Wheezy + LDAP 2.4

Support Debian
#1

Bonjour,
J’ai fait un tour sur internet et meme dans les magasins spécialisés et je n’ai rien trouvé concernant la mise en place d’LDAP V2.4 et suppérieur. Je suis néofite sur la question. J’ai trouvé plein de documentations sur internet concernant les versions antérieurs mais pas grand chose pour cette version.

Comment faire pour mettre en place un service d’annuaire dans wheezy avec LDAP V2.4 (version d’installation par défaut)?
Commencons par quelque chose de simple et théoriquement basique, se logger sur la machine avec LDAP.
J’ai plein d’autres questions, mais ca viendra après. Chaque chose en son temps.

L’aide de débian http://wiki.debian.org/LDAP a besoin d’un dépoussiérage et ne fonctionne pas (en tout cas pour moi).

Merci pour votre aide.

#2

Bonjour.

Voici un lien sur lequel tu peux t’appuyer : rjsystems.nl/en/2100-d6-open … ovider.php

En effet maintenant la configuration d’OpenLDAP se fait uniquement par des fichiers LDIF. Mais d’après certaines recherches sur internet tu peux quand même utilise l’ancien mode de configuration d’OpenLDAP. Supprime le repertoire slapd.d (je te conseil plus de le changer de place) et créer un un fichier slapd.conf avec les bon droits.
Après si tu veux tu peux “transformer” ton fichier slapd.conf avec une commande pour ça devienne un repertoire slapd.d

Je ne sais pas si j’ai été assez clair. N’hésite pas à poser d’autres questions.

#3

Merci pour la réponse,

J’essaye et je te dis si ca fonctionne bien.

Cordialement,

#4

Bonjour,

Je viens de commencer à lire la documentation que tu m’as indiqué en lien. Avant meme de commencer je suis bloqué par ce qui est écri[quote]Before the actual OpenLDAP installation process can begin, it will first be necessary to install Debian squeeze on a new host called ldaps1.example.com. A DNS server must also be available on the network with a zone file to which forward and reverse mappings can be added for this host, as well as an alias for it called ldaps.example.com.[/quote]

Faut-il absolument que j’installe un Serveur DNS sur mon réseau local sachant que l’idée final est:

D’avoir deux serveurs en miroring (je les appelerai serveur1 et serveur2).
Des clients qui se connectent en mode Synchrones quand ils sont sur site et asynchrones quand ils sont en vadrouille.
J’ai pour l’instant deux noms de domaine.
un en domaine.ws et un en domaine.mobil

Je ne suis pas encore familiarisé avec la mise en place de serveur DNS et reverse DNS. Puis-je simplement utiliser les déclarations dans le fichier /etc/host pour palier au probleme de DNS?

Cordialement,
Vandman

#5

Non tu n’es pas obligé de faire un DNS car quand tu essaieras de te connecter à l’annuaire tu le fera par l’adresse IP.

#6

Tu peux en effet utiliser les fichiers /etc/hosts pour renseigner tes serveurs.

J’ai détaillé une petite procédure qui ressemble apparemment à celle que t’a fourni el_profesor.

Si ça t’intéresse je peux te donner le lien (je ne veux pas qu’on croit que je fais ma pub ^^).

#7

Ta procédure peut m’intéresser. Donc si tu peux la faire partager c’est cool :wink:

#8

Oui, je veux bien le lien.

Merci

#9

http://chr0my.overblog.com/installation-et-configuration-d-openldap-sous-debian-squeeze
En espérant que cela puisse aider. J’ai utilisé squeeze mais je pense que ça devrait fonctionner de même avec wheezy.

#10

Merci pour le lien.
Est-ce une traduction du document de rjsystems mise en lien par el_profesor ou c’est la personne qui l’a traduit de ton document?

Bon, revenons à nos moutons:

J’ai suivi à la lettre vos recomandations (chr0my et rjsystems). Ca a l’air de bien fonctionner, je n’ai pas eu de messages d’horreurs.

J’ai une chose à ajouter et deux questions complémentaires:

Ajout: Dans la documentation de chr0my, il n’est pas mentioné comment faire pour activer l’autentification des utilisateurs par LDAP. Pour m’autentifier via LDAP j’ai suivi le tuto du wiki que j’ai indiqué dans mon premier post.

