Client Ldap Gutsy
Configuration de postes GNU/Linux Ubuntu comme client Ldap et NFS.
Voir http://doc.ubuntu-fr.org/ldap_client et surtout http://www.gesnel.fr/ubuntu/2007/05/30/integration-de-clients-ubuntu-dans-un-reseau-avec-ldap/
Gutsy
Authentification Ldap
Installation des paquets
sudo apt-get install libpam-ldap
URI du serveur LDAP : (par exemple)
ldap://serveur/ ldap://serveur2/
Nom distinctif DN : (par exemple)
dc=domain,dc=fr
Version ldap utilisées :
3
Faut-il créer une base de données locale pour l'administrateur ?
Non
La base LDAP demande-t-elle une identification ?
Non
Mot de passe du compte du superutilisateur LDAP : (ne rien indiquer, on ne s'en sert pas)
/etc/ldap.conf
Ensuite, éditer le fichier /etc/ldap.conf
sudo vi /etc/ldap.conf
# The distinguished name of the search base. base dc=domaine,dc=fr # Another way to specify your LDAP server is to provide an # uri with the server name. This allows to use # Unix Domain Sockets to connect to a local LDAP Server. uri ldap://serveur1/ ldap://serveur2/ # RFC2307bis naming contexts nss_base_passwd ou=users,dc=domaine,dc=fr?sub # Reconnect policy: hard (default) will retry connecting to bind_policy soft
Attention : il ne faut pas mettre cette ligne à n'importe quel endroit, juste là où il y a les commentaires et exemples.
/etc/nsswitch.conf
Puis éditer le fichier /etc/nsswitch.conf
sudo vi /etc/nsswitch.conf
Ça doit ressembler à ça :
# /etc/nsswitch.conf # # Example configuration of GNU Name Service Switch functionality. # If you have the `glibc-doc' and `info' packages installed, try: # `info libc "Name Service Switch"' for information about this file. # passwd: files ldap group: files ldap shadow: files ldap # hosts: files mdns4_minimal [NOTFOUND=return] dns mdns4 networks: files # protocols: db files services: db files ethers: db files rpc: db files # netgroup: nis
Puis pour pam.d
La configuration de PAM est divisée en 4 fichier: common-account, common-auth, common-password and common-session
/etc/pam.d/common-account
sudo vi /etc/pam.d/common-account
Changez la configuration par ces lignes:
account sufficient pam_unix.so account required pam_ldap.so use_first_pass
/etc/pam.d/common-auth
sudo vi /etc/pam.d/common-auth
Changez la configuration par ces lignes:
auth sufficient pam_unix.so auth required pam_group.so use_first_pass auth required pam_ldap.so use_first_pass
/etc/pam.d/common-password
sudo vi /etc/pam.d/common-password
Changez la configuration par ces lignes:
password sufficient pam_ldap.so password required pam_unix.so nullok obscure min=4 max=8 md5
/etc/pam.d/common-session
sudo vi /etc/pam.d/common-session
Changez la configuration par ces lignes:
session sufficient pam_ldap.so session required pam_unix.so
/etc/group
L'annuaire ldap fournissant lui-même les uid et gid, il faudra également adapter les numéros des groupes du poste client. Cela permet de donner des droits aux utilisateurs pour certaines ressources comme le son ou les périphériques usb.
sudo gedit /etc/group
ou
sudo vi /etc/group
Y modifier les groupes que vous avez indiqués lors de la configuration de l'authentification ldap dans EPNadmin.
Par exemple, à l'Arobase espace public multimédia de Pierrefitte-sur-Seine, on a supprimé les lignes suivantes :
lpadmin:...
En gros, on a supprimé tous les groupes qui viennent de l'annuaire ldap.
/etc/security/group.conf
Ajouter la ligne suivante (uniquement sui ces groupes ne sont pas transportés par ldap) :
*;*;*;Al0000-2400;floppy,audio,cdrom,dip,video,plugdev,scanner
avant la ligne suivante :
# End of group.conf file
Accès au partage de fichiers avec NFS
Voir Paramétrage NFS
