IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Administration système Discussion :

LDAP et compte root local


Sujet :

Administration système

Vue hybride

Message précédent Message précédent   Message suivant Message suivant
  1. #1
    Membre averti
    Inscrit en
    Juin 2012
    Messages
    13
    Détails du profil
    Informations forums :
    Inscription : Juin 2012
    Messages : 13
    Par défaut LDAP et compte root local
    Bonjour,

    J'étudie en ce moment les systèmes d'annuaire sous Linux. Le but étant de centraliser les utilisateurs d'un parc de VMs sous Linux (multiple distrib).

    L'un des principal besoin concerne les comptes locaux. Je souhaiterais pourvoir changer les mots de passe root des machines cliente de mon LDAP afin d'uniformiser le tout. Je ne sais pas si cela est possible, et malgré mes recherches je n'ai rien trouvé.

    Chez Microsoft, pour les stations clientes, la fonctionnalitée existe avec le principe des GPOs. Je ne cherche pas me rapprocher du modèle Microsoft, mais pouvoir changer facilement et régulièrement les mots de passe root de mes quelques 150 VMs m'arrangerait

    La solution testée/mis en place pour le moment est openLDAP, mais si une autre solution d'annuaire propose la fonctionnalité demandée je n'ai rien contre changer d'orientation.

    Merci de votre retour.

    Hichka.

  2. #2
    Membre averti
    Inscrit en
    Juin 2012
    Messages
    13
    Détails du profil
    Informations forums :
    Inscription : Juin 2012
    Messages : 13
    Par défaut
    Par un moyen détourné, j'ai "désactiver" l'authentification des comptes locaux en SSH. J'ai modifié le fichier /etc/pam.d/sshd, puis j'ai créé un compte "root" dans l'annuaire LDAP (avec uid=0, guid=0). Du coup, un user ne peut se connecter en root (ou tout autre user) seulement s'il connait le mot de passe de l'annuaire.

    Si j'effectue un passwd en local, seulement le mot de passe local est changé (malgré le fait que je me sois connecté avec le mot de passe LDAP).

    Mais est-ce un bon moyen ? En cas de démarrage en single mode, ou si le LDAP est down, l'authentification devient impossible, mais seulement en SSH (ce qui me semble logique). L'accès console avec les comptes locaux est toujours possible.

    Extrait de /etc/pam.d/sshd :

    # Standard Un*x authentication.
    #@include common-auth
    auth [success=2 default=ignore] pam_ldap.so nullok_secure
    auth [success=1 default=ignore] pam_ldap.so use_first_pass
    auth requisite pam_deny.so
    auth required pam_permit.so

    # Standard Un*x authorization.
    #@include common-account
    account [success=2 new_authtok_reqd=done default=ignore] pam_ldap.so
    account [success=1 default=ignore] pam_ldap.so
    account requisite pam_deny.so
    account required pam_permit.so

    # Standard Un*x password updating.
    #@include common-password
    password [success=2 default=ignore] pam_ldap.so obscure sha512
    password [success=1 user_unknown=ignore default=die] pam_ldap.so use_authtok try_first_pass
    password requisite pam_deny.so
    password required pam_permit.so

  3. #3
    Futur Membre du Club
    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    Juillet 2012
    Messages
    3
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 46
    Localisation : France, Var (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux
    Secteur : Enseignement

    Informations forums :
    Inscription : Juillet 2012
    Messages : 3
    Par défaut
    Salut

    Pour tes clients Windows tu peux installer un serveur samba s'appuyant lui même sur ton LDAP pour l’authentification. Donc tu centralises ton authentification Windows et Linux sur le même LDAP.

    Ensuite tu joins tout les clients MS-Windows sur le nouveau domaine samba. Le changement de mot de passe ce fait via "changer le mot de passe de Windows" et si Samba est bien configuré tu synchronises le mot de passe Windows et Linux. Il y a beaucoup de tuto sur le net ex : http://guim.info/dokuwiki/ldap/samba-ldap

    Pour centraliser le changement de mot de passe et le synchroniser tu peux d'appuyer sur une application web du style : http://infopedia.it-sudparis.eu/wiki...n_mot_de_passe

    A+

  4. #4
    Membre averti
    Inscrit en
    Juin 2012
    Messages
    13
    Détails du profil
    Informations forums :
    Inscription : Juin 2012
    Messages : 13
    Par défaut
    @xoris01:
    Merci pour ton retour. Cependant, je ne cherche pas (du moins pour le moment) l'intégration des clients Windows dans un annuaire. Ils sont pour le moment géré par un domaine AD classique. Ma recherche ce concentre uniquement sur les client Linux car rien n'ordonne pour le moment les comptes.

