| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente |
| technique:adminsys:tips:auth_ldap [2021/11/24 23:39] – ↷ Page déplacée et renommée de technique:adminsys:ldap:installation à technique:adminsys:tips:auth_ldap qduchemi | technique:adminsys:tips:auth_ldap [2022/09/23 10:19] (Version actuelle) – modification externe 127.0.0.1 |
|---|
| {{indexmenu_n>30}} | {{indexmenu_n>30}} |
| |
| # Mise en place de l'authentification LDAP sur les machines | # Authentification LDAP sur les machines |
| |
| Le but est de pouvoir utiliser les comptes LDAP pour : | Le but est de pouvoir utiliser les comptes LDAP pour : |
| Lors de l'installation, des modales s'ouvrent et demandent plusieurs informations. | Lors de l'installation, des modales s'ouvrent et demandent plusieurs informations. |
| |
| D'abord, l'URI de notre serveur LDAP. Nous utilisons LDAPS pour sécuriser les connexions, ce sera donc `ldaps://ldap.picasoft.net`. | D'abord, l'URI de notre serveur LDAP. Nous utilisons LDAPS pour sécuriser les connexions, ce sera donc `ldaps://ldap.picasoft.net:636`. |
| |
| Ensuite, le DN qui sert de base aux recherches. Toutes les entrées du LDAP se situe sous `dc=picasoft,dc=net`. | Ensuite, le DN qui sert de base aux recherches. Toutes les entrées du LDAP se situe sous `dc=picasoft,dc=net`. |
| |
| <bootnote critical>Si on ne le vous demande pas, éditez le fichier `/etc/nsswitch.conf` et rajouter `ldap` à la fin des lignes commençant par `passwd`, `group` et `shadow`.</bootnote> | <bootnote critical>Si on ne le vous demande pas, éditez le fichier `/etc/nsswitch.conf` et rajouter `ldap` à la fin des lignes commençant par `passwd`, `group` et `shadow`.</bootnote> |
| Pour finir, on se édite le fichier `/etc/nslcd.conf` pour décommenter et compléter les identifiants de l'utilisateur lecture seule (disponibles sur le [[technique:adminsys:secu:password_store:start|pass]]) : | Pour finir, on se édite le fichier `/etc/nslcd.conf` pour décommenter et compléter les identifiants de l'utilisateur lecture seule (disponibles sur le [[asso:tuto:vaultwarden|vaultwarden]]) : |
| |
| ``` | ``` |
| AuthorizedKeysCommand /etc/ssh/ldapssh.sh | AuthorizedKeysCommand /etc/ssh/ldapssh.sh |
| AuthorizedKeysCommandUser nobody | AuthorizedKeysCommandUser nobody |
| | PermitRootLogin no |
| ``` | ``` |
| | |
| | <bootnote critical>Il est très important de désactiver la connexion avec `root`, vérifie à deux fois!</bootnote> |
| | |
| | <bootnote warning> |
| | Vérifier que le fichier `/etc/ldap/ldap.conf` existe et contienne la ligne suivante : |
| | |
| | ``` |
| | TLS_CACERT /etc/ssl/certs/ca-certificates.crt |
| | ``` |
| | </bootnote> |
| |
| Ces paramètres indiquent qu'à chaque tentative de connexion d'un utilisateur, il faut utiliser le script `/etc/ssh/ldapssh.sh`, lancé en tant que `nobody`, pour récupérer les clés publiques autorisées. | Ces paramètres indiquent qu'à chaque tentative de connexion d'un utilisateur, il faut utiliser le script `/etc/ssh/ldapssh.sh`, lancé en tant que `nobody`, pour récupérer les clés publiques autorisées. |