LDAP + Pam => quelques questions - Infrastructures serveurs - Systèmes & Réseaux Pro
MarshPosté le 11-03-2010 à 10:24:35
Hello,
J'ai plusieurs petites questions concernant une archi que je mets actuellement en place.
Tout d'abord, le contexte : 2 machines, dont l'une a une base LDAP synchronisée (en temps réel) sur la première. Pour l'instant j'ai 2 bind (primaires les 2) qui sont synchro avec LDAP, ça marche au poile. J'aimerais maintenant synchroniser PAM sur ldap, de façon à pouvoir aussi bien interroger directement PAM que LDAP.
Où j'en suis : La partie LDAP est bonne, dans le sens où j'ai quelques comptes qui y figurent (ainsi que les groupes), qui n'apparaissent pas dans /etc/passwd. Un gentent passwd me renvoi bien tous les comptes figurant sur la machine, mais aussi dans mon ldap. Lorsque je me connecte pour la première fois depuis un compte déclaré dans LDAP, le mkdir du homedirectory se créé bien et mon user s'y colle bien.
Tout semble bien aller, mais c'est loin d'être parfait, c'est là où commencent mes questions :
1) Quand je me log par exemple avec un user local, je dois tapper 2 fois mon password :
Citation :
lab2:~# su test Password: Mot de passe :
Pourquoi ? A noter que j'ai suivi ce tutorial et que je pense avoir mal interprété la partie sur les module d'authentification qui sont dans le dossier /etc/pam.d/. Par exemple, voici un ou deux fichiers (qui sont faux je pense) :
j'ai l'impression que je dois m'authentifier une première fois sur PAM et une autre sur LDAP... Je dois m'être emmêlé les pinceaux avec les attributs required ou sufficient. Ça semblerait logique dans la mesure où quand je me logue depuis mon user LDAP, là je n'ai qu'à tapper mon password une fois.
2) Le mkdir du homedirectory se fait tout seul à la première utilisation de mon compte déclaré dans ldap, ça c'est cool. Par contre, quand je supprime ce compte de ldap, bah le homedirectory n'est pas supprimé. En soit ça ne me choque pas trop, mais je trouve pas très propre de devoir le faire à la main, quelqu'un aurait-il une astuce pour automatiser cette tâche aussi ?
Marsh Posté le 11-03-2010 à 10:24:35
Hello,
J'ai plusieurs petites questions concernant une archi que je mets actuellement en place.
Tout d'abord, le contexte : 2 machines, dont l'une a une base LDAP synchronisée (en temps réel) sur la première. Pour l'instant j'ai 2 bind (primaires les 2) qui sont synchro avec LDAP, ça marche au poile. J'aimerais maintenant synchroniser PAM sur ldap, de façon à pouvoir aussi bien interroger directement PAM que LDAP.
Où j'en suis : La partie LDAP est bonne, dans le sens où j'ai quelques comptes qui y figurent (ainsi que les groupes), qui n'apparaissent pas dans /etc/passwd. Un gentent passwd me renvoi bien tous les comptes figurant sur la machine, mais aussi dans mon ldap. Lorsque je me connecte pour la première fois depuis un compte déclaré dans LDAP, le mkdir du homedirectory se créé bien et mon user s'y colle bien.
Tout semble bien aller, mais c'est loin d'être parfait, c'est là où commencent mes questions :
1) Quand je me log par exemple avec un user local, je dois tapper 2 fois mon password :
lab2:~# su test
Password:
Mot de passe :
Pourquoi ? A noter que j'ai suivi ce tutorial et que je pense avoir mal interprété la partie sur les module d'authentification qui sont dans le dossier /etc/pam.d/. Par exemple, voici un ou deux fichiers (qui sont faux je pense) :
test@lab2etc/pam.d$ cat su
#%PAM-1.0
auth sufficient /lib/security/pam_ldap.so
auth required /lib/security/pam_unix_auth.so use_first_pass
account sufficient /lib/security/pam_ldap.so
account required /lib/security/pam_unix_acct.so
password required /lib/security/pam_cracklib.so
password sufficient /lib/security/pam_ldap.so
password required /lib/security/pam_pwdb.so use_first_pass
session required /lib/security/pam_unix_session.so
@include common-auth
@include common-account
@include common-session
@include common-password
test@lab2etc/pam.d$ cat login
#%PAM-1.0
auth required /lib/security/pam_securetty.so
auth required /lib/security/pam_nologin.so
auth sufficient /lib/security/pam_ldap.so
auth required /lib/security/pam_unix_auth.so try_first_pass
account sufficient /lib/security/pam_ldap.so
account required /lib/security/pam_unix_acct.so
password required /lib/security/pam_cracklib.so
password required /lib/security/pam_ldap.so
password required /lib/security/pam_pwdb.so use_first_pass
session required /lib/security/pam_unix_session.so
#session optional /lib/security/pam_console.so
test@lab2etc/pam.d$ cat ssh
#%PAM-1.0
auth required /lib/security/pam_nologin.so
auth sufficient /lib/security/pam_ldap.so
auth required /lib/security/pam_unix_auth.so try_first_pass
account sufficient /lib/security/pam_ldap.so
account required /lib/security/pam_unix_acct.so
password required /lib/security/pam_cracklib.so
password sufficient /lib/security/pam_ldap.so
password required /lib/security/pam_pwdb.so use_first_pass
session required /lib/security/pam_unix_session.so
@include common-auth
@include common-account
@include common-session
@include common-password
j'ai l'impression que je dois m'authentifier une première fois sur PAM et une autre sur LDAP... Je dois m'être emmêlé les pinceaux avec les attributs required ou sufficient. Ça semblerait logique dans la mesure où quand je me logue depuis mon user LDAP, là je n'ai qu'à tapper mon password une fois.
2) Le mkdir du homedirectory se fait tout seul à la première utilisation de mon compte déclaré dans ldap, ça c'est cool. Par contre, quand je supprime ce compte de ldap, bah le homedirectory n'est pas supprimé. En soit ça ne me choque pas trop, mais je trouve pas très propre de devoir le faire à la main, quelqu'un aurait-il une astuce pour automatiser cette tâche aussi ?
Merci !