www.starend.org

TechNIX

Tags

authentification ldap client slapd

Authentification LDAP sur poste client

07/08/2007 /!\ EN CONSTRUCTION /!\

1/Introduction

.

2/Serveur LDAP

Il vous faut avant tout un serveur LDAP opérationnel.

On ajoutera dessus un compte de connexion pour pam-ldap, et éventuellement des attributs supplémentaires aux comptes utilisateurs existants.

2/Installer le nécessaire sur le poste client

Installer les librairies nécessaires, en tant que root :

aptitude install libpam-ldap libnss-ldap libpam-cracklib libpam-pwdb

Au cours de l'installation, aptitude demande certaines informations (mes valeurs à moi) :
libpam-ldap :
- URI d'accès au serveur LDAP : ldaps:///ldap.starend.org
- Nom distinctif (DN) : dc=starend,dc=org
- Version du protocol LDAP : 3
- Créer une base de donnée locale pour l'administrateur : non
- LDAP demande une authentification : oui
- Compte de connexion à LDAP : uid=station,dc=starend,dc=org
- Mot de passe de connexion à LDAP : $(date | md5sum | cut -d ' ' -f 1)

libnss-ldap :
- Compte administrateur LDAP : uid=station,dc=starend,dc=org
- Mot de passe administrateur LDAP : (ne même que au dessus :-)
-
-
-

Modifier le fichier /etc/nsswitch.conf comme suit. Ajouter la valeur 'ldap' pour les lignes 'passwd', 'group', et 'shadow' :

...
passwd:         compat ldap
group:          compat ldap
shadow:         compat ldap
...

3/Création des utilisateurs

Fait avec phpldapadmin 0.9.8.3 .

Pour que l'on puisse se connecter sur une machine UNIX, un compte utilisateur, LDAP ou non, se doit de posséder certaines caractéristiques :
- UID
- GID
- Répertoire home
- Shell
D'un point de vue LDAP, cela revient à avoir 'posixAccount' en valeur de 'objectClass'. Et tous les attributs obligatoires qui vont avec.

Créer une OU pour contenir les groupes (ou=groupes,dc=starend,dc=org), et une autre pour les utilisateurs (ou=personnes,dc=starend,dc=org) :

/createOUgroupe.png" border=0 alt="Créer une OU" />

Créer un groupe (Posix Group dans phpldapadmin) :

/creategroupe.png" border=0 alt="Créer un groupe" />

Voici ce à quoi ressemble un utilisateur de la messagerie, par exemple :

/view_cn.png" border=0 alt="Vue CN" />

Il faut ajouter 'posixAccount' comme propriété 'objectClass' :

/add_value.png" border=0 alt="Ajouter posixAccount" />

Et renseigner les attributs oblilgatoire :

/uidnumber.png" border=0 alt="Attributs posixAccount" />

Si tout se passe bien, votre compte utilisateur doit avoir ces propriétés :

dn: cn=Chat,ou=personnes,dc=starend,dc=org
cn: Chat
mail: chat@starend.org
mail: chats@starend.org
objectClass: inetOrgPerson
objectClass: top
objectClass: posixAccount
sn: chat
uid: chat
userPassword: xxxxxxxxxxxxxxxxxxxxxxxxxx
gidNumber: 100
homeDirectory: /home/chat
uidNumber: 2000

4/Connexion sur un poste client

5/Améliorations à prévoir

.

Licence Creative Common 2007 :: BY-NC-SA :: Webdesign DENDIEVEL Stéphane