Client Ldap Feisty

De EPNadmin
Aller à : navigation, rechercher

Configuration de postes GNU/Linux Ubuntu comme client Ldap et NFS.

Feisty

Authentification Ldap

  • Pour commencer, installer Feisty et effectuer la mise à jour de la distribution

Installation des paquets

libpam-ldap

sudo apt-get install libpam-ldap

URI du serveur LDAP : (par exemple)

ldap://serveur/ ldap://serveur2/

Nom distinctif DN : (par exemple)

dc=domain,dc=fr

Version ldap utilisées :

3

Faut-il créer une base de données locale pour l'administrateur ?

Non

La base LDAP demande-t-elle une identification ?

Non

libnss-ldap

(Apparemment, il n'y en a plus besoin dans la version Gutsy)

sudo apt-get install libnss-ldap nscd-

Mot de passe du compte du superutilisateur LDAP : (ne rien indiquer, on ne s'en sert pas)

/etc/pam_ldap.conf

Ensuite, éditer le fichier /etc/pam_ldap.conf

sudo vi /etc/pam_ldap.conf

La ligne suivante :

nss_base_passwd ou=users,dc=domaine,dc=fr?sub

Attention : il ne faut pas mettre cette ligne à n'importe quel endroit, juste là où il y a les exemples avec nss_base_XXXX

/etc/nsswitch.conf

Puis éditer le fichier /etc/nsswitch.conf

sudo vi /etc/nsswitch.conf

Ça doit ressembler à ça :

# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.
#
passwd:         compat ldap
group:          compat ldap
shadow:         compat ldap
#
hosts:          files dns
networks:       files
#
protocols:      db files
services:       db files
ethers:         db files
rpc:            db files
#
netgroup:       nis

Puis pour pam.d

La configuration de PAM est divisée en 4 fichier: common-account, common-auth, common-password and common-session

/etc/pam.d/common-account

sudo vi /etc/pam.d/common-account

Changez la configuration par ces lignes:

account	sufficient	pam_ldap.so
account	required	pam_unix.so

/etc/pam.d/common-auth

sudo vi /etc/pam.d/common-auth

Changez la configuration par ces lignes:

auth	sufficient	pam_ldap.so
auth	required	pam_unix.so nullok_secure use_first_pass

/etc/pam.d/common-password

sudo vi /etc/pam.d/common-password

Changez la configuration par ces lignes:

password	sufficient	pam_ldap.so
password	required	pam_unix.so nullok obscure min=4 max=8 md5

/etc/pam.d/common-session

sudo vi /etc/pam.d/common-session

Changez la configuration par ces lignes:

session	sufficient	pam_ldap.so
session	required	pam_unix.so

désinstaller network manager

apt-get remove network-manager

deux paquets seront désinstallés: network-manager & network-manager-gnome

/etc/group

L'annuaire ldap fournissant lui-même les uid et gid, il faudra également adapter les numéros des groupes du poste client. Cela permet de donner des droits aux utilisateurs pour certaines ressources comme le son ou les périphériques usb.

sudo gedit /etc/group

ou

sudo vi /etc/group

Y modifier les groupes que vous avez indiqués lors de la configuration de l'authentification ldap dans EPNadmin.

Par exemple, à l'Arobase espace public multimédia de Pierrefitte-sur-Seine, on a modifié les lignes suivantes :

adm:x:1004:admin
dialout:x:1020:cupsys,admin
cdrom:x:1024:haldaemon,admin
floppy:x:1025:haldaemon,admin
audio:x:1029:admin
dip:x:1030:admin
video:x:1044:admin
plugdev:x:1046:haldaemon,admin
lpadmin:x:1106:admin
scanner:x:1110:cupsys,admin
admin:x:1000:admin

Pour comprendre ce qui a été fait, voici un indice : on a ajouté 1000 à tous les groupes qui sont fournis par l'annuaire ldap.

Accès au partage de fichiers avec NFS

Voir Paramétrage NFS