Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
ldap_client [Le 18/12/2012, 16:20] – [Tester la configuration de nsswitch.conf avec getent] 80.14.2.105ldap_client [Le 11/09/2022, 11:29] (Version actuelle) – Suppression des espaces en fin de ligne (détecté et corrigé via le bot wiki-corrector (https://forum.ubuntu-fr.org/viewtopic.php?id=2067892) moths-art
Ligne 1: Ligne 1:
-{{tag>BROUILLON}}+{{tag>BROUILLON pam}}
  
 ---- ----
Ligne 13: Ligne 13:
 ===== Note pour Gutsy ===== ===== Note pour Gutsy =====
  
-Il y a un nouvel outil dans Gutsy pour modifier les outils de pam et de nsswitch en même temps : +Il y a un nouvel outil dans Gutsy pour modifier les outils de pam et de nsswitch en même temps :
    sudo auth-client-config -a -p lac_ldap     sudo auth-client-config -a -p lac_ldap 
  
 ===== L’installation et la configuration de LDAP ===== ===== L’installation et la configuration de LDAP =====
-==== Installation des paquets ==== 
  
-Vous avez besoin des paquets suivants ''libpam-ldap'' et ''libnss-ldap'' pour la configuration du client  : 
-  
-  sudo apt-get install libpam-ldap libnss-ldap 
-  
-Pendant l'installation, vous allez avoir à répondre à ces questions : 
-  * **L'adresse du serveur LDAP utilisé**. Vous pouvez aussi utiliser un **fully qualified domain**. Par exemple :  **ldap.exemple.com** 
-sur l'image ci-dessous, à la place de 127.0.0.1, choisissez l'IP de votre serveur, c'est la meilleure solution pour éviter les problèmes. 
-{{:configuration-ldap-nss-pam.png|}} 
-  * **Le nom de la base de recherche**. Par exemple **dc=example,dc=com** 
-  * **La version de LDAP à utiliser**. Vous choisirez habituellement **3**. 
-  * **Si votre base de données requiert une connexion**. Vous choisirez habituellement **no** ici. 
-  * **Si vous voulez faire une configuration en Lecture/Écriture par le propriétaire seulement**. Donc **no** devrait être la réponse. 
-  * Le prochain dialogue vous explique qu'il ne peut configurer **nsswitch.conf** automatiquement. 
-  * **Si vous voulez que le root local soit l'administrateur de la base de données**, vous devez habituellement choisir **yes** ici. 
-  * Ensuite, **si votre base de données requiert une connexion**. Vous devez choisir **no** ici. 
-  * **Votre compte root**. Par exemple : **cn=manager,dc=example,dc=com** 
-  * **Son mot de passe**. 
-  * Ensuite, la boite de dialogue vous explique les différentes méthodes de cryptage. On va vous demander d'indiquer **la méthode de cryptage avant d'envoyer le mot de passe**. **exop** est habituellement un bon choix. 
- 
-<note important>Ici, une explication des fichiers créés et de leur contenu serait la bienvenue. Ainsi que les modifications manuelles, possibles</note> 
- 
-Un petit  dpkg-reconfigure ldap-auth-config permet de refaire cette configuration, au cas où !!! 
 ==== La configuration de nsswitch.conf ==== ==== La configuration de nsswitch.conf ====
  
Ligne 59: Ligne 36:
 </code> </code>
  
-Pensez à **redémarrer le démon nscd**, qui garde en cache les résultats : /etc/init.d/nscd restart+Pensez à **redémarrer le démon nscd**, qui garde en cache les résultats : 
 + 
 + /etc/init.d/nscd restart 
 +ou 
 + 
 +service nscd restart 
 ===== Tester la configuration de nsswitch.conf avec getent ===== ===== Tester la configuration de nsswitch.conf avec getent =====
  
Ligne 67: Ligne 50:
 les commandes plus bas (remplacer **<someldapuser>** par un nom d'utilisateur et **<someldapgroup>** par un nom de groupe présent dans votre serveur LDAP) : les commandes plus bas (remplacer **<someldapuser>** par un nom d'utilisateur et **<someldapgroup>** par un nom de groupe présent dans votre serveur LDAP) :
  
-  getent passwd <someldapuser>123+  getent passwd <someldapuser>
   getent group <someldapgroup>   getent group <someldapgroup>
  
-Si vous avez une réponse dans les deux cas **nsswitch.conf** est correctement configuré la seule chose qui reste à faire est +Si vous avez une réponse dans les deux cas **nsswitch.conf** est correctement configuré la seule chose qui reste à faire est
 de configurer PAM. de configurer PAM.
  
