Différences

Ci-dessous, les différences entre deux révisions de la page.

--- utilisateurs:fr.laugier:brouillon [Le 19/11/2014, 22:53]
fr.laugier créée
+++ utilisateurs:fr.laugier:brouillon [Le 11/09/2022, 13:15] (Version actuelle)
moths-art Suppression des espaces en fin de ligne (détecté et corrigé via le bot wiki-corrector (https://forum.ubuntu-fr.org/viewtopic.php?id=2067892)
@@ Ligne 1: / Ligne 1: @@
-{{tag>BROUILLON pam}}
+{{tag>ldap}}
 ----
@@ Ligne 8: / Ligne 8: @@
 Cette page est pour n'importe qui voulant rendre son Ubuntu capable de s'authentifier auprès d'un serveur [[wpfr>OpenLDAP]].
-L'utilisateur qui désire s'authentifier avec Sun Java Enterprise System Directory Server doit regarder la [[https://wiki.ubuntu.com/SunLDAPClientAuthentication|page sur la documentation en anglais]].
 ===== Introduction =====
@@ Ligne 19: / Ligne 17: @@
 sudo apt-get install libpam-ldap nscd</code>
 l'installation de nscd necessite de répondre à quelques question :
   * ldap server Uniform Resource Identifier :
 indiquer l'adresse de votre serveur :
 <code>ldap://xxx.xxx.xxx.xxx</code> ou <code>ldap://monldap.a.moi.com</code>pour indiquer un nom de domaine.
@@ Ligne 33: / Ligne 31: @@
   * Make local root Database admin :
 YES
   * Does the LDAP database require login?
 No
   * LDAP account for root:
@@ Ligne 45: / Ligne 43: @@
 ===== Configuration des logiciels =====
-TODO
+Il faut maintenant faire quelques modifications dans les fichiers de conf concernant l'authentification :
-We have to adjust a few files to tell our authentication files that they can look to our LDAP server for authentication information.
-First, edit the /etc/nsswitch.conf file. This will allow us to specify that the LDAP credentials should be modified when users issue authentication change commands.
+Tout d'abord, éditez le fichier /etc/nsswitch.conf
+<code>sudo nano /etc/nsswitch.conf</code>
-sudo nano /etc/nsswitch.conf
-The three lines we are interested in are the "passwd", "group", and "shadow" definitions. Modify them to look like this:
-passwd:         ldap compat
-group:          ldap compat
-shadow:         ldap compat
-Next, we will add a value to our PAM configuration.
-PAM, or Pluggable Authentication Modules, is a system that connects applications that can provide authentication to applications that require authentication.
-PAM is already implemented on most computers, and works behind the scenes without needing user interaction. When we installed and configured our LDAP PAM module, most of the needed information was added to the configuration files.
-Edit the /etc/pam.d/common-session file:
-sudo nano /etc/pam.d/common-session
-Add a line to the bottom of the configuration that reads:
-session required    pam_mkhomedir.so skel=/etc/skel umask=0022
-This will create a home directory on the client machine when an LDAP user logs in who does not have a home directory.
-We have to restart a service for these changes to be implemented:
-sudo /etc/init.d/nscd restart
-Permissions
-During the LDAP server configuration, we created a group called "admin". This was not chosen at random. It coincides with the "admin" group that is created by default on Ubuntu machines.
-The LDAP users that you added to the "admin" group will have access to the sudo command.
-This is because we have a line that gives members of the "admin" group sudo access within the /etc/sudoers file. Edit the file by issuing this command:
-sudo visudo
-There is a line that reads:
-%admin ALL=(ALL) ALL
-Entries that begin with a percentage sign (%) specify a group instead of a user. If you wish to disable this functionality, or only grant specific users this functionality, comment out this line:
-#%admin ALL=(ALL) ALL
-Log In as an LDAP User
-We have now configured our client machine enough to be able to log in as one of our LDAP users. This user does not have to exist on the client machine.
-In a new terminal window (it is best to keep your original terminal window logged in, in case of a configuration mistake), ssh into the client machine using an LDAP user's credentials:
-ssh LDAP_user@LDAP_client_IP_Address
-You should be able to log in as if your user had been created locally. Issue the print working directory command:
-pwd
-You should see that the home directory you selected for your user on the LDAP server is being used on this machine. It has been created on-demand to serve the LDAP user.
-If you log out and log in with a different LDAP user, you can see that there will be two home directory entries:
-ls /home
-user1  user2
-If your user is part of the "admin" group and you didn't disable the ability in the previous section, you will have normal sudo access, otherwise, you will not.
