Outils pour utilisateurs

Outils du site


admin:services:nss

Ceci est une ancienne révision du document !


< retour à la page de l'administration technique

NSS permet d'utiliser plusieurs sources d'authentification, dont LDAP, pour l'accès aux serveurs.

Installation

aptitude install libpam-ldapd libnss-ldapd nslcd

Lors de la configuration, il faut spécifier les serveurs LDAP à utiliser et les services à fournir via cette source : passwd, group et shadow (voir /etc/nsswitch.conf). La ligne sudoers permet à sudo d'utiliser les groupes LDAP même en présence du cache nscd.

Il faut préciser les paramètres de recherche dans /etc/nslcd.conf (les ou pour les utilisateurs et les groupes POSIX, ainsi que les mappings) dans /etc/nslcd.conf. Pour FedeRez, on cherche les utilisateurs netFederezUser dans ou=users,dc=federez,dc=net et les groupes posixGroup dans ou=posix,ou=groups,dc=federez,dc=net.

service nslcd restart

Pour faciliter les tests et le debug, il est pratique de désactiver le caching :

service nscd stop

Pour vérifier que le service fonctionne, vérifier que les utilisateurs LDAP sont affichés par la commande suivante :

getent passwd

sudo

Pour que sudo continue à marcher avec l'authentification LDAP et quand nscd tourne, il faut ajouter la ligne suivante à la fin de /etc/nsswitch.conf :

sudoers:        files ldap

À FedeRez, on utilise le groupe sudoldap pour les accès sudo, d'où la ligne suivante ajoutée en visudo :

%sudoldap ALL=(ALL:ALL) ALL

PAM

PAM est toujours là pour l'authentification et peut aussi être configuré.

Home directories

Ajouter la ligne suivante à la fin de /etc/pam.d/common-session :

session required pam_mkhomedir.so skel=/etc/skel umask=0022

Liens

Configuration

/etc/nsswich.conf
passwd:         compat ldap
group:          compat ldap
shadow:         compat ldap
 
hosts:          files dns
networks:       files
 
protocols:      db files
services:       db files
ethers:         db files
rpc:            db files
 
netgroup:       nis
 
sudoers:        files ldap
/etc/nslcd.conf
# /etc/nslcd.conf
# nslcd configuration file. See nslcd.conf(5)
# for details.
 
# The user and group nslcd should run as.
uid nslcd
gid nslcd
 
# The location at which the LDAP server(s) should be reachable.
uri ldaps://ldap.federez.net
uri ldaps://ldap-ro.federez.net
 
# The search base that will be used for all queries.
base dc=federez,dc=net
 
base passwd ou=users,dc=federez,dc=net
base shadow ou=users,dc=federez,dc=net
base group ou=posix,ou=groups,dc=federez,dc=net
 
# The LDAP protocol version to use.
ldap_version 3
 
# The DN to bind with for normal lookups.
binddn cn=nssauth,ou=service-users,dc=federez,dc=net
bindpw secret
 
# The DN used for password modifications by root.
#rootpwmoddn cn=admin,dc=example,dc=com
 
# SSL options
ssl on
tls_cacertfile /etc/ssl/certs/ca-certificates.crt
tls_reqcert demand
 
# The search scope.
#scope sub
 
# FedeRez-specific mapping and filters
# Only members of the ssh group are mapped as Linux users
filter passwd (&(objectClass=netFederezUser)(memberOf=cn=ssh,ou=accesses,ou=groups,dc=federez,dc=net))
map passwd uid netFederezUID
filter shadow (&(objectClass=netFederezUser)(memberOf=cn=ssh,ou=accesses,ou=groups,dc=federez,dc=net))
map shadow uid netFederezUID
filter group (objectClass=posixGroup)
admin/services/nss.1465675758.txt.gz · Dernière modification : 2016/06/11 22:09 de chirac

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki