Outils pour utilisateurs

Outils du site


admin:services:nss

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision
Révision précédente
admin:services:nss [2016/06/11 22:09] chiracadmin:services:nss [2020/04/26 13:23] (Version actuelle) – [Problèmes récurents] klafyvel
Ligne 5: Ligne 5:
 ===== Installation ===== ===== Installation =====
  
-  aptitude install libpam-ldapd libnss-ldapd nslcd+  apt install libpam-ldapd libnss-ldapd nslcd
    
-Lors de la configuration, il faut spécifier les serveurs LDAP à utiliser et les services à fournir via cette source ''passwd'', ''group'' et ''shadow'' (voir ''/etc/nsswitch.conf''). La ligne ''sudoers'' permet à ''sudo'' d'utiliser les groupes LDAP même en présence du cache ''nscd''.+Lors de l'installation, il faut spécifier :
  
-Il faut préciser les paramètres de recherche dans ''/etc/nslcd.conf'' (les ''ou'' pour les utilisateurs et les groupes POSIX, ainsi que les mappings) dans ''/etc/nslcd.conf''. Pour FedeRez, on cherche les utilisateurs ''netFederezUser'' dans ''ou=users,dc=federez,dc=net'' et les groupes ''posixGroup'' dans ''ou=posix,ou=groups,dc=federez,dc=net''.+  * les serveurs LDAP à utiliser : <code>ldaps://ldap.federez.net ldaps://ldap-ro.federez.net</code> 
 +  * les services à fournir via cette source : ''passwd'', ''group'' et ''shadow''. La ligne ''sudoers'' permet à ''sudo'' d'utiliser les groupes LDAP même en présence du cache ''nscd''
 + 
 +Il faut préciser les paramètres de recherche dans ''/etc/nslcd.conf'' (les ''ou'' pour les utilisateurs et les groupes POSIX, ainsi que les mappings) dans ''/etc/nslcd.conf''. Pour FedeRez, on cherche les utilisateurs ''posixUser'' dans ''cn=Utilisateurs,dc=federez,dc=net'' et les groupes ''posixGroup'' dans ''ou=posix,ou=groups,dc=federez,dc=net''. 
 + 
 +Le fichier de conf résultant devrait être le suivant : 
 + 
 +<file conf /etc/nslcd.conf> 
 +# /etc/nslcd.conf 
 +# nslcd configuration file. See nslcd.conf(5) 
 +# for details. 
 + 
 +# The user and group nslcd should run as. 
 +uid nslcd 
 +gid nslcd 
 + 
 +# The location at which the LDAP server(s) should be reachable. 
 +uri ldaps://ldap.federez.net 
 +uri ldaps://ldap-ro.federez.net 
 + 
 +# The search base that will be used for all queries. 
 +base dc=federez,dc=net 
 + 
 +base passwd cn=Utilisateurs,dc=federez,dc=net 
 +base shadow cn=Utilisateurs,dc=federez,dc=net 
 +base group ou=posix,ou=groups,dc=federez,dc=net 
 + 
 +# The LDAP protocol version to use. 
 +ldap_version 3 
 + 
 +# The DN to bind with for normal lookups. 
 +binddn cn=nssauth,ou=service-users,dc=federez,dc=net 
 +bindpw ********TOP-SECRET-PASSWORD-THAT-MUST-BE-CHANGED-FOR-A-VALID-ONE******** 
 + 
 +# SSL options 
 +# The LDAP server uses a Let's Encrypt certificate 
 +ssl on 
 +tls_cacertfile /etc/ssl/certs/ca-certificates.crt 
 +tls_reqcert demand 
 + 
 +# The search scope. 
 +#scope sub 
 + 
 +</file> 
 + 
 +Redémarrer le service :
  
   service nslcd restart   service nslcd restart
Ligne 31: Ligne 76:
   %sudoldap ALL=(ALL:ALL) ALL   %sudoldap ALL=(ALL:ALL) ALL
      
 +
 +==== SSH ====
 +
 +A la fin de ''/etc/ssh/sshd_config'', rajouter :
 +
 +  AllowGroups root ssh federezadmin
 +
 +Redémarrer le serveur ssh :
 +
 +  systemctl restart ssh.service
 +
 ===== PAM ===== ===== PAM =====
  
 [[http://en.wikipedia.org/wiki/Pluggable_Authentication_Modules|PAM]] est toujours là pour l'authentification et peut aussi être configuré. [[http://en.wikipedia.org/wiki/Pluggable_Authentication_Modules|PAM]] est toujours là pour l'authentification et peut aussi être configuré.
 +
  
 ==== Home directories ==== ==== Home directories ====
Ligne 48: Ligne 105:
  
  
-<file conf /etc/nsswich.conf>+<file conf /etc/nsswitch.conf>
 passwd:         compat ldap passwd:         compat ldap
 group:          compat ldap group:          compat ldap
Ligne 66: Ligne 123:
 </file> </file>
  
-<file conf /etc/nslcd.conf> +===== Problèmes récurents =====
-# /etc/nslcd.conf +
-# nslcd configuration file. See nslcd.conf(5) +
-# for details.+
  
-# The user and group nslcd should run as. +  * Certains utilisateurs n'arrivent pas à se connecter alors que toute la configuration semble bonneCela peut être dû tout simplement à l'absence du shell configuré dans LDAP. On le voit avec un ''tail -f /var/log/auth.log''Cela se règle simplement en installant le shell en question (par exemple ''zsh'').  
-uid nslcd +  * Parfois quand un utisateur ne peut pas se sudo c'est à cause du cacheOn peut vider le cache nscd avec ''nscd -i group''.
-gid nslcd +
- +
-# The location at which the LDAP server(s) should be reachable. +
-uri ldaps://ldap.federez.net +
-uri ldaps://ldap-ro.federez.net +
- +
-# The search base that will be used for all queries+
-base dc=federez,dc=net +
- +
-base passwd ou=users,dc=federez,dc=net +
-base shadow ou=users,dc=federez,dc=net +
-base group ou=posix,ou=groups,dc=federez,dc=net +
- +
-# The LDAP protocol version to use. +
-ldap_version 3 +
- +
-# The DN to bind with for normal lookups. +
-binddn cn=nssauth,ou=service-users,dc=federez,dc=net +
-bindpw secret +
- +
-# The DN used for password modifications by root. +
-#rootpwmoddn cn=admin,dc=example,dc=com +
- +
-# SSL options +
-ssl on +
-tls_cacertfile /etc/ssl/certs/ca-certificates.crt +
-tls_reqcert demand +
- +
-# The search scope. +
-#scope sub +
- +
-# FedeRez-specific mapping and filters +
-# Only members of the ssh group are mapped as Linux users +
-filter passwd (&(objectClass=netFederezUser)(memberOf=cn=ssh,ou=accesses,ou=groups,dc=federez,dc=net)) +
-map passwd uid netFederezUID +
-filter shadow (&(objectClass=netFederezUser)(memberOf=cn=ssh,ou=accesses,ou=groups,dc=federez,dc=net)) +
-map shadow uid netFederezUID +
-filter group (objectClass=posixGroup) +
-</file>+
admin/services/nss.1465675758.txt.gz · Dernière modification : 2016/06/11 22:09 de chirac

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki