pam et ldap

22decembre · 07-04-2013 13:14:29

Bonjour

J'ai monté un serveur ldap et je m'authentifie bien avec, pas de soucis (authentification serveur courriel, web et ssh...).

Seulement, je n'arrive pas à trouver une doc "à jour" pour expliquer comment mettre à jour automatiquement le mot de passe /etc/passwd|shadow et ldap en même temps (alors que je sais que c'est possible).
J'ai fouillé beaucoup de tutos et de docs sur le web et les man de pam, il semblerait que ma config pam est correcte. Pourtant le mot de passe ldap n'est pas mis à jour.

De plus, je ne sais pas comment faire pour faire ajouter aussi les groupes systèmes dans ldap (car il y a intérêt à ce que des utilisateurs "humains" donc ldap soient dans des groupes système).

J'ai installé les ldapscripts, mais est-ce que ça fait toutes les tâches nécessaires ?

Merci d'avance pour l'aide.

Ci dessous mon fichier pam.d/common-passwd :

# here are the per-package modules (the "Primary" block)

password        sufficient      pam_unix.so obscure sha512

password        required        pam_ldap.so use_authtok try_first_pass

# here's the fallback if no module succeeds

password        requisite                       pam_deny.so

# prime the stack with a positive return value if there isn't one already;

# this avoids us returning an error just because nothing sets a success code

# since the modules above will each just jump around

password        required                        pam_permit.so

# and here are more per-package modules (the "Additional" block)

# end of pam-auth-update config

paskal · 08-04-2013 09:26:50

22decembre a écrit :

il semblerait que ma config pam est correcte. Pourtant le mot de passe ldap n'est pas mis à jour.

Bonjour,
Tu t'es basé sur pam_ldap ?

22decembre · 09-04-2013 09:42:40

Salut
Oui, j'ai installé et configuré pam_ldap. Voici le fichier de config /etc/pam_ldap.conf (en fait un simple lien logique sur /etc/ldap/ldap.conf).

BASE    dc=22decembre,dc=eu

URI     ldap://localhost

#SIZELIMIT      12

#TIMELIMIT      15

#DEREF          never

pam_login_attribute uid

pam_member_attribute gid

pam_password crypt

# identifiant admin ldap (que je veux identique à l'admin system serveur)

rootbinddn uid=root,ou=users,dc=22decembre,dc=eu

# correspondances bases et groupes

nss_base_passwd ou=users,dc=22decembre,dc=eu

nss_base_shadow ou=users,dc=22decembre,dc=eu

nss_base_group ou=groups,dc=22decembre,dc=eu

sudoers_base ou=sudo,ou=groups,dc=22decembre,dc=eu

paskal · 09-04-2013 15:11:40

22decembre a écrit :

De plus, je ne sais pas comment faire pour faire ajouter aussi les groupes systèmes dans ldap

Pour ça, j'imagine qu'il faut rentrer les gid parce que là, ils n'apparaissent pas.

Et pour les mp, il faut peut-être regarder http://articles.mongueurs.net/magazines/linuxmag67.html , pour OpenLDAP, par exemple :

De plus, une autre option intéressante est de faire gérer les mots de passe par OpenLDAP, si la compatibilité avec les mots de passe DES crypt classiques d'Unix n'est pas nécessaire pour d'autres applications qui utilisent l'attribut userPassword. Dans ce cas, modifier la ligne pam_password crypt en pam_password exop.

Pour plus d'informations, lisez donc ce fichier, qui doit être installé avec pam_ldap ou nss_ldap, les commentaires y sont fournis et de qualité. Point de détail ayant son importance : ce fichier est séparé en deux fichiers différents dans Debian, /etc/libnss-ldap.conf et /etc/pam_ldap.conf.

22decembre · 17-04-2013 21:48:26

Bon ça y est, j'ai reussi à mettre à jour simultanément le mot de passe shadow ET le mot de passe ldap d'un utilisateur. Le truc c'est ça :

password        sufficient      pam_unix.so nullok obscure min=4 max=8 try_first_pass crypt

Dans cette ligne, j'ai changé "required" par "sufficient" et hop !

Reste l'ajout des utilisateurs et groupes du système. Sinon, faut ajouter le truc à la main avec Phpldapadmin. Un peu chiant, mais tant pis...

Debian-facile

#1 07-04-2013 13:14:29

pam et ldap

#2 08-04-2013 09:26:50

Re : pam et ldap

#3 09-04-2013 09:42:40

Re : pam et ldap

#4 09-04-2013 15:11:40

Re : pam et ldap

#5 17-04-2013 21:48:26

Re : pam et ldap

Pied de page des forums