Discussion :

[Hichka]

Bonjour,

J'étudie en ce moment les systèmes d'annuaire sous Linux. Le but étant de centraliser les utilisateurs d'un parc de VMs sous Linux (multiple distrib).

L'un des principal besoin concerne les comptes locaux. Je souhaiterais pourvoir changer les mots de passe root des machines cliente de mon LDAP afin d'uniformiser le tout. Je ne sais pas si cela est possible, et malgré mes recherches je n'ai rien trouvé.

Chez Microsoft, pour les stations clientes, la fonctionnalitée existe avec le principe des GPOs. Je ne cherche pas me rapprocher du modèle Microsoft, mais pouvoir changer facilement et régulièrement les mots de passe root de mes quelques 150 VMs m'arrangerait

La solution testée/mis en place pour le moment est openLDAP, mais si une autre solution d'annuaire propose la fonctionnalité demandée je n'ai rien contre changer d'orientation.

Merci de votre retour.

Hichka.

[Hichka]

Par un moyen détourné, j'ai "désactiver" l'authentification des comptes locaux en SSH. J'ai modifié le fichier /etc/pam.d/sshd, puis j'ai créé un compte "root" dans l'annuaire LDAP (avec uid=0, guid=0). Du coup, un user ne peut se connecter en root (ou tout autre user) seulement s'il connait le mot de passe de l'annuaire.

Si j'effectue un passwd en local, seulement le mot de passe local est changé (malgré le fait que je me sois connecté avec le mot de passe LDAP).

Mais est-ce un bon moyen ? En cas de démarrage en single mode, ou si le LDAP est down, l'authentification devient impossible, mais seulement en SSH (ce qui me semble logique). L'accès console avec les comptes locaux est toujours possible.

Extrait de /etc/pam.d/sshd :

# Standard Un*x authentication.
#@include common-auth
auth [success=2 default=ignore] pam_ldap.so nullok_secure
auth [success=1 default=ignore] pam_ldap.so use_first_pass
auth requisite pam_deny.so
auth required pam_permit.so

# Standard Un*x authorization.
#@include common-account
account [success=2 new_authtok_reqd=done default=ignore] pam_ldap.so
account [success=1 default=ignore] pam_ldap.so
account requisite pam_deny.so
account required pam_permit.so

# Standard Un*x password updating.
#@include common-password
password [success=2 default=ignore] pam_ldap.so obscure sha512
password [success=1 user_unknown=ignore default=die] pam_ldap.so use_authtok try_first_pass
password requisite pam_deny.so
password required pam_permit.so

[xoris01]

Salut

Pour tes clients Windows tu peux installer un serveur samba s'appuyant lui même sur ton LDAP pour l’authentification. Donc tu centralises ton authentification Windows et Linux sur le même LDAP.

Ensuite tu joins tout les clients MS-Windows sur le nouveau domaine samba. Le changement de mot de passe ce fait via "changer le mot de passe de Windows" et si Samba est bien configuré tu synchronises le mot de passe Windows et Linux. Il y a beaucoup de tuto sur le net ex : http://guim.info/dokuwiki/ldap/samba-ldap

Pour centraliser le changement de mot de passe et le synchroniser tu peux d'appuyer sur une application web du style : http://infopedia.it-sudparis.eu/wiki...n_mot_de_passe

A+

[Hichka]

@xoris01:
Merci pour ton retour. Cependant, je ne cherche pas (du moins pour le moment) l'intégration des clients Windows dans un annuaire. Ils sont pour le moment géré par un domaine AD classique. Ma recherche ce concentre uniquement sur les client Linux car rien n'ordonne pour le moment les comptes.

Concernant ma modif du dessus, j'ai apporté une correction. Maintenant, seule la connexion root local est refusé. root ldap peut se connecter et se retrouve en root local. De la, il me reste qu'a générer un script qui passera sur toute les machine pour changer le mot de passe local.

Si quelqu'un a une meilleur solution je suis preneur (et toujours preneur également d'un avis concernant cette solution un peu "bidouille")

Extrait de /etc/pam.d/sshd :

# Standard Un*x authentication.
#@include common-auth
auth [success=1 default=ignore] pam_unix.so nullok_secure
auth [success=2 default=ignore] pam_ldap.so
# Refuse les utilisateurs présent dans le fichier /etc/ssh/sshd.deny
auth requisite pam_listfile.so item=user sense=deny file=/etc/ssh/sshd.deny onerr=succeed
auth requisite pam_deny.so
auth required pam_permit.so

[ticaka]

Bonjour,

Je ne sais pas si ce billet est toujours suivi, mais voici ma contribution:

Je suis également entrain de monter une annuaire OpenLDAP sous debian Squeeze avec montage de répertoire utilisateur sous NFS (stockage centralisé).

En fouinant un peu partout, j'ai pu avoir une petite avancée par rapport à ce qui a été dit précédemment. En effet, lorsque j'essaie de me logguer en root local (à partir d'un utilisateur lambda, ajouté via phpldapadmin), voici ce que j'obtiens:

test2@machine123:~$ su
Mot de passe :
setgid: Opération non permise

ma source : http://arthurdejong.org/nss-pam-ldapd/setup
Quand je tape la commande id, j'ai :

uid=1002(test2) gid=512(Domain Admins) groupes=512(Domain Admins)

Alors que pour un utilisateur Linux créer à partir de la distribution et non à partir de phpldapadmin, lorsque je tape la même commande, j'obtiens:

uid=1000(ticaka) gid=1000(ticaka) groupes=1000(ticaka),4(adm),20(dialout),21(fax),24(cdrom),25(floppy),26(tape),29(audio),30(dip),44(video),46(plugdev),108(netdev),109(bluetooth),110(lpadmin),112(fuse),114(scanner),116(sambashare),120(libvirt),121(kvm)

J'aimerai savoir si l'un d'entre vous savait comment on ajoute les numéros de groupes sur phpldapadmin lors d'une création de compte posix/linux ?

Voici la configuration de mes fichiers common-*, où * == auth|account|session|password

auth sufficient pam_unix.so
auth sufficient pam_ldap.so minimum_uid=1000 use_first_pass
auth required pam_deny.so

account required pam_unix.so
account sufficient pam_ldap.so minimum_uid=1000
account required pam_permit.so

session required pam_unix.so
session required pam_mkhomedir.so skel=/etc/skel/
session optional pam_ldap.so minimum_uid=1000

password sufficient pam_unix.so nullok obscure min=6 max=20 md5
password sufficient pam_ldap.so minimum_uid=1000 try_first_pass
password required pam_deny.so