Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente | Dernière révision Les deux révisions suivantes | ||
|
utilisateurs:fr.laugier:brouillon [Le 25/11/2014, 00:43] fr.laugier [Configuration des logiciels] |
utilisateurs:fr.laugier:brouillon [Le 25/11/2014, 00:57] fr.laugier |
||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| - | {{tag>BROUILLON pam}} | + | {{tag>ldap}} |
| ---- | ---- | ||
| Ligne 8: | Ligne 8: | ||
| Cette page est pour n'importe qui voulant rendre son Ubuntu capable de s'authentifier auprès d'un serveur [[wpfr>OpenLDAP]]. | Cette page est pour n'importe qui voulant rendre son Ubuntu capable de s'authentifier auprès d'un serveur [[wpfr>OpenLDAP]]. | ||
| - | |||
| - | L'utilisateur qui désire s'authentifier avec Sun Java Enterprise System Directory Server doit regarder la [[https://wiki.ubuntu.com/SunLDAPClientAuthentication|page sur la documentation en anglais]]. | ||
| ===== Introduction ===== | ===== Introduction ===== | ||
| Ligne 52: | Ligne 50: | ||
| Modifiez les 3 lignes passwd, group et shadow en ajoutant ldap à la fin de la ligne : | Modifiez les 3 lignes passwd, group et shadow en ajoutant ldap à la fin de la ligne : | ||
| <code> | <code> | ||
| - | passwd : compat ldap | + | passwd : files ldap |
| - | group : compat ldap | + | group : files ldap |
| - | shadow : compat ldap | + | shadow : files ldap |
| </code> | </code> | ||
| <note tip>Ajoutez bien la mention "ldap" en fin de ligne afin d'accélerer les authentifications qui ne requiert pas LDAP, en effet, les différentes possibilités d'authentification sont traitées dans l'ordre que vous indiquez dans ce fichier.</note> | <note tip>Ajoutez bien la mention "ldap" en fin de ligne afin d'accélerer les authentifications qui ne requiert pas LDAP, en effet, les différentes possibilités d'authentification sont traitées dans l'ordre que vous indiquez dans ce fichier.</note> | ||
| Ligne 64: | Ligne 62: | ||
| <code>session required pam_mkhomedir.so skel=/etc/skel umask=0022</code> | <code>session required pam_mkhomedir.so skel=/etc/skel umask=0022</code> | ||
| Cela permet de créer le squelette d'un répertoire utilisateur lors de la première connexion sur cette machine. | Cela permet de créer le squelette d'un répertoire utilisateur lors de la première connexion sur cette machine. | ||
| - | + | Cette configuration est suffisante pour permettre l'authentification LDAP, mais vous pouvez aller plus loin avec ces quelques éléments : | |
| - | Il faut maintenant redémarrer le service nscd pour prendre en compte les modifications : | + | <note> |
| - | <code>sudo /etc/init.d/nscd restart</code> | + | |
| - | Vous pouvez vérifier que votre machine interroge bien la base LDAP en tapant la commande | + | |
| - | <code>getent passwd</code> | + | |
| - | qui listera l'ensemble des comptes locaux mais aussi LDAP! | + | |
| - | + | ||
| - | ==== Permissions ==== | + | |
| - | Il est judicieux d'avoir un groupe nommé admin dans votre base LDAP. En effet si votre utilisateur LDAP appartient à ce groupe, il devient possible de lui attribuer les droits sudo sur la machine grâce au fichier /etc/sudoers. | + | |
| - | + | ||
| - | Pour éditer ce fichier, préférez la commande <code>sudo visudo</code> | + | |
| - | Cherchez la ligne : | + | |
| - | <code>%admin ALL=(ALL) ALL</code> | + | |
| - | Si elle est commentée (commence par un #), ce groupe sera sans effet sur votre système. | + | |
| - | Si elle n'est pas commentée, un user LDAP appartenant au groupe admin pour prendre les droits root ! | + | |
| - | + | ||
| - | ==== Se connecter en tant qu'utilisateur LDAP ==== | + | |
| - | + | ||
| - | Votre machine est maintenant capable d'accepter une authentification LDAP sans que l'utilisateur n'existe préalablement sur la machine (en local). | + | |
