Bonjour à tous,

Je viens vers vous pour faire valider/évoluer ma configuration LDAP.

Je vous pose la problématique. J'ai donc mon réseau interne avec un serveur slapd installé sur debian 6 qui écoute sur le port 389

Voici la description rapide de l'annuaire
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
dc=mydomain,dc=net
-ou=Groups
---|
-----dn=UnitGroups1
-----dn=LdapReaders
 
-ou=Users
---|
-----dn=user1
 
-ou=Hardwares
---|
-----dn=Mobiles
-----dn=Stations
-----dn=Servers
 
-ou=Roles
---|
-----dn=Administrators
-----dn=Managers
-----dn=Documentors
-----dn=Developpers
Actuellement je souhaiterais que plusieurs de mes applications web utilise cet annuaire. Je les configures donc pour et tout fonctionne plutôt bien.

Cette annuaire est là pour contenir les informations de mes différents utilisateurs et permettre une authentification pour mes autres applications. J'ai en revanche besoin d'avoir un accès en local à mes serveurs si le ldap ou le réseau tombe par exemple.

Résumons :

  • Accès aux serveurs SSH et console
    Authentification faite par ldap pour les Users ayant le rôle Administrators et ce trouvant dans le groupe UnitGroups1 ainsi que pour les utilisateurs présent dans le passwd. Je ne souhaite pas que mes utilisateurs ldap soit créée dans ce fichier ni qu'il possède un dossier home.

  • Accès à la base ldap
    1. Les utilisateurs anonymes n'ont aucun accès
    2. Accès en lecture uniquement pour le groupe LdapReaders. Ceci afin par exemple de créer un utilisateur redmine placé dans ce groupe pour l'accès à l'annuaire depuis redmine. J'aurais ainsi un utilisateur par applications pour le parcours de l'annuaire.
    3. Accès complet(lecture/écriture de tous les objets) pour les Users ayant le rôles Administrators
    4. Accès en écriture à ces propres informations.

Une interface spécial sera mise en place pour permettre aux utilisateurs de modifier leurs informations personnelle.

Déjà est ce un bon départ??

Si oui, j'aurais donc besoin d'aide pour configurer tous ça correctement.

Mon annuaire est crée et disponible pour serveur. Il faut en restreindre l'accès en lecture pour les utilisateur cités déjà. Pouvez vous me donner un exemple simple pour faire cela dans slapd.conf ?

Ensuite il faut que je configure chacun de mes serveurs pour restreindre leur accès en fonction des utilisateurs présent dans le ldap comme cités au dessus et dans le passwd de ce serveur sans créer ou modifier ces informations.

Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
/etc/pam.d/commo-*
/etc/pam_ldap.conf
/etc/nsswitch.conf
Un petit exemple simple et expliqué ??

Je n'ai pas accès à mes fichiers de configuration tout de suite, je pourrais les fournir en début de soirée.

Je sais que j'arrive un peu de but en blanc et qu'il s'agit d'un sujet tellement spécifique à chaque configuration que c'est très chiant d'obtenir une bonne conf rapidement mais bon j'espère qu'il vous plaira de m'aider.

Merci à vous