-If you issue the passwd command to change your password, you can see that it will be modifying your LDAP credentials:
-passwd
-Enter login(LDAP) password:
-Restricting Access by Group
-If you only want members of certain groups to be able to log into this specific machine, you can configure that restriction within the PAM files.
-Edit the following file with root privileges:
-sudo nano /etc/pam.d/common-auth
-At the bottom, we will specify that PAM should look at the security access file to see how to restrict user logins. Add this to the bottom:
-auth    required    pam_access.so
-Save and close the file.
-The file that PAM references for security information when that setting is configured is at /etc/security/access.conf. Open this file now, with root privileges:
-sudo nano /etc/security/access.conf
-We need to add a rule to the end of the file.
-The dash (-) at the beginning of the line means this is a restriction. From the first colon (:) to the next colon, we specify who this rule applies to.
-We specify that this applies to all users except root and the group "admin". Groups are given within parentheses.
-From the second colon to the end of the line, we will specify under which circumstances the rule should apply. In our case, the restriction will apply in all circumstances but local logins.
--:ALL EXCEPT root (admin):ALL EXCEPT LOCAL
-This will allow us to restrict logins to the "admin" group. We can add other groups or change the group.
-This will also allow us to log in through the "console access" button on the DigitalOcean console if we somehow lock ourselves out of SSH.
-Keep in mind that this will apply to all users, not just LDAP users. So any users you create on the client machine will need to be a member of one of the specified groups.
-===== Note pour Gutsy =====
-Il y a un nouvel outil dans Gutsy pour modifier les outils de pam et de nsswitch en même temps :
-   sudo auth-client-config -a -p lac_ldap
-===== L’installation et la configuration de LDAP =====
-==== La configuration de nsswitch.conf ====
-Malheureusement nous ne pouvons tester la configuration des paquets plus haut sans la modification de  /etc/nsswitch.conf :
-  sudo vi /etc/nsswitch.conf
-et remplacer **compat** par **ldap files** ou par cette commande dans vi :
-  :g/compat/s//files ldap/g
-Votre fichier /etc/nsswitch.conf doit alors contenir les lignes suivantes :
+Modifiez les 3 lignes passwd, group et shadow en ajoutant ldap à la fin de la ligne :
 <code>
-passwd:         files ldap
+passwd : files ldap
-group:          files ldap
+group : files ldap
-shadow:         files ldap
+shadow : files ldap
 </code>
+<note tip>Ajoutez bien la mention "ldap" en fin de ligne afin d'accélerer les authentifications qui ne requiert pas LDAP, en effet, les différentes possibilités d'authentification sont traitées dans l'ordre que vous indiquez dans ce fichier.</note>
-Pensez à **redémarrer le démon nscd**, qui garde en cache les résultats :
+Attaquons nous maintenant à la configuration de PAM (Pluggable Authentication Module)
+Editez le fichier /etc/pam.d/common-session
- /etc/init.d/nscd restart
+<code>sudo nano /etc/pam.d/common-session</code>
-ou
+Allez à la fin du ficher et ajoutez cette ligne :
+<code>session required    pam_mkhomedir.so skel=/etc/skel umask=0022</code>
-service nscd restart
+Cela permet de créer le squelette d'un répertoire utilisateur lors de la première connexion sur cette machine.
+Cette configuration est suffisante pour permettre l'authentification LDAP, mais vous pouvez aller plus loin avec ces quelques éléments :
-===== Tester la configuration de nsswitch.conf avec getent =====
+ <note>
-Maintenant vous pouvez tester la configuration avec
-les commandes plus bas (remplacer **<someldapuser>** par un nom d'utilisateur et **<someldapgroup>** par un nom de groupe présent dans votre serveur LDAP) :
-  getent passwd <someldapuser>
-  getent group <someldapgroup>
-Si vous avez une réponse dans les deux cas **nsswitch.conf** est correctement configuré la seule chose qui reste à faire est
-de configurer PAM.
-Il est aussi possible de taper directement : getent passwd vous devez alors voir tous les utilisateurs de votre serveur ldap. Si ce n'est pas le cas, éditez et vérifiez le contenu des fichiers **/etc/ldap/ldap.conf** et **/etc/libnss-ldap.conf**. Pour modifier ce dernier utilsez la commande :
-<code> dpkg-reconfigure libnss-ldap
-</code>
-<note important>Sans réponses, quels sont les points à vérifier pour trouver l'origine du problème ?</note>
-<note> Sans réponses voir si le nom de la base de recherche (ici  Par exemple dc=example,dc=com) est bon; Vérifier si l'adresse IP du serveur LDAP est le bon (la majeur parti des problèmes proviennent d'ici) ou alors oublie du restart du deamon nscd </note>
 ===== Configuration de PAM =====
@@ Ligne 297: / Ligne 146: @@
   session required        pam_mkhomedir.so skel=/etc/skel/
   session optional        pam_ldap.so
+</note>
+Il faut maintenant redémarrer le service nscd pour prendre en compte les modifications :
+<code>sudo /etc/init.d/nscd restart</code>
+Vous pouvez vérifier que votre machine interroge bien la base LDAP en tapant la commande
+<code>getent passwd</code>
+qui listera l'ensemble des comptes locaux mais aussi LDAP!
