Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 07-04-2013 14:14:29

22decembre
Membre
Lieu : Aarhus, Danemark
Distrib. : Debian, release : testing, codename : jessie
Noyau : Linux 3.14-2-amd64
(G)UI : Kwin (4)
Inscription : 10-03-2013
Site Web

pam et ldap

Bonjour

J'ai monté un serveur ldap et je m'authentifie bien avec, pas de soucis (authentification serveur courriel, web et ssh...).

Seulement, je n'arrive pas à trouver une doc "à jour" pour expliquer comment mettre à jour automatiquement le mot de passe /etc/passwd|shadow et ldap en même temps (alors que je sais que c'est possible).
J'ai fouillé beaucoup de tutos et de docs sur le web et les man de pam, il semblerait que ma config pam est correcte. Pourtant le mot de passe ldap n'est pas mis à jour.

De plus, je ne sais pas comment faire pour faire ajouter aussi les groupes systèmes dans ldap (car il y a intérêt à ce que des utilisateurs "humains" donc ldap soient dans des groupes système).

J'ai installé les ldapscripts, mais est-ce que ça fait toutes les tâches nécessaires ?

Merci d'avance pour l'aide.

Ci dessous mon fichier pam.d/common-passwd :


# here are the per-package modules (the "Primary" block)
password        sufficient      pam_unix.so obscure sha512
password        required        pam_ldap.so use_authtok try_first_pass
# here's the fallback if no module succeeds
password        requisite                       pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
password        required                        pam_permit.so
# and here are more per-package modules (the "Additional" block)
# end of pam-auth-update config
 

Hors ligne

#2 08-04-2013 10:26:50

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : pam et ldap

22decembre a écrit :

il semblerait que ma config pam est correcte. Pourtant le mot de passe ldap n'est pas mis à jour.


Bonjour,
Tu t'es basé sur pam_ldap ?


I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#3 09-04-2013 10:42:40

22decembre
Membre
Lieu : Aarhus, Danemark
Distrib. : Debian, release : testing, codename : jessie
Noyau : Linux 3.14-2-amd64
(G)UI : Kwin (4)
Inscription : 10-03-2013
Site Web

Re : pam et ldap

Salut
Oui, j'ai installé et configuré pam_ldap. Voici le fichier de config /etc/pam_ldap.conf (en fait un simple lien logique sur /etc/ldap/ldap.conf).


BASE    dc=22decembre,dc=eu
URI     ldap://localhost

#SIZELIMIT      12
#TIMELIMIT      15
#DEREF          never


pam_login_attribute uid
pam_member_attribute gid
pam_password crypt

# identifiant admin ldap (que je veux identique à l'admin system serveur)
rootbinddn uid=root,ou=users,dc=22decembre,dc=eu

# correspondances bases et groupes
nss_base_passwd ou=users,dc=22decembre,dc=eu
nss_base_shadow ou=users,dc=22decembre,dc=eu
nss_base_group ou=groups,dc=22decembre,dc=eu

sudoers_base ou=sudo,ou=groups,dc=22decembre,dc=eu
 

Hors ligne

#4 09-04-2013 16:11:40

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : pam et ldap

22decembre a écrit :

De plus, je ne sais pas comment faire pour faire ajouter aussi les groupes systèmes dans ldap


Pour ça, j'imagine qu'il faut rentrer les gid parce que là, ils n'apparaissent pas.

Et pour les mp, il faut peut-être regarder http://articles.mongueurs.net/magazines/linuxmag67.html , pour OpenLDAP, par exemple :

De plus, une autre option intéressante est de faire gérer les mots de passe par OpenLDAP, si la compatibilité avec les mots de passe DES crypt classiques d'Unix n'est pas nécessaire pour d'autres applications qui utilisent l'attribut userPassword. Dans ce cas, modifier la ligne pam_password crypt en pam_password exop.

Pour plus d'informations, lisez donc ce fichier, qui doit être installé avec pam_ldap ou nss_ldap, les commentaires y sont fournis et de qualité. Point de détail ayant son importance : ce fichier est séparé en deux fichiers différents dans Debian, /etc/libnss-ldap.conf et /etc/pam_ldap.conf.


I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#5 17-04-2013 22:48:26

22decembre
Membre
Lieu : Aarhus, Danemark
Distrib. : Debian, release : testing, codename : jessie
Noyau : Linux 3.14-2-amd64
(G)UI : Kwin (4)
Inscription : 10-03-2013
Site Web

Re : pam et ldap

Bon ça y est, j'ai reussi à mettre à jour simultanément le mot de passe shadow ET le mot de passe ldap d'un utilisateur. Le truc c'est ça :

password        sufficient      pam_unix.so nullok obscure min=4 max=8 try_first_pass crypt



Dans cette ligne, j'ai changé "required" par "sufficient" et hop !

Reste l'ajout des utilisateurs et groupes du système. Sinon, faut ajouter le truc à la main avec Phpldapadmin. Un peu chiant, mais tant pis...

Hors ligne

Pied de page des forums