Mon réseau

Mon réseau d’entreprise

14.5 Installation client

Précédent   Suivant

Le logiciel permettant à un ordinateur client d’utiliser la base LDAP pour se connecter et changer le mot de passe d’un utilisateur est sssd

14.5.1 sssd

Installer le paquet sssd

Nous allons d’abord activer sssd sans l’utilisation du chiffrement. Créez le fichier /etc/sssd/sssd.conf (propriétaire root, permissions 600). Adaptez le fichier suivant : 

[sssd]
config_file_version = 2
domains = example.com

[domain/example.com]
id_provider = ldap
auth_provider = ldap
ldap_uri = ldap://ldap01.example.com
cache_credentials = True
ldap_search_base = dc=example,dc=com
14.5.2 Le client en mode TLSStart

Pour que les utilisateurs puissent changer leur mot de passe, il est obligatoire d’utiliser le chiffrement. Pour cela, il faut adapter le fichier de configuration et ajouter les fichiers cryptographiques. 

[sssd]
config_file_version = 2
domains = osaka.rtlum
services = nss, pam
debug_level = 9

[domain/osaka.rtlum]
id_provider = ldap
auth_provider = ldap
ldap_uri = ldap://ptah.osaka.rtlum
cache_credentials = True
ldap_search_base = dc=osaka,dc=rtlum
ldap_id_use_start_tls = True
14.5.2.1 libnss-ldap
apt install ldap-utils
ldapsearch -x -b dc=osaka,dc=rtlum -h ptah

Nous allons ajouter le paquet libnss-ldap. L’installateur va poser quelques questions :

  • L’identifiant de ressource (uri) ;

  • le nom de la base LDAP (dc=osaka,dc=rtlum) ;

  • la version de LDAP (3) ;

  • le compte administrateur (cn=admin,dc=osaka,dc=rtlum) ;

  • le mot de passe administrateur. 

# /etc/nsswitch.conf
#
# configuration of GNU Name Service Switch functionality.
...

passwd:         ldap files systemd
group:          ldap files systemd
shadow:         ldap files
...

Il faut relancer le service ncsd, le démon qui met en cache les requêtes de noms. Il doit être alors possible de lister les utilisateurs avec la commande getent qui doit afficher aussi les comptes définis par LDAP.

Les utilisateurs peuvent alors se connecter et travailler. Il faut modifier un fichier pour qu’ils puissent changer leur mot de passe. Retirer use_authtok du fichier /etc/pam.d/common-password.

14.5.2.2 Préparez le client LDAP

Précédent   Suivant