Discussion :

[khayyam90]

Bien le bonjour,

La gestion des utilisateurs est basée sur les fichiers /etc/passwd et /etc/group (entre autres).
La gestion en fichier texte est bien jolie pour un nombre restreint d'utilisateurs, mais comment s'y prendre lorsqu'il y a un grand nombre d'utilisateurs ? (disons plusieurs centaines / milliers).
On peut toujours utiliser des fichiers /etc/passwd et /etc/group de plusieurs Mo, mais l'utilisation d'une base de données ne s'avère-t-elle pas justifiée ?

De telles solutions ont-elles déjà été mises en place et comment ?
Car évidemment, l'authentification fait partie des aspects critiques du système et une telle base de données devrait être intimement liée au noyau.

Vous avez des retours d'expérience ?

[mess-mate]

En général /etc/passwd et consorts est surtout destiné à des utilisateurs qui peuvent travailler sur la machine ainsi que les packages qui exigent un user particulier.
Si tu veux dire qu'un millier d'utilisateurs travailleront sur la machine je vois pas très bien comment.

Par contre rien n'empèche de créer des utilisateurs virtuels avec par exemple mysql avec authentification, home personnel, etc... dans une même partition accessible ou non à distance.

[khayyam90]

Une application tierce s'exécutera donc avec un seul user défini dans /etc/passwd, et c'est elle qui gèrera ses propres utilisateurs de la manière qui lui plaira (fichier texte, bdd ou autre). ok, c'est notamment le principe des serveurs ftp.

Je n'ai pas le cas sous la main et je suis d'accord qu'il est peu probable, mais alors comment devrais-je faire si j'ai 1000 utilisateurs différents qui peuvent se logguer sur la machine ?
On peut espérer qu'ils ne seront pas tous connectés en même temps, mais qu'il peut leur arriver à tous de se connecter. Comment faire ?

Doit-on forcément choisir entre le fichier etc/passwd et un accès par utilisateurs virtuels, par exemple via web avec authentification tierce ?

[CedrX]

Si il commence a avoir des milliers d'utilisateurs potentiels qui peuvent se connecter sur une machine, mieux vaut peut être commencer à songer à une authentification centralisée de type LDAP.
Surtout si après (et ça arrive toujours au bout d'un moment ...) on a besoin que ces utilisateurs puissent se connecter sur une seconde machine ... :p

[khayyam90]

Je ne savais pas que LDAP pouvait être directement utilisé comme authentification au niveau du système.

Dans ces cas là, en utilisant un PAM (Pluggable Authentication Module) comme un client LDAP, le fichier /etc/passwd perd tout de suite de son intérêt car il ne contient plus les utilisateurs.

[CedrX]

Tout à fait.
Mais à mon avis il est sage que certains utilisateurs comme root (pour ne nommer que lui reste) dans le /etc/passwd
Mais ça il y a possibilité d'indiquer au système quel sera l'ordre des éléments consultés pour l'authentification .
/etc/passwd d'abord puis base ldap ensuite par exemple

La client pam sous linux est : pam-ldap.

Et je me suis aperçu hier que sous ubuntu 8.10 les fichiers pam sont déjà écrits et réglés pour l'interrogation d'une base ldap.
Du coup un client ldap sur cette distribution est très vite configuré

[khayyam90]

Donc la conclusion à mon interrogation sur le premier post est :
utiliser un PAM, par exemple LDAP

[CedrX]

ça me paraîtrait pas mal

[mess-mate]

Personnellement je suis pas trop pour LDAP surtout utilisé en tant que annuaire.
Par contre utiliser une base de donnée convenable mysql avec pam si pam est souhaité ne pose aucun problème. C'est surprenant que beaucoup ont peur de cette base de donnée qui est extrèmement facile à manipuler, sans parler de son phpmyadmin.