| - | Pour le tester, vous pouvez tenter d'ouvrir une session SSH sur cette machine. Par exemple pour l'utilisateur monty : | + | |
| - | <code>ssh monty@127.0.0.1</code> | + | |
| - | Si l'utilisateur ne s'est jamais connecté depuis cette machine, son dossier utilisateur sera alors créé. Vous pouvez le vérifier avec la commande <code>pwd</code> | + | |
| - | + | ||
| - | Si cela ne fonctionne pas, reprenez chacune des étapes pas à pas. | + | |
| - | + | ||
| - | ===== Note pour Gutsy ===== | + | |
| - | + | ||
| - | Il y a un nouvel outil dans Gutsy pour modifier les outils de pam et de nsswitch en même temps : | + | |
| - | sudo auth-client-config -a -p lac_ldap | + | |
| - | + | ||
| - | ===== L’installation et la configuration de LDAP ===== | + | |
| - | + | ||
| - | ==== La configuration de nsswitch.conf ==== | + | |
| - | + | ||
| - | Malheureusement nous ne pouvons tester la configuration des paquets plus haut sans la modification de /etc/nsswitch.conf : | + | |
| - | + | ||
| - | sudo vi /etc/nsswitch.conf | + | |
| - | + | ||
| - | et remplacer **compat** par **ldap files** ou par cette commande dans vi : | + | |
| - | + | ||
| - | :g/compat/s//files ldap/g | + | |
| - | + | ||
| - | Votre fichier /etc/nsswitch.conf doit alors contenir les lignes suivantes : | + | |
| - | + | ||
| - | <code> | + | |
| - | passwd: files ldap | + | |
| - | group: files ldap | + | |
| - | shadow: files ldap | + | |
| - | </code> | + | |
| - | + | ||
| - | Pensez à **redémarrer le démon nscd**, qui garde en cache les résultats : | + | |
| - | + | ||
| - | /etc/init.d/nscd restart | + | |
| - | ou | + | |
| - | + | ||
| - | service nscd restart | + | |
| - | + | ||
| - | ===== Tester la configuration de nsswitch.conf avec getent ===== | + | |
| - | + | ||
| - | Maintenant vous pouvez tester la configuration avec | + | |
| - | + | ||
| - | + | ||
| - | les commandes plus bas (remplacer **<someldapuser>** par un nom d'utilisateur et **<someldapgroup>** par un nom de groupe présent dans votre serveur LDAP) : | + | |
| - | + | ||
| - | getent passwd <someldapuser> | + | |
| - | getent group <someldapgroup> | + | |
| - | + | ||
| - | Si vous avez une réponse dans les deux cas **nsswitch.conf** est correctement configuré la seule chose qui reste à faire est | + | |
| - | de configurer PAM. | + | |
| - | + | ||
| - | Il est aussi possible de taper directement : getent passwd vous devez alors voir tous les utilisateurs de votre serveur ldap. Si ce n'est pas le cas, éditez et vérifiez le contenu des fichiers **/etc/ldap/ldap.conf** et **/etc/libnss-ldap.conf**. Pour modifier ce dernier utilsez la commande : | + | |
| - | <code> dpkg-reconfigure libnss-ldap | + | |
| - | </code> | + | |
| - | + | ||
| - | <note important>Sans réponses, quels sont les points à vérifier pour trouver l'origine du problème ?</note> | + | |
| - | <note> Sans réponses voir si le nom de la base de recherche (ici Par exemple dc=example,dc=com) est bon; Vérifier si l'adresse IP du serveur LDAP est le bon (la majeur parti des problèmes proviennent d'ici) ou alors oublie du restart du deamon nscd </note> | + | |
| - | + | ||
| - | + | ||
| ===== Configuration de PAM ===== | ===== Configuration de PAM ===== | ||
| Ligne 225: | Ligne 146: | ||
| session required pam_mkhomedir.so skel=/etc/skel/ | session required pam_mkhomedir.so skel=/etc/skel/ | ||
| session optional pam_ldap.so | session optional pam_ldap.so | ||
| + | </note> | ||
| + | Il faut maintenant redémarrer le service nscd pour prendre en compte les modifications : | ||
| + | <code>sudo /etc/init.d/nscd restart</code> | ||
| + | Vous pouvez vérifier que votre machine interroge bien la base LDAP en tapant la commande | ||
| + | <code>getent passwd</code> | ||
| + | qui listera l'ensemble des comptes locaux mais aussi LDAP! | ||
