l'ordre de l'authentification dans nsswitch.conf
Vous pouvez interchanger ldap et files pour que pam vérifie d'abors dans les fichiers local et ensuite sur le serveur LDAP:
sudo vi /etc/nsswitch.conf
…et changez les lignes pour:
passwd: files ldap group: files ldap shadow: files ldap
3. Configuration de PAM
La configuration de PAM est divisée en 4 fichier: common-account, common-auth, common-password and common-session
/etc/pam.d/common-account
sudo vi /etc/pam.d/common-account
Changez la configuration par ces lignes:
account sufficient pam_ldap.so account required pam_unix.so
/etc/pam.d/common-auth
sudo vi /etc/pam.d/common-auth
Changez la configuration par ces lignes:
auth sufficient pam_ldap.so auth required pam_unix.so nullok_secure use_first_pass
/etc/pam.d/common-password
= Configuration standard =
sudo vi /etc/pam.d/common-password
Changez la configuration par ces lignes:
password sufficient pam_ldap.so password required pam_unix.so nullok obscure min=4 max=8 md5
Utilisez des mots de passe plus complèxe
Pour l'utilisation de mot de passe plus difficile à être cassé il vous suffit d'installer le paquet libpam-cracklib:
sudo apt-get install libpam-cracklib
Vous avez besoin de modifier la configuration du fichier /etc/pam.d/common-password:
sudo vi /etc/pam.d/common-password
Changez la configuration par ces lignes:
password required pam_cracklib.so retry=3 minlen=6 difok=3 password sufficient pam_ldap.so use_authtok nullok md5 password required pam_unix.so use_authtok use_first_pass
/etc/pam.d/common-session
= standard configuration =
sudo vi /etc/pam.d/common-session
Changez la configuration par ces lignes:
session sufficient pam_ldap.so session required pam_unix.so
Création automatique du répertoire home à la première connection
Si vous voulez que la création automatique du répertoire home soit faite à la première connection vous allez devoir éditer common-session encore une fois:
sudo vi /etc/pam.d/common-session
Changez la configuration par ces lignes:
session required pam_unix.so session required pam_mkhomedir.so skel=/etc/skel/ session optional pam_ldap.so
= Notes = * Je ne peux promette que ce document soit sans d'erreur mais il a été tester par moi et il fonctionne.
= Crédits = * La plupart des informations viennent de cette page: http://craige.mcwhirter.com.au/2005/ubuntu-ldap-client.html * Des information additionnels peuvent être trouvé ici: http://www.gentoo.org/doc/en/ldap-howto.xml