    Concernant ma modif du dessus, j'ai apporté une correction. Maintenant, seule la connexion root local est refusé. root ldap peut se connecter et se retrouve en root local. De la, il me reste qu'a générer un script qui passera sur toute les machine pour changer le mot de passe local.

    Si quelqu'un a une meilleur solution je suis preneur (et toujours preneur également d'un avis concernant cette solution un peu "bidouille")

    Extrait de /etc/pam.d/sshd :

    # Standard Un*x authentication.
    #@include common-auth
    auth [success=1 default=ignore] pam_unix.so nullok_secure
    auth [success=2 default=ignore] pam_ldap.so
    # Refuse les utilisateurs présent dans le fichier /etc/ssh/sshd.deny
    auth requisite pam_listfile.so item=user sense=deny file=/etc/ssh/sshd.deny onerr=succeed
    auth requisite pam_deny.so
    auth required pam_permit.so

  5. #5
    Invité de passage
    Homme Profil pro
    Inscrit en
    Septembre 2012
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : Septembre 2012
    Messages : 1
    Par défaut
    Bonjour,

    Je ne sais pas si ce billet est toujours suivi, mais voici ma contribution:

    Je suis également entrain de monter une annuaire OpenLDAP sous debian Squeeze avec montage de répertoire utilisateur sous NFS (stockage centralisé).

    En fouinant un peu partout, j'ai pu avoir une petite avancée par rapport à ce qui a été dit précédemment. En effet, lorsque j'essaie de me logguer en root local (à partir d'un utilisateur lambda, ajouté via phpldapadmin), voici ce que j'obtiens:

    test2@machine123:~$ su
    Mot de passe :
    setgid: Opération non permise

    ma source : http://arthurdejong.org/nss-pam-ldapd/setup
    Quand je tape la commande id, j'ai :
    uid=1002(test2) gid=512(Domain Admins) groupes=512(Domain Admins)
    Alors que pour un utilisateur Linux créer à partir de la distribution et non à partir de phpldapadmin, lorsque je tape la même commande, j'obtiens:
    uid=1000(ticaka) gid=1000(ticaka) groupes=1000(ticaka),4(adm),20(dialout),21(fax),24(cdrom),25(floppy),26(tape),29(audio),30(dip),44(video),46(plugdev),108(netdev),109(bluetooth),110(lpadmin),112(fuse),114(scanner),116(sambashare),120(libvirt),121(kvm)
    J'aimerai savoir si l'un d'entre vous savait comment on ajoute les numéros de groupes sur phpldapadmin lors d'une création de compte posix/linux ?

    Voici la configuration de mes fichiers common-*, où * == auth|account|session|password
    auth sufficient pam_unix.so
    auth sufficient pam_ldap.so minimum_uid=1000 use_first_pass
    auth required pam_deny.so

    account required pam_unix.so
    account sufficient pam_ldap.so minimum_uid=1000
    account required pam_permit.so

    session required pam_unix.so
    session required pam_mkhomedir.so skel=/etc/skel/
    session optional pam_ldap.so minimum_uid=1000

    password sufficient pam_unix.so nullok obscure min=6 max=20 md5
    password sufficient pam_ldap.so minimum_uid=1000 try_first_pass
    password required pam_deny.so

Discussions similaires

  1. probleme suppression du compte root
    Par moulefrite dans le forum Installation
    Réponses: 14
    Dernier message: 05/06/2009, 17h39
  2. Réponses: 4
    Dernier message: 06/10/2006, 09h39
  3. Compte root inaccessible après changement de shell
    Par Jpountz dans le forum Administration système
    Réponses: 1
    Dernier message: 03/05/2006, 17h24
  4. Interface graphique et compte root
    Par daladim dans le forum Applications et environnements graphiques
    Réponses: 7
    Dernier message: 29/11/2005, 13h29
  5. [xp] compte passport et compte utilisateur local
    Par Eusebius dans le forum Windows XP
    Réponses: 5
    Dernier message: 06/07/2005, 13h59

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo