3,054
edits
Changes
Jump to navigation
Jump to search
mLine 9:
Line 9: − + − + Line 19:
Line 19: − === Configuration du serveur SME KOOZALI ===+ − + − + − + − + − + Line 42:
Line 42: − + Line 94:
Line 94: − Line 172:
Line 171: − + − + − [[Category:Howto]]+
Client Authentication:Debian via sssd/ldap/fr (view source)
Revision as of 16:31, 26 June 2022
, 16:31, 26 June 2022no edit summary
==Introduction==
==Introduction==
Ce tutoriel indique comment configurer un serveur KOOZALI (>=8b6) et un client Debian (méthode testée avec Debian Squeeze) pour une authentification LDAP au moyen de SSSD d'une machine cliente sur les comptes configurés d'un utilisateur d'un serveur SME.
Ce tutoriel indique comment configurer un serveur KOOZALI (version >= 8b6) et un client Debian (méthode testée avec Debian Squeeze) pour une authentification LDAP au moyen de SSSD d'une machine cliente sur les comptes configurés d'un utilisateur d'un serveur SME.
Le principal avantage en comparaison avec nss_ldap est que les informations authentification restent dans le cache peut néanmoins continuer à se faire, même en mode déconnecté (quand le serveur n'est plus accessible).
Le principal avantage en comparaison avec nss_ldap est que les informations d'authentification restent dans le cache et que l'authentification peut néanmoins continuer à se faire, même en mode déconnecté (quand le serveur n'est plus accessible).
Néanmoins, la création d'un utilisateur local avec les droits d'administrateur est recommandée pour le cas d'urgence.
Néanmoins, la création d'un utilisateur local avec les droits d'administrateur est recommandée pour le cas d'urgence.
Dans ce tutoriel, nous supposons que le nom d'hôte du serveur SME KOOZALI est «sme-server» et que le domaine est «domain.tld».
Dans ce tutoriel, nous supposons que le nom d'hôte du serveur SME KOOZALI est «sme-server» et que le domaine est «domain.tld».
== Configuration du serveur SME KOOZALI ==
Il n'y a pas de configuration nécessaire du SME.
Il n'y a pas de configuration nécessaire du serveur SME.
La seule chose à faire est de créer un utilisateur (nommé «auth» dans ce tutoriel) via le gestionnaire de serveur et de lui donner un mot de passe valide («quelque_chose_de_tres_secret» dans le tutoriel).
La seule chose à faire est de créer un utilisateur (nommé « auth » dans ce tutoriel) via le gestionnaire de serveur et de lui donner un mot de passe valide (« quelque_chose_de_tres_secret » dans le tutoriel).
Il n'est pas nécessaire que «auth» soit membre d'un groupe.
Il n'est pas nécessaire que « auth » soit membre d'un groupe.
De plus, il est recommandé d'installer et de configurer [[PHPki/fr|PHPki]] afin de faciliter la gestion des certificats auto-créé
De plus, il est recommandé d'installer et de configurer [[PHPki/fr|PHPki]] afin de faciliter la gestion des certificats auto-créés.
==Configuration du client Debian==
==Configuration du client Debian==
==== Gérer l'AC (l’autorité de certification) du SME ====
==== Gérer l'AC (l’autorité de certification) du SME ====
Après avoir installé PHPki, allez sur https: //www.domain.tld/phpki et téléchargez sur le poste client le certificat d'autorité (ca-certificates.crt).
Après avoir installé PHPki, allez sur https: //sme-server.domain.tld/phpki et téléchargez sur le poste client le certificat d'autorité (ca-certificates.crt).
Placez une copie de celui-ci ou d'une autre autorité de certification dans /etc/ssl/certs/ et donnez les permissions 644 :
Placez une copie de celui-ci ou d'une autre autorité de certification dans /etc/ssl/certs/ et donnez les permissions 644 :
===Configurer sssd===
===Configurer sssd===
La configuration est dans le fichier /ets/sssd/sssd.conf.
La configuration est dans le fichier /etc/sssd/sssd.conf.
* Au début de ce fichier, le domaine utilisé doit être configuré. Dans sssd, un domaine peut être défini comme une source de contenu. Il est possible de configurer plusieurs domaines par ordre de priorité.
* Au début de ce fichier, le domaine utilisé doit être configuré. Dans sssd, un domaine peut être défini comme une source de contenu. Il est possible de configurer plusieurs domaines par ordre de priorité.
N.B. : iPasserelle est une solution Firewall Services calquée sur le serveur SME KOOZALI.
N.B. : iPasserelle est une solution Firewall Services calquée sur le serveur SME KOOZALI.
{{Tip box|type=Astuce :| soyez sûr(e) que le fichier /etc/ssl/certs/ca-certificates.crt contienne le CA (l'authorité de certification) qui a signé le certificat du serveur SME (si PHPki est utilisé, une version supérieure à 0,82-13 est requise).}}
{{Tip box|type=Astuce :| soyez sûr(e) que le fichier /etc/ssl/certs/ca-certificates.crt contienne le CA (l'authorité de certification) qui a signé le certificat du serveur SME (si PHPki est utilisé, une version supérieure à 0,82-13 est requise).}}
===nsswitch===
===nsswitch===
EOF
EOF
===Enable at statup===
===Activer au démarrage===
update-rc.d sssd enable
update-rc.d sssd enable
/etc/init.d/sssd start
/etc/init.d/sssd start
[[Category:Howto/fr]]