Outils pour utilisateurs

Outils du site


admin:services:nss

Ceci est une ancienne révision du document !


Cette documentation est obsolète, merci de vous référer à nss.

< retour à la page de l'administration technique

NSS permet d'utiliser plusieurs sources d'authentification, dont LDAP, pour l'accès aux serveurs.

Installation

apt install libpam-ldapd libnss-ldapd nslcd

Lors de la configuration, il faut spécifier les serveurs LDAP à utiliser et les services à fournir via cette source : passwd, group et shadow (voir /etc/nsswitch.conf). La ligne sudoers permet à sudo d'utiliser les groupes LDAP même en présence du cache nscd.

Il faut préciser les paramètres de recherche dans /etc/nslcd.conf (les ou pour les utilisateurs et les groupes POSIX, ainsi que les mappings) dans /etc/nslcd.conf. Pour FedeRez, on cherche les utilisateurs netFederezUser dans ou=users,dc=federez,dc=net et les groupes posixGroup dans ou=posix,ou=groups,dc=federez,dc=net.

service nslcd restart

Pour faciliter les tests et le debug, il est pratique de désactiver le caching :

service nscd stop

Pour vérifier que le service fonctionne, vérifier que les utilisateurs LDAP sont affichés par la commande suivante :

getent passwd

sudo

Pour que sudo continue à marcher avec l'authentification LDAP et quand nscd tourne, il faut ajouter la ligne suivante à la fin de /etc/nsswitch.conf :

sudoers:        files ldap

À FedeRez, on utilise le groupe sudoldap pour les accès sudo, d'où la ligne suivante ajoutée en visudo :

%sudoldap ALL=(ALL:ALL) ALL

SSH

A la fin de sshd_config, rajouter :

 AllowGroups root ssh federezadmin
 

PAM

PAM est toujours là pour l'authentification et peut aussi être configuré.

Home directories

Ajouter la ligne suivante à la fin de /etc/pam.d/common-session :

session required pam_mkhomedir.so skel=/etc/skel umask=0022

Liens

Configuration

/etc/nsswitch.conf
passwd:         compat ldap
group:          compat ldap
shadow:         compat ldap
 
hosts:          files dns
networks:       files
 
protocols:      db files
services:       db files
ethers:         db files
rpc:            db files
 
netgroup:       nis
 
sudoers:        files ldap
/etc/nslcd.conf
# /etc/nslcd.conf
# nslcd configuration file. See nslcd.conf(5)
# for details.
 
# The user and group nslcd should run as.
uid nslcd
gid nslcd
 
# The location at which the LDAP server(s) should be reachable.
uri ldap://ldap.federez.net
uri ldap://ldap-ro.federez.net
 
# The search base that will be used for all queries.
base dc=federez,dc=net
 
base passwd cn=Utilisateurs,dc=federez,dc=net
base shadow cn=Utilisateurs,dc=federez,dc=net
base group ou=posix,ou=groups,dc=federez,dc=net
 
# The LDAP protocol version to use.
ldap_version 3
 
# The DN to bind with for normal lookups.
binddn cn=nssauth,ou=service-users,dc=federez,dc=net
bindpw ********TOP-SECRET-PASSWORD-THAT-MUST-BE-CHANGED-FOR-A-VALID-ONE********
 
 
# SSL options
ssl start_tls
tls_cacertfile /etc/ssl/certs/ca-certificates.crt
tls_reqcert demand
 
# The search scope.
#scope sub
admin/services/nss.1584400566.txt.gz · Dernière modification : 2020/03/17 00:16 de toadjaune

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki