Changes

Changes

622 bytes added , 16:31, 26 June 2022

no edit summary

Line 3: Line 3:

−

{{Warning box|~~This how-to should be validated by~~ Daniel ~~before you use it~~!!.}}

{{Warning box|type=Attention :|ce tutoriel doit être validé par Daniel B. avant que vous l'utilisiez !!}}

−

{{Warning box|~~This is based upon limited testing and~~ a ~~small number of users~~.}}

{{Warning box|type=Attention :| il a été établi à partir de tests limités d'un petit nombre d'utilisateurs.}}

==Introduction==

−

~~This how-to shows how to configure a SME-server~~ (>=8b6) ~~and a~~ client Debian (~~method tested with~~ Debian ~~squeeze~~) ~~for a~~ LDAP ~~based~~ SSSD ~~authentication of the client~~ machine ~~on the configured user accounts of the~~ SME.

Ce tutoriel indique comment configurer un serveur KOOZALI (version >= 8b6) et un client Debian (méthode testée avec Debian Squeeze) pour une authentification LDAP au moyen de SSSD d'une machine cliente sur les comptes configurés d'un utilisateur d'un serveur SME.

−

~~The main advantage in~~ comparaison to nss_ldap ~~is that the authentication~~ informations ~~stay in the~~ cache ~~and the authentication can therefore further work~~, ~~even in offline~~ mode (~~when the server not available~~).

Le principal avantage en comparaison avec nss_ldap est que les informations d'authentification restent dans le cache et que l'authentification peut néanmoins continuer à se faire, même en mode déconnecté (quand le serveur n'est plus accessible).

−

~~Nevertheless~~, ~~the creation of a~~ local ~~user with the admin rights is recommanded for the emergency case~~.

Néanmoins, la création d'un utilisateur local avec les droits d'administrateur est recommandée pour le cas d'urgence.

−

~~These lines are a translation of the method given by~~ Daniel: https://wikit.firewall-services.com/doku.php/tuto/ipasserelle/authentification/debian_sssd_on_sme. ~~Many thanks to him for it~~.

Ces lignes sont une traduction de la méthode donnée par Daniel B. : <nowiki>https://wikit.firewall-services.com/doku.php/tuto/ipasserelle/authentification/debian_sssd_on_sme</nowiki>. Un grand merci à lui pour cela.

−

~~In this how-to: we assume that:~~

Dans ce tutoriel, nous supposons que le nom d'hôte du serveur SME KOOZALI est «sme-server» et que le domaine est «domain.tld».

−

~~the host name of the~~ SME ~~is "sme~~-~~server" and the domain is "domain~~.~~tld"~~.

−

==Configuration ~~of the~~ SME~~-server~~==

== Configuration du serveur SME KOOZALI ==

−

~~There is quite no necessary~~ configuration ~~of the~~ SME.

Il n'y a pas de configuration nécessaire du serveur SME.

−

*The only thing to do is to create a user (named "auth" in this how-to) via the server-manager and to give him a valid password ("something_very_secret" in the how-to).

−

~~It is not required to make "auth" member of any group~~.

−

*In addition, it is recommended to install and configure [[PHPki]] in order to make the managing of the self-created certificates easier.

La seule chose à faire est de créer un utilisateur (nommé « auth » dans ce tutoriel) via le gestionnaire de serveur et de lui donner un mot de passe valide (« quelque_chose_de_tres_secret » dans le tutoriel).

Il n'est pas nécessaire que « auth » soit membre d'un groupe.

−

~~==Configuration of the client Debian==~~

De plus, il est recommandé d'installer et de configurer [[PHPki/fr|PHPki]] afin de faciliter la gestion des certificats auto-créés.

−

==~~=Manage the CA of the SME=~~==

==Configuration du client Debian==

−

~~after having installed PHPki, go to https://www.domain.tld/phpki and download on the client machine the certificate of authority (ca-certificates.crt).~~

−

~~Place a copy of it or of another CA into~~ /etc/ssl/certs/ ~~and give the~~ 644 ~~permissions~~:

==== Gérer l'AC (l’autorité de certification) du SME ====

Après avoir installé PHPki, allez sur https: //sme-server.domain.tld/phpki et téléchargez sur le poste client le certificat d'autorité (ca-certificates.crt).

