Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente |
technique:adminsys:tips:auth_ldap [2021/11/24 23:39] – qduchemi | technique:adminsys:tips:auth_ldap [2022/09/23 10:19] (Version actuelle) – modification externe 127.0.0.1 |
---|
Lors de l'installation, des modales s'ouvrent et demandent plusieurs informations. | Lors de l'installation, des modales s'ouvrent et demandent plusieurs informations. |
| |
D'abord, l'URI de notre serveur LDAP. Nous utilisons LDAPS pour sécuriser les connexions, ce sera donc `ldaps://ldap.picasoft.net`. | D'abord, l'URI de notre serveur LDAP. Nous utilisons LDAPS pour sécuriser les connexions, ce sera donc `ldaps://ldap.picasoft.net:636`. |
| |
Ensuite, le DN qui sert de base aux recherches. Toutes les entrées du LDAP se situe sous `dc=picasoft,dc=net`. | Ensuite, le DN qui sert de base aux recherches. Toutes les entrées du LDAP se situe sous `dc=picasoft,dc=net`. |
| |
<bootnote critical>Si on ne le vous demande pas, éditez le fichier `/etc/nsswitch.conf` et rajouter `ldap` à la fin des lignes commençant par `passwd`, `group` et `shadow`.</bootnote> | <bootnote critical>Si on ne le vous demande pas, éditez le fichier `/etc/nsswitch.conf` et rajouter `ldap` à la fin des lignes commençant par `passwd`, `group` et `shadow`.</bootnote> |
Pour finir, on se édite le fichier `/etc/nslcd.conf` pour décommenter et compléter les identifiants de l'utilisateur lecture seule (disponibles sur le [[technique:adminsys:secu:password_store:start|pass]]) : | Pour finir, on se édite le fichier `/etc/nslcd.conf` pour décommenter et compléter les identifiants de l'utilisateur lecture seule (disponibles sur le [[asso:tuto:vaultwarden|vaultwarden]]) : |
| |
``` | ``` |
AuthorizedKeysCommand /etc/ssh/ldapssh.sh | AuthorizedKeysCommand /etc/ssh/ldapssh.sh |
AuthorizedKeysCommandUser nobody | AuthorizedKeysCommandUser nobody |
| PermitRootLogin no |
``` | ``` |
| |
| <bootnote critical>Il est très important de désactiver la connexion avec `root`, vérifie à deux fois!</bootnote> |
| |
| <bootnote warning> |
| Vérifier que le fichier `/etc/ldap/ldap.conf` existe et contienne la ligne suivante : |
| |
| ``` |
| TLS_CACERT /etc/ssl/certs/ca-certificates.crt |
| ``` |
| </bootnote> |
| |
Ces paramètres indiquent qu'à chaque tentative de connexion d'un utilisateur, il faut utiliser le script `/etc/ssh/ldapssh.sh`, lancé en tant que `nobody`, pour récupérer les clés publiques autorisées. | Ces paramètres indiquent qu'à chaque tentative de connexion d'un utilisateur, il faut utiliser le script `/etc/ssh/ldapssh.sh`, lancé en tant que `nobody`, pour récupérer les clés publiques autorisées. |