3,054
edits
Changes
Jump to navigation
Jump to search
mLine 9:
Line 9: − + − + Line 19:
Line 19: − === Configuration du serveur SME KOOZALI ===+ − + − + − + − + − + Line 42:
Line 42: − + − + − + + + − If the file doesn't exist by default it has to be created and it needs to get the permissions 600 to allow the daemon to start: − cat <<'_EOF' > /etc/sssd/sssd.conf Line 65:
Line 65: − + Line 75:
Line 75: − + − + Line 85:
Line 85: − + Line 92:
Line 92: − + − + − − Edit /etc/nsswitch.conf and add sss for passwd, group and shadow:+ Line 172:
Line 171: − + − + − [[Category:Howto]]+
Client Authentication:Debian via sssd/ldap/fr (view source)
Revision as of 16:31, 26 June 2022
, 16:31, 26 June 2022no edit summary
==Introduction==
==Introduction==
Ce tutoriel indique comment configurer un serveur KOOZALI (>=8b6) et un client Debian (méthode testée avec Debian Squeeze) pour une authentification LDAP au moyen de SSSD d'une machine cliente sur les comptes configurés d'un utilisateur d'un serveur SME.
Ce tutoriel indique comment configurer un serveur KOOZALI (version >= 8b6) et un client Debian (méthode testée avec Debian Squeeze) pour une authentification LDAP au moyen de SSSD d'une machine cliente sur les comptes configurés d'un utilisateur d'un serveur SME.
Le principal avantage en comparaison avec nss_ldap est que les informations d'authentication restent dans le cache peut néanmoins continuer à se faire, même en mode déconnecté (quand le serveur n'est plus accessible).
Le principal avantage en comparaison avec nss_ldap est que les informations d'authentification restent dans le cache et que l'authentification peut néanmoins continuer à se faire, même en mode déconnecté (quand le serveur n'est plus accessible).
Néanmoins, la création d'un utilisateur local avec les droits d'administrateur est recommandée pour le cas d'urgence.
Néanmoins, la création d'un utilisateur local avec les droits d'administrateur est recommandée pour le cas d'urgence.
Dans ce tutoriel, nous supposons que le nom d'hôte du serveur SME KOOZALI est «sme-server» et que le domaine est «domain.tld».
Dans ce tutoriel, nous supposons que le nom d'hôte du serveur SME KOOZALI est «sme-server» et que le domaine est «domain.tld».
== Configuration du serveur SME KOOZALI ==
Il n'y a pas de configuration nécessaire du SME.
Il n'y a pas de configuration nécessaire du serveur SME.
La seule chose à faire est de créer un utilisateur (nommé «auth» dans ce tutoriel) via le gestionnaire de serveur et de lui donner un mot de passe valide («mdp» dans le tutoriel).
La seule chose à faire est de créer un utilisateur (nommé « auth » dans ce tutoriel) via le gestionnaire de serveur et de lui donner un mot de passe valide (« quelque_chose_de_tres_secret » dans le tutoriel).
Il n'est pas nécessaire que «auth» soit membre d'un groupe.
Il n'est pas nécessaire que « auth » soit membre d'un groupe.
De plus, il est recommandé d'installer et de configurer [[PHPki/fr|PHPki]] afin de faciliter la gestion des certificats auto-créé
De plus, il est recommandé d'installer et de configurer [[PHPki/fr|PHPki]] afin de faciliter la gestion des certificats auto-créés.
==Configuration du client Debian==
==Configuration du client Debian==
==== Gérer l'AC (l’autorité de certification) du SME ====
==== Gérer l'AC (l’autorité de certification) du SME ====
Après avoir installé PHPki, allez sur https: //www.domain.tld/phpki et téléchargez sur le poste client le certificat d'autorité (ca-certificates.crt).
Après avoir installé PHPki, allez sur https: //sme-server.domain.tld/phpki et téléchargez sur le poste client le certificat d'autorité (ca-certificates.crt).