Placez une copie de celui-ci ou d'une autre autorité de certification dans /etc/ssl/certs/ et donnez les permissions 644 :

cp ~/download/ca-certificates.crt /etc/ssl/certs/

chmod 644 /etc/ssl/certs/ca-certificates.crt

−

===~~Install the required packages~~===

====Installer les paquets requis====

apt-get install sssd libnss-sss libpam-sss ca-certificates

−

===~~Configure~~ sssd===

===Configurer sssd===

−

~~The~~ configuration ~~is made by the file~~ /~~ets~~/sssd/sssd.conf.

La configuration est dans le fichier /etc/sssd/sssd.conf.

−

* ~~At the beginning of this file~~, ~~the used domain has to be set~~. In sssd, ~~a domain can be taken as a~~ source ~~of content~~. ~~it is~~ possible ~~to set several domains in order of priority~~.

* Au début de ce fichier, le domaine utilisé doit être configuré. Dans sssd, un domaine peut être défini comme une source de contenu. Il est possible de configurer plusieurs domaines par ordre de priorité.

−

* ~~And deeper in the file~~, ~~we will add the~~ configuration ~~of the domain~~

* Et plus loin dans le fichier, nous ajouterons la configuration du domaine.

Si le fichier n'existe pas par défaut, il doit être créé et a besoin de recevoir les permissions 600 pour permettre au démon de démarrer :

cat <<'_EOF' > /etc/sssd/sssd.conf

−

~~If the file doesn't exist by default it has to be created and it needs to get the permissions 600 to allow the daemon to start:~~

−

~~cat <<'_EOF' > /etc/sssd/sssd.conf~~

[sssd]

config_file_version = 2

Line 64: Line 65:

ldap_uri = ldap://sme-server.domain.tld

ldap_default_bind_dn = uid=auth,ou=Users,dc=domain,dc=tld

−

ldap_default_authtok = ~~something_very_secret~~

ldap_default_authtok = quelque_chose_de_tres_secret

ldap_default_authtok_type = password

ldap_search_base = dc=domain,dc=tld

Line 74: Line 75:

ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt

ldap_id_use_start_tls = true

−

# uncomment below if the SME is a ~~âiPasserelleâ~~

# uncomment below if the SME is a iPasserelle

#ldap_user_shell = desktopLoginShell

−

# comment below if the SME is a ~~âiPasserelleâ~~

# comment below if the SME is a iPasserelle

override_shell = /bin/bash

cache_credentials = true

Line 84: Line 85:

# In this exemple, only the users member of the group netusers

# will be valid on this host.

−

# posixMemberOF is a parameter only for a iPasserelle

# posixMemberOF is a parameter only for an iPasserelle

#access_provider = ldap

#ldap_access_filter = (|(posixMemberOf=admins)(uid=backup))

Line 91: Line 92:

chmod 600 /etc/sssd/sssd.conf

−

N.B. : iPasserelle est une solution Firewall Services calquée sur le serveur SME KOOZALI.

−

{{Tip box|~~Make sure that the file~~ /etc/ssl/certs/ca-certificates.crt ~~contains the~~ CA ~~that has sign the certificate of the~~ SME (if PHPki ~~is used~~, a version > 0,82-13 ~~is required~~).}}

{{Tip box|type=Astuce :| soyez sûr(e) que le fichier /etc/ssl/certs/ca-certificates.crt contienne le CA (l'authorité de certification) qui a signé le certificat du serveur SME (si PHPki est utilisé, une version supérieure à 0,82-13 est requise).}}

−

===nsswitch===

−

~~Edit~~ /etc/nsswitch.conf ~~and add sss for~~ passwd, group ~~and~~ shadow:

Éditer /etc/nsswitch.conf et ajouter «sss» pour passwd, group et shadow :

passwd: compat sss

group: compat sss

Line 171: Line 171:

EOF

−

===~~Enable at statup~~===

===Activer au démarrage===

update-rc.d sssd enable

/etc/init.d/sssd start

−

[[Category:Howto]]

[[Category:Howto/fr]]

Gieres

3,054

edits

Retrieved from "https://wiki.koozali.org/Special:MobileDiff/34371...41259"

Client Authentication:Debian via sssd/ldap/fr (view source)

Revision as of 16:31, 26 June 2022

Navigation menu

Search