| - | ===== Notes ===== | + | ===== Permissions ===== |
| + | Il est judicieux d'avoir un groupe nommé admin dans votre base LDAP. En effet si votre utilisateur LDAP appartient à ce groupe, il devient possible de lui attribuer les droits sudo sur la machine grâce au fichier /etc/sudoers. | ||
| - | * Je ne peux promettre que ce document soit sans erreur mais je l'ai testé et il fonctionne. | + | Pour éditer ce fichier, préférez la commande <code>sudo visudo</code> |
| + | Cherchez la ligne : | ||
| + | <code>%admin ALL=(ALL) ALL</code> | ||
| + | Si elle est commentée (commence par un #), ce groupe sera sans effet sur votre système. | ||
| + | Si elle n'est pas commentée, un user LDAP appartenant au groupe admin pour prendre les droits root ! | ||
| - | ===== Alternative ===== | + | ===== Se connecter en tant qu'utilisateur LDAP ===== |
| - | ==== Installation d'un client LDAP sur ubuntu 14.04 / Linux Mint 17 ==== | + | |
| - | Je me permets d'avancer une autre méthode que j'ai suivi, celle énoncée ici n'ayant pas fonctionné. | + | |
| - | Tout d'abord pour installer le client sur une ubuntu/mint 14.04, j'ai suivi ce tuto pour activer l'authentification lorsque le serveur LDAP est accessible | + | Votre machine est maintenant capable d'accepter une authentification LDAP sans que l'utilisateur n'existe préalablement sur la machine (en local). |
| + | Pour le tester, vous pouvez tenter d'ouvrir une session SSH sur cette machine. Par exemple pour l'utilisateur monty : | ||
| + | <code>ssh monty@127.0.0.1</code> | ||
| + | Si l'utilisateur ne s'est jamais connecté depuis cette machine, son dossier utilisateur sera alors créé. Vous pouvez le vérifier avec la commande <code>pwd</code> | ||
| - | === Online Mode (Serveur LDAP Accessible) === | + | Si cela ne fonctionne pas, reprenez chacune des étapes pas à pas. |
| - | Pour configurer le client ldap sur ma distrib ubuntu, j'ai suivi ce tuto qui a fonctionné comme un charme : | + | |
| - | + | ||
| - | https://www.digitalocean.com/community/tutorials/how-to-authenticate-client-computers-using-ldap-on-an-ubuntu-12-04-vps | + | |
| - | et pour la conf de mes laptop, j'ai ajouté ceci | + | ===== Permettre l'authentification LDAP en mode déconnecté ===== |
| + | Et oui, les laptop ayant la facheuse tendance à être utilisés aussi en mode déconnecté, voici de quoi garder une copie locale de votre base LDAP afin de pouvoir ouvrir une session même si votre serveur LDAP n'est pas joignable. Et en cas de panne du serveur LDAP, c'est aussi bien pratique ;) | ||
| === Offline mode (Serveur LDAP inaccessible - Laptop itinérants) === | === Offline mode (Serveur LDAP inaccessible - Laptop itinérants) === | ||
| + | Commençons par installer le necessaire : | ||
| <code> | <code> | ||
| sudo apt-get install nss-updatedb libnss-db libpam-ccreds nslcd | sudo apt-get install nss-updatedb libnss-db libpam-ccreds nslcd | ||
| Ligne 269: | Ligne 201: | ||
| ===== Crédits ===== | ===== Crédits ===== | ||
| + | https://www.digitalocean.com/community/tutorials/how-to-use-pam-to-configure-authentication-on-an-ubuntu-12-04-vps | ||
| - | Source : traduction de https://wiki.ubuntu.com/LDAPClientAuthentication | ||
| - | |||
| - | * La plupart des informations viennent de cette page : | ||
| - | http://mcwhirter.com.au/craige/blog/2006/Making-a-Debian-or-Ubuntu-Machine-an-LDAP-Authentication-Client | ||
| - | * Des informations additionnelles peuvent être trouvées ici : | ||
| - | * http://www.gentoo.org/doc/en/ldap-howto.xml | ||
| - | * http://www.gesnel.fr/ubuntu/2007/05/30/integration-de-clients-ubuntu-dans-un-reseau-avec-ldap/ | ||
| - | |||
| - | ---- | ||
| - | //Contributeur principal : [[utilisateurs:phetu]] (traduction).// | + | //Contributeur principal : [[utilisateurs:fr.laugier]].// |