Placez une copie de celui-ci ou d'une autre autorité de certification dans /etc/ssl/certs/ et donnez les permissions 644 :
Placez une copie de celui-ci ou d'une autre autorité de certification dans /etc/ssl/certs/ et donnez les permissions 644 :
===Configurer sssd===
===Configurer sssd===
La configuration est dans le fichier /ets/sssd/sssd.conf.
La configuration est dans le fichier /etc/sssd/sssd.conf.
* Au début de ce fichier, le domaine utilisé doit être configuré. In sssd, a domain can be taken as a source of content. it is possible to set several domains in order of priority.
* Au début de ce fichier, le domaine utilisé doit être configuré. Dans sssd, un domaine peut être défini comme une source de contenu. Il est possible de configurer plusieurs domaines par ordre de priorité.
* And deeper in the file, we will add the configuration of the domain
* Et plus loin dans le fichier, nous ajouterons la configuration du domaine.
Si le fichier n'existe pas par défaut, il doit être créé et a besoin de recevoir les permissions 600 pour permettre au démon de démarrer :
cat <<'_EOF' > /etc/sssd/sssd.conf
[sssd]
[sssd]
config_file_version = 2
config_file_version = 2
ldap_uri = ldap://sme-server.domain.tld
ldap_uri = ldap://sme-server.domain.tld
ldap_default_bind_dn = uid=auth,ou=Users,dc=domain,dc=tld
ldap_default_bind_dn = uid=auth,ou=Users,dc=domain,dc=tld
ldap_default_authtok = something_very_secret
ldap_default_authtok = quelque_chose_de_tres_secret
ldap_default_authtok_type = password
ldap_default_authtok_type = password
ldap_search_base = dc=domain,dc=tld
ldap_search_base = dc=domain,dc=tld
ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt
ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt
ldap_id_use_start_tls = true
ldap_id_use_start_tls = true
# uncomment below if the SME is a âiPasserelleâ
# uncomment below if the SME is a iPasserelle
#ldap_user_shell = desktopLoginShell
#ldap_user_shell = desktopLoginShell
# comment below if the SME is a âiPasserelleâ
# comment below if the SME is a iPasserelle
override_shell = /bin/bash
override_shell = /bin/bash
cache_credentials = true
cache_credentials = true
# In this exemple, only the users member of the group netusers
# In this exemple, only the users member of the group netusers
# will be valid on this host.
# will be valid on this host.
# posixMemberOF is a parameter only for a iPasserelle
# posixMemberOF is a parameter only for an iPasserelle
#access_provider = ldap
#access_provider = ldap
#ldap_access_filter = (|(posixMemberOf=admins)(uid=backup))
#ldap_access_filter = (|(posixMemberOf=admins)(uid=backup))
chmod 600 /etc/sssd/sssd.conf
chmod 600 /etc/sssd/sssd.conf
N.B. : iPasserelle est une solution Firewall Services calquée sur le serveur SME KOOZALI.
{{Tip box|Make sure that the file /etc/ssl/certs/ca-certificates.crt contains the CA that has sign the certificate of the SME (if PHPki is used, a version > 0,82-13 is required).}}
{{Tip box|type=Astuce :| soyez sûr(e) que le fichier /etc/ssl/certs/ca-certificates.crt contienne le CA (l'authorité de certification) qui a signé le certificat du serveur SME (si PHPki est utilisé, une version supérieure à 0,82-13 est requise).}}
===nsswitch===
===nsswitch===
Éditer /etc/nsswitch.conf et ajouter «sss» pour passwd, group et shadow :
passwd: compat sss
passwd: compat sss
group: compat sss
group: compat sss
EOF
EOF
===Enable at statup===
===Activer au démarrage===
update-rc.d sssd enable
update-rc.d sssd enable
/etc/init.d/sssd start
/etc/init.d/sssd start
[[Category:Howto/fr]]