Archives par mot-clé : unix

Annuaire LDAP et authentification UNiX/Linux

Bé voilà bonsoir … dans ma série tuto « memo-inutile » voici …

Encore des trucs inutile pour le commun des mortels …l’authentification centralisée par un annuaire LDAP (OpenLDAP dans mon cas).
Alors bon, ça fait suite à l’un de mes tuto/louange à ce lien ^^ (jsuis trop fainéant pour reprendre l’ensemble du tuto ;)).

Dans mon cas, je devais monter le réseau de mon groupe de projet pour ma licence en Dev (et on nous demande de monter des réseaux ^^), et pour avoir un réseau potable avec plein de machines j’ai eu la géniallissime idée de mettre en place un PDC (Samba/LDAP) pour gérer un parc informatique de …… 8 machines :p 😀 (je devrais peut-être rajouter 3/4 lignes de smiley pour exprimer le fond de ma pensé façon kevin).

Sur le coup bon ben c’est amusant (et ouai … mon gros kif c’est les fichiers de conf et les lignes de commandes … c’est grave ???) de suivre le tuto de damstux (cf. le lien plus haut) qui fonctionne très bien juqu’au moment où l’on veut insérer des machines unix, on à beau modifier les fichiers de conf nsswitch.conf, pam_ldap.conf et libnss-ldap comme dans le tuto, rien ne fonctionne.

Donc pour réussir à se faire logguer des utilisateurs depuis l’annuaire LDAP rien de plus simple … suffit de modifier 4 autres fichiers (et ouai quand y’en a plus … y’en a encore ^^). En imaginant bien sûr que votre serveur LDAP fonctionne (genre que l’authentification fonctionne avec des machines windows ^^ wouah le test 😉 jvai pousser au suicide des apprenti-sysadmin :D).

Bien entendu, il faut suivre le tuto de damstux jusqu’au bout (y compris les modifs sur les fichiers nsswitch.conf, libnss-ldap.conf et pam_ldap.conf côté client) et poursuivre ici ^^ .

CES FICHIERS SONT A MODIFIER COTE CLIENT SEULEMENT (à part si vous voulez laisser les utilisateurs ce connecter à la machine en question … is it secure ??).
Le premier fichier à modifier : /etc/pam.d/common-account (commentez tous le reste)
[sourcecode language=bash]
account sufficient      pam_ldap.so
account required        pam_unix.so try_first_pass
[/sourcecode]

Le deuxième fichier à modifier : /etc/pam.d/common-auth (commentez tous le reste)
[sourcecode language=bash]
auth    sufficient      pam_ldap.so
auth    required        pam_unix.so nullok_secure try_first_pass
[/sourcecode]

Le troisième fichier à modifier : /etc/pam.d/common-password (commentez tous le reste)
[sourcecode language=bash]
password   sufficient   pam_ldap.so
password   required   pam_unix.so nullok obscure md5
[/sourcecode]

Le quatrième fichier à modifier : /etc/pam.d/common-session (commentez tous le reste)
ici on rajoute la possibilité de créer le dossier home si il n’existe pas … sinon on va droit dans le mur (l’utilisateur se log et n’a pas de home 😉 à mettre dans le groupe sdf koi^^). Attention, il faut le mettre avant les deux autres directives, sinon ça ne marche pas (j’ai lu pas mal de tuto qui les mettait dans un mauvais ordre et ça plantait le tout donc …)
[sourcecode language=bash]
session required pam_mkhomedir.so skel=/etc/skel/
session sufficient pam_ldap.so
session required pam_unix.so
[/sourcecode]

Il vous faudra aussi (peut-être modifier le fichier /etc/ldap/ldap.conf) remplacer 1.3.3.7 par l’ip du serveur LDAP et la base par la votre …
[sourcecode language=bash]
BASE dc=mon,dc=reseau,dc=lan
URI ldap://1.3.3.7
[/sourcecode]
Attention … si vous vous plantez, vous n’arriverez plus à vous logguer (et n’oubliez pas d’arroser …), et sinon, ben voilà vous pouvez importer votre base d’utilisateur et vous logguer depuis n’importe quelle machine configurée pour utiliser l’annuaire LDAP avec n’importe quelles utilisateurs de l’annuaire (encore heureux ;)).

Et voilà …