PAM LDAP

Les annuaires sont de nos jours de plus en plus utilisés afin de centraliser les informations et l’identification des utilisateurs. Que ce soit un ActiveDirectory (Microsoft) ou un OpenLDAP, il est souvent nécessaire de pouvoir permettre aux équipements de se connecter dessus.

Dans certains établissements, les DSI ont choisi d’authentifier les utilisateurs des machines via leur annuaire. Pour les utilisateurs Windows, il suffira simplement d’utiliser un ActiveDirectory, coûteux et pratique, mais les utilisateurs Linux se retrouvent de côté.

Nous allons vous montrer dans ce tutoriel comment permettre à votre machine Linux (client ou serveur) d’autoriser l’authentification LDAP via le PAM.

Installation

Afin d’installer l’authentification ldap nous allons utiliser le gestionnaire de paquets

apt-get install libpam-ldap libpam-cracklib libpam-mkhomedir

Le paquet libpam-mkhomedir permettra de créer les répertoires utilisateurs au premier login. Configuration

Ouvrez le fichier /etc/nssswitch.conf et vérifiez que les champs passwd, group et shadow renseignent bien le mot-clé ldap.

passwd:         files ldap
group:          files ldap
shadow:         files ldap

L’ordre des mots clés signifie que pam va tout d’abord chercher l’utilisateur dans les fichiers puis sur le serveur LDAP.

Nous allons maintenant configurer la connexion LDAP. Ouvrez (ou créez) le fichier /etc/libnss-ldap.conf et configurez comme ci-dessous:

host ldapserver # nom de l'host
uri ldap://ldap.domain.tld # uri de LDAP
ldap_version 3
binddn cn=ldap,dc=domain,dc=tld
bindpw myldappwd
rootbinddn cn=ldap,ou=read-only,dc=domain,dc=tld
port 389
bind_policy soft # booter le service meme si certaines erreurs de connexion
pam_filter objectclass=* # filtre les entrées qui peuvent utiliser le PAM

Le mot de passe de l’utilisateur LDAP n’est pas indiqué. Les concepteurs de la solution ont choisi de le déporter dans le fichier Si vous avez lu, l/etc/libnss-ldap.secret.

Ouvrez donc le fichier et renseignez le mot de passe. N’oubliez pas de retirer l’accès en lecture aux utilisateurs non sollicités. Application de la configuration

service slapd restart

Vos utilisateurs peuvent désormais se connecter en login LDAP sur vos machines linux.