-===== Notes =====
+===== Permissions =====
+Il est judicieux d'avoir un groupe nommé admin dans votre base LDAP. En effet si votre utilisateur LDAP appartient à ce groupe, il devient possible de lui attribuer les droits sudo sur la machine grâce au fichier /etc/sudoers.
-  * Je ne peux promettre que ce document soit sans erreur mais je l'ai testé et il fonctionne.
+Pour éditer ce fichier, préférez la commande <code>sudo visudo</code>
+Cherchez la ligne :
+<code>%admin ALL=(ALL) ALL</code>
+Si elle est commentée (commence par un #), ce groupe sera sans effet sur votre système.
+Si elle n'est pas commentée, un user LDAP appartenant au groupe admin pour prendre les droits root !
-===== Alternative =====
+===== Se connecter en tant qu'utilisateur LDAP =====
-==== Installation d'un client LDAP sur ubuntu 14.04 / Linux Mint 17 ====
-Je me permets d'avancer une autre méthode que j'ai suivi, celle énoncée ici n'ayant pas fonctionné.
-Tout d'abord pour installer le client sur une ubuntu/mint 14.04, j'ai suivi ce tuto pour activer l'authentification lorsque le serveur LDAP est accessible
+Votre machine est maintenant capable d'accepter une authentification LDAP sans que l'utilisateur n'existe préalablement sur la machine (en local).
+Pour le tester, vous pouvez tenter d'ouvrir une session SSH sur cette machine. Par exemple pour l'utilisateur monty :
+<code>ssh monty@127.0.0.1</code>
+Si l'utilisateur ne s'est jamais connecté depuis cette machine, son dossier utilisateur sera alors créé. Vous pouvez le vérifier avec la commande <code>pwd</code>
-=== Online Mode (Serveur LDAP Accessible) ===
+Si cela ne fonctionne pas, reprenez chacune des étapes pas à pas.
-Pour configurer le client ldap sur ma distrib ubuntu, j'ai suivi ce tuto qui a fonctionné comme un charme :
-https://www.digitalocean.com/community/tutorials/how-to-authenticate-client-computers-using-ldap-on-an-ubuntu-12-04-vps
+===== Permettre l'authentification LDAP en mode déconnecté =====
+Et oui, les laptop ayant la facheuse tendance à être utilisés aussi en mode déconnecté, voici de quoi garder une copie locale de votre base LDAP afin de pouvoir ouvrir une session même si votre serveur LDAP n'est pas joignable. Et en cas de panne du serveur LDAP, c'est aussi bien pratique ;)
-et pour la conf de mes laptop, j'ai ajouté ceci
 === Offline mode (Serveur LDAP inaccessible - Laptop itinérants) ===
+Commençons par installer le necessaire :
 <code>
 sudo apt-get install nss-updatedb libnss-db libpam-ccreds nslcd
@@ Ligne 327: / Ligne 187: @@
 group:          files ldap [NOTFOUND=return] db
 </file>
 ensuite éditer etc/pam.d/common-account pour remplacer la ligne
 <file>
 account	[success=1 default=ignore]	pam_ldap.so
 </file>
 par
@@ Ligne 341: / Ligne 201: @@
 ===== Crédits =====
+https://www.digitalocean.com/community/tutorials/how-to-use-pam-to-configure-authentication-on-an-ubuntu-12-04-vps
-Source : traduction de https://wiki.ubuntu.com/LDAPClientAuthentication
-  * La plupart des informations viennent de cette page :
-http://mcwhirter.com.au/craige/blog/2006/Making-a-Debian-or-Ubuntu-Machine-an-LDAP-Authentication-Client
-  * Des informations additionnelles peuvent être trouvées ici :
-    * http://www.gentoo.org/doc/en/ldap-howto.xml
-    * http://www.gesnel.fr/ubuntu/2007/05/30/integration-de-clients-ubuntu-dans-un-reseau-avec-ldap/
-----
-//Contributeur principal : [[utilisateurs:phetu]] (traduction).//
+//Contributeur principal : [[utilisateurs:fr.laugier]].//