Implémenté une authentification sur ACtive Directory via Kerberos5 et LDAP
Bonjour,
Je suis sur une RHEL 4.
J'essaie de mettre en place un système d'authentification des utilisateurs sur un annuaire LDAP (Active Directory)
Le système d’exploitation RHEL4 supporte l’authentification via Kerberos5 et les requêtes LDAP pour interroger un Active Directory.
Les étapes clés sont :
1. Synchronisation de l’heure avec l’Active Directory
2. Configuration du Kerberos
3. Configuration du LDAP
4. Activation du Kerberos+LDAP pour l’authentification et les autorisations
Au niveau de l'AD, celui-ci est configuré de manière à avoir les attributs propre à UNIX pour les comptes utilisateurs.
Au niveau de la RedHate, j'ai mis en place Kerberos. Celui-ci fonctionne parfaitement.
Lorsque je tape la commande "kinit", je vois que j'ai bien reçus un ticket kerberos de mon contrôleur de domaine, et ca date de validité.
Par contre, impossible de faire fonctionner LDAP.
Par rapport au fichier de configuration d’origine "/etc/ldap.conf", j'ai spécifié les lignes suivantes :
<GROUP> = Les membres de ce groupe sont autorisés à se connecter au serveur.# Group to enforce membership of
pam_groupdn <GROUP>
# Your LDAP server. Must be resolvable without using LDAP.
# Multiple hosts may be specified, each separated by a space.
host dc1-lh.corp.ad.******
# The distinguished name of the search base.
base dc=corp,dc=ad,dc=*****
# The search scope.
scope sub
# The distinguished name to bind to the server with.
# The credentials to bind with.
binddn <LOGIN>
bindpw <PASSWORD>
# RFC2307bis naming contexts
nss_base_passwd dc=corp,dc=ad,dc=*****?sub
nss_base_shadow dc=corp,dc=ad,dc=*****?sub
nss_base_group dc=corp,dc=ad,dc=*****?sub
# RFC 2307 (AD) mappings
nss_map_objectclass posixAccount user
nss_map_objectclass shadowAccount user
nss_map_attribute uid sAMAccountName
nss_map_attribute homeDirectory unixHomeDirectory
nss_map_attribute shadowLastChange pwdLastSet
nss_map_objectclass posixGroup group
nss_map_attribute uniqueMember member
pam_login_attribute sAMAccountName
pam_filter objectclass=User
pam_password md5
# Disable SASL security layers. This is needed for AD.