Ligne 78: Ligne 61:
  
 <note important>Sans réponses, quels sont les points à vérifier pour trouver l'origine du problème ?</note> <note important>Sans réponses, quels sont les points à vérifier pour trouver l'origine du problème ?</note>
 +<note> Sans réponses voir si le nom de la base de recherche (ici  Par exemple dc=example,dc=com) est bon; Vérifier si l'adresse IP du serveur LDAP est le bon (la majeur parti des problèmes proviennent d'ici) ou alors oublie du restart du deamon nscd </note>
 +
  
  
Ligne 104: Ligne 89:
   auth required pam_unix.so nullok_secure use_first_pass   auth required pam_unix.so nullok_secure use_first_pass
  
 +Bonsoir à tous !
  
 ==== /etc/pam.d/common-password ==== ==== /etc/pam.d/common-password ====
Ligne 120: Ligne 106:
 ===== Utilisez des mots de passe plus complexes ===== ===== Utilisez des mots de passe plus complexes =====
  
-Pour l'utilisation de mot de passe plus difficile à être cassés il vous suffit d'installer le paquet ''libpam-cracklib'' :+Pour l'utilisation de mots de passe plus difficiles à casser, il vous suffit d'installer le paquet ''libpam-cracklib'' :
  
   sudo apt-get install libpam-cracklib   sudo apt-get install libpam-cracklib
Ligne 167: Ligne 153:
  
   * Je ne peux promettre que ce document soit sans erreur mais je l'ai testé et il fonctionne.   * Je ne peux promettre que ce document soit sans erreur mais je l'ai testé et il fonctionne.
 +
 +===== Alternative =====
 +Vous pouvez aussi voir cette procédure réécrite en phase de validation à https://doc.ubuntu-fr.org/utilisateurs/fr.laugier/ldap_client
 +
 +==== Installation d'un client LDAP sur ubuntu 14.04 / Linux Mint 17 ====
 +Je me permets d'avancer une autre méthode que j'ai suivi, celle énoncée ici n'ayant pas fonctionné.
 +
 +Tout d'abord pour installer le client sur une ubuntu/mint 14.04, j'ai suivi ce tuto pour activer l'authentification lorsque le serveur LDAP est accessible
 +
 +=== Online Mode (Serveur LDAP Accessible) ===
 +Pour configurer le client ldap sur ma distrib ubuntu, j'ai suivi ce tuto qui a fonctionné comme un charme :
 +
 +https://www.digitalocean.com/community/tutorials/how-to-authenticate-client-computers-using-ldap-on-an-ubuntu-12-04-vps
 +
 +et pour la conf de mes laptop, j'ai ajouté ceci
 +
 +=== Offline mode (Serveur LDAP inaccessible - Laptop itinérants) ===
 +
 +<code>
 +sudo apt-get install nss-updatedb libnss-db libpam-ccreds nslcd
 +sudo nss_updatedb ldap
 +</code>
 +Editer le fichier /etc/nsswitch.conf tel que:
 +<file>
 +passwd:         files ldap [NOTFOUND=return] db
 +group:          files ldap [NOTFOUND=return] db
 +</file>
 +ensuite éditer etc/pam.d/common-account pour remplacer la ligne
 +<file>
 +account [success=1 default=ignore] pam_ldap.so
 +</file>
 +par
 +<file>
 +account    [success=1 authinfo_unavail=1 default=ignore]    pam_ldap.so
 +</file>
 +il suffira maintenant d'un :
 +<code>sudo nss_updatedb ldap</code>
 +pour mettre à jour la copie locale des users LDAP
 +<note help>a noter que pour qu'un utilisateur puisse se connecter hors ligne, il aura du préalablement se logguer sur cette machine alors qu'elle pouvait contacter le serveur LDAP pour un premier check du mot de passe</note>
  
 ===== Crédits ===== ===== Crédits =====
Ligne 172: Ligne 197:
 Source : traduction de https://wiki.ubuntu.com/LDAPClientAuthentication Source : traduction de https://wiki.ubuntu.com/LDAPClientAuthentication
  
-  * La plupart des informations viennent de cette page : +  * La plupart des informations viennent de cette page :
 http://mcwhirter.com.au/craige/blog/2006/Making-a-Debian-or-Ubuntu-Machine-an-LDAP-Authentication-Client http://mcwhirter.com.au/craige/blog/2006/Making-a-Debian-or-Ubuntu-Machine-an-LDAP-Authentication-Client
   * Des informations additionnelles peuvent être trouvées ici :   * Des informations additionnelles peuvent être trouvées ici :
ldap_client.1355844038.txt.gz · Dernière modification : de 80.14.2.105
CC Attribution-Noncommercial-Share Alike 4.0 International Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Noncommercial-Share Alike 4.0 International