Question 1: Quelle type de client et donc d’identification vaut-il mieux, LDAP/NSS ou LDAP/PAM? Avantages et inconvéniant de chacun?
Question 2: Je le disais précédemment, tout semble s’etre bien passé. A tel point que je ne sais pas si je m’identifie grace à LDAP ou non. Comment savoir?

Cordialement,

Vandman

#11

Perso je ne comprend pas trop ta question 1 car pour activer l’authentification LDAP d’un client tu es obliger de modifier le fichier nsswitch et pam.

Pour ta question 2 c’est simple. Disons que tu as créé un utilisateur toto qui existe uniquement dans ton ldap. Quand tu tapes la commande getent passwd tu dois voir apparaitre tous tes utilisateurs systèmes mais également tes utilisateurs LDAP et donc ton user toto.

#12

Pour ce qui est de ma question 1, dans le wiki suivant, http://wiki.debian.org/fr/LDAP/PAM il est indiqué:

De ce que je comprens, il n’est pas nécessaire de mettre en oeuvre les deux types d’identification. d’ou ma question: [quote]Quelle type de client et donc d’identification vaut-il mieux, LDAP/NSS ou LDAP/PAM? Avantages et inconvéniant de chacun?[/quote]

Je vais donc créer un utilisateur fictif via LDAP et voir si ca fonctionne…

Merci

#13

J’ai toujours utilisé libpam-ldap donc je peux te conseiller que ce module. Le truc interessant c’est lorsqu’un utilisateur se connecte sur un linux la commande passwd fonctionne pour qu’il puisse changer son mdp.

#14

Réponse à el_profesor; avant qu’il ne me réponde, j’avais choisi (Pas vraiment, j’ai commencé par la première solution proposé) LDAP/NSS.

Sur ma machine 1: cela fonctionne. l’autentification est bonne. Il faut cependant penser à créer manuellement (en root, mkdir + chown) le répertoir de l’utilisateur avant de se logger. Si non, erreur en vu.

Sur la machine 2: j’ai un probleme lié à une précédente install d’LDAP. J’avais pourtant désinstallé totalement saldp et tout autre composant en lien avec ldap. voici l’erreur qui m’est renvoyé dans syslog:

[quote]serveur2 slapd[1129]: conn=1002 op=17 SRCH base=“dc=monsite,dc=ws” scope=2 deref=0 filter="(&(objectClass=shadowAccount)(uid=root))"
serveur2 slapd[1129]: conn=1002 op=17 SRCH attr=shadowExpire shadowInactive shadowFlag shadowWarning shadowLastChange uid shadowMin shadowMax
serveur2 nslcd[1150]: [bbd95a] <shadow=“root”> ldap_result() failed: No such object
serveur2 slapd[1129]: conn=1002 op=17 SEARCH RESULT tag=101 err=32 nentries=0 text=
serveur2 slapd[1129]: conn=1002 op=18 ABANDON msg=18[/quote]

or j’ai choisi lors de la nouvelle install non pas [quote]base="dc=monsite,dc=ws[/quote] mais [quote]base="dc=maison[/quote]

Je ne comprens pas pourquoi il cherche sur une base monsite.ws?

de plus, lorsque je fait un ldapwhoami -xD uid=prénom,ou=people,dc=maison -w motdepassj’ai bien en retourdn:uid=prénom,ou=people,dc=maison

comment supprimer définitivement cette référence à monsite.ws???

Merci

#15

Justement si tu avais utilisé libpam-ldap tu pouvais rajouter une ligne dans pam qui dit que lorsque l’utilisateur se connecte il y a création automatique du home s’il n’existe pas.

Je ne sais pas. Peut être qu’il faut modifier /etc/ldap/ldap.conf

Sinon donne une copie de tous tes fichiers que tu as modifié sur ta machine 2 sachant que si je comprend bien le serveur est sur la machine 1 ?

#16

Je vais clore le sujet car en suivant les tutos de chr0my et rjsystems + celui du wiki de debian pour l’activation de la prise en compte de l’autentification par ldap, cela fonctionne.

Pour ce qui est des autres problemes, je vais lancer un nouveau file…

Tout de meme avant de finir, Un grand merci à el_profesor et à chr0my

Cordialement,

Vandman