Client Ldap Gutsy

De EPNadmin
Aller à : navigation, rechercher

Configuration de postes GNU/Linux Ubuntu comme client Ldap et NFS.

Voir http://doc.ubuntu-fr.org/ldap_client et surtout http://www.gesnel.fr/ubuntu/2007/05/30/integration-de-clients-ubuntu-dans-un-reseau-avec-ldap/

Gutsy

Authentification Ldap

Installation des paquets

sudo apt-get install libpam-ldap

URI du serveur LDAP : (par exemple)

ldap://serveur/ ldap://serveur2/

Nom distinctif DN : (par exemple)

dc=domain,dc=fr

Version ldap utilisées :

3

Faut-il créer une base de données locale pour l'administrateur ?

Non

La base LDAP demande-t-elle une identification ?

Non

Mot de passe du compte du superutilisateur LDAP : (ne rien indiquer, on ne s'en sert pas)

/etc/ldap.conf

Ensuite, éditer le fichier /etc/ldap.conf

sudo vi /etc/ldap.conf
# The distinguished name of the search base.
base dc=domaine,dc=fr

# Another way to specify your LDAP server is to provide an
# uri with the server name. This allows to use
# Unix Domain Sockets to connect to a local LDAP Server.
uri ldap://serveur1/ ldap://serveur2/

# RFC2307bis naming contexts
nss_base_passwd ou=users,dc=domaine,dc=fr?sub

# Reconnect policy: hard (default) will retry connecting to
bind_policy soft

Attention : il ne faut pas mettre cette ligne à n'importe quel endroit, juste là où il y a les commentaires et exemples.

/etc/nsswitch.conf

Puis éditer le fichier /etc/nsswitch.conf

sudo vi /etc/nsswitch.conf

Ça doit ressembler à ça :

# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.
#
passwd:         files ldap
group:          files ldap
shadow:         files ldap
#
hosts:          files mdns4_minimal [NOTFOUND=return] dns mdns4
networks:       files
#
protocols:      db files
services:       db files
ethers:         db files
rpc:            db files
#
netgroup:       nis

Puis pour pam.d

La configuration de PAM est divisée en 4 fichier: common-account, common-auth, common-password and common-session

/etc/pam.d/common-account

sudo vi /etc/pam.d/common-account

Changez la configuration par ces lignes:

account sufficient pam_unix.so
account required pam_ldap.so use_first_pass

/etc/pam.d/common-auth

sudo vi /etc/pam.d/common-auth

Changez la configuration par ces lignes:

auth sufficient pam_unix.so
auth required pam_group.so use_first_pass
auth required pam_ldap.so use_first_pass

/etc/pam.d/common-password

sudo vi /etc/pam.d/common-password

Changez la configuration par ces lignes:

password	sufficient	pam_ldap.so
password	required	pam_unix.so nullok obscure min=4 max=8 md5

/etc/pam.d/common-session

sudo vi /etc/pam.d/common-session

Changez la configuration par ces lignes:

session	sufficient	pam_ldap.so
session	required	pam_unix.so

/etc/group

L'annuaire ldap fournissant lui-même les uid et gid, il faudra également adapter les numéros des groupes du poste client. Cela permet de donner des droits aux utilisateurs pour certaines ressources comme le son ou les périphériques usb.

sudo gedit /etc/group

ou

sudo vi /etc/group

Y modifier les groupes que vous avez indiqués lors de la configuration de l'authentification ldap dans EPNadmin.

Par exemple, à l'Arobase espace public multimédia de Pierrefitte-sur-Seine, on a supprimé les lignes suivantes :

lpadmin:...

En gros, on a supprimé tous les groupes qui viennent de l'annuaire ldap.

/etc/security/group.conf

Ajouter la ligne suivante (uniquement sui ces groupes ne sont pas transportés par ldap) :

*;*;*;Al0000-2400;floppy,audio,cdrom,dip,video,plugdev,scanner

avant la ligne suivante :

# End of group.conf file

Accès au partage de fichiers avec NFS

Voir Paramétrage NFS