Chapter 54. L'annuaire LDAP

Table of Contents

Authentification système LDAP sur un système GNU/Linux
Configuration de l'environnement pour l'authentification système
Premiers tests de l'annuaire
Vérification du fonctionnement de l'annuaire.
Mise en place de l'authentification

Authentification système LDAP sur un système GNU/Linux

Faites une sauvegarde de vos fichiers de configuration.

root@uranus:/etc/ldap# cp ldap.conf ldap.conf.orig
root@uranus:/etc/ldap# cp slapd.conf slapd.conf.orig
root@uranus:/etc# cp nsswitch.conf nsswitch.conf.orig
root@uranus:/etc# cp libnss-ldap.conf libnss-ldap.conf.orig

Vérifier que votre serveur LDAP fonctionne.

Vérifier que votre serveur Annuaire est opérationnel.

Configuration de l'environnement pour l'authentification système

Les fichiers /etc/libnss-ldap.conf et /etc/pam_ldap.conf sont normalement configurés. Sinon vous pouvez utiliser les commandes :

dpkg-reconfigure libnss-ldap
dpkg-reconfigure libpam-ldap

Prenez les options par défaut en prenant soin de tenir compte de la structure de votre annuaire. Pour nous :

dc=point-libre,dc=org

Vous devez également modifier le fichier /etc/nssiwtch.conf afin que les applications utilisent aussi bien les fichiers standards (passwd, shadow) que l'annuaire ldap. :


passwd:         files ldap
group:          files ldap
shadow:         files ldap

Premiers tests de l'annuaire

La commande getent passwd doit vous permettre de récupérer à la fois les comptes du fichier /etc/passwd, mais également les compte de l'annuaire ldap qui n'existent pas dans la base passwd.

# getent passwd
[...]
mlx:2/yajBmqc3tYw:1005:1005:BOURG Jean:/home/mlx:/bin/bash
mly:2/yajBmqc3tYw:1006:1006:BOURG Marine:/home/mly:/bin/bash

Ces deux comptes proviennent bien de l'annuaire ldap.

Vérification du fonctionnement de l'annuaire.

L'utilisateur mly n'a pas de compte système. Il n'existe que dans l'annuaire ldap. Créez un répertoire et affectez-le au compte.

# mkdir /home/mly
# chown 1006:100 /home/mly
# ls -al /home/mly
drwxr-sr-x    2 mly      users        4096 2003-06-09 13:50 .
# Ici le serveur fonctionne car il substitue bien l'UID à l'uidNumber

# ls -al /home/mly
# Ici le serveur LDAP n'a pas été trouvé ou il ne fonctionne pas.
drwxr-sr-x    2 1006     users        4096 2003-06-09 13:50 .

Mise en place de l'authentification

On va mettre en place maintenant l'authentification ldap. Il faut modifier les fichiers de configuration qui assurent l'authentification. Mettez en début de fichier :

#/etc/pam.d/login
auth    sufficient pam_ldap.so
account sufficient pam_ldap.so
password        required        pam_ldap.so

#/etc/pam.d/passwd
auth    sufficient pam_ldap.so
account sufficient pam_ldap.so
password        sufficient        pam_ldap.so

Vérification de l'authentification :

mlx@uranus:~$ su mly
Password: #ici taper toto
mly@uranus:~$ cd
mly@uranus:~$ pwd
/home/mly