Client LDAPVoici le quatrième et dernier article dans notre série sur l’authentification centralisée avec 389 Directory Server. Jusqu’ici, nous avons vu en détail l’installation du serveur d’annuaires, la création des utilisateurs et la sécurisation des connexions. Aujourd’hui nous allons aborder la connexion des postes clients à 389 Directory Server dans le but de leur permettre de récupérer les informations d’authentification.

J’utilise OpenSUSE Leap 15.1 KDE sur tous mes postes de travail. Les informations données seront donc quelque peu spécifiques à cette distribution.

Exporter le certificat CA

Dans notre précédent article, nous avons créé un certificat CA sur le serveur. Ce certificat doit être exporté vers tous les postes clients qui veulent utiliser une connexion sécurisée vers le serveur d’annuaires.

Dans mon réseau « bac à sable » local, je dispose d’un serveur d’annuaires amandine.microlinux.lan et de deux postes clients bernadette.microlinux.lan et raymonde.microlinux.lan.

Depuis le serveur, je copie le certificat ca.crt vers tous mes postes clients, en les rangeant directement à l’endroit approprié.

$ cd easy-rsa-3.0.6/easyrsa3/pki/
$ scp ca.crt root@bernadette:/etc/pki/trust/anchors/
ca.crt                             100% 1220     1.2MB/s   00:00    
$ scp ca.crt root@raymonde:/etc/pki/trust/anchors/
ca.crt                             100% 1220     1.4MB/s   00:00

Ensuite, je me connecte à chacun de mes postes de travail et je mets à jour les certificats CA du système.

# update-ca-certificates -v
running /usr/lib/ca-certificates/update.d/50java.run ...
creating /var/lib/ca-certificates/java-cacerts ...
running /usr/lib/ca-certificates/update.d/70openssl.run ...
creating /var/lib/ca-certificates/openssl ...
running /usr/lib/ca-certificates/update.d/80etc_ssl.run ...
running /usr/lib/ca-certificates/update.d/99certbundle.run ...
creating /var/lib/ca-certificates/ca-bundle.pem ...

Configurer la connexion à l’annuaire

Sur mon poste client OpenSUSE, j’ouvre Système > YaST > Services réseau > Client LDAP et Kerberos.

YaST Client LDAP

Je clique sur Modifier les paramètres.

YaST Client LDAP

La fenêtre de configuration LDAP s’affiche. Voici comment j’ai défini ma connexion à 389 Directory Server.

YaST Client LDAP

Cette configuration mérite quelques remarques.

  • À partir du moment où l’on autorise les utilisateurs LDAP à s’authentifier, YaST se charge automatiquement de l’installation des paquets requis pam_ldap et nss_ldap sous le capot.
  • La mise en cache des entrées LDAP avec nscd est optionnelle.
  • Si le répertoire d’un utilisateur présent dans la base LDAP n’existe pas, il est créé automatiquement à la première connexion.
  • Je me sers uniquement des informations sur les utilisateurs.
  • Je garde la définition locale des groupes telle qu’elle figure dans /etc/group. Si vous cochez la case Groupes par inadvertance, vous allez rester perplexe face à une machine qui ne démarre plus.
  • J’ai uniquement indiqué l’URI ldaps:amandine.microlinux.lan:636 pour une connexion sécurisée.

Tester la connexion

Une fois que la connexion est configurée correctement, je peux la tester en cliquant sur Tester la connexion. Si tout se passe comme prévu, le message suivant s’affiche.

YaST Client LDAP

Une fois que j’ai pris en compte les modifications, je peux essayer d’afficher les infos des utilisateurs définis dans l’annuaire depuis mon poste client.

$ getent passwd jmortreux
jmortreux:*:10002:100:Jean Mortreux:/home/jmortreux:/bin/bash
$ getent passwd adebuf
adebuf:*:10003:100:Agnès Debuf:/home/adebuf:/bin/bash

Récapitulatif et vue d’ensemble

Nous approchons de la fin de notre série d’articles sur l’authentification centralisée sous Linux. Ce n’est peut-être pas une mauvaise idée de donner une vue d’ensemble de tous les éléments nécessaires pour obtenir une telle configuration.

  1. Installez et configurez un serveur CentOS 7.
  2. Configurez un serveur NFS sur cette machine.
  3. Exportez le répertoire /home pour les postes clients du réseau local.
  4. Installez 389 Directory Server sur le serveur.
  5. Définissez les utilisateurs.
  6. Sécurisez les connexions à l’annuaire.
  7. Installez vos postes clients sous OpenSUSE Leap 15.1 KDE.
  8. Configurez le répertoire /home partagé sur les postes clients.
  9. Enfin, configurez l’authentification sur les postes clients, comme nous venons de le décrire.

Une dernière remarque : étant donné que vous n’avez plus accès à vos comptes utilisateurs locaux une fois que vous avez configuré l’accès au partage NFS, vous devrez lancer YaST en ligne de commande pour définir l’accès à l’annuaire.

# yast

YaST LDAP


La rédaction de cette documentation demande du temps et des quantités significatives de café espresso. Vous appréciez ce blog ? Offrez un café au rédacteur en cliquant sur la tasse.

 


0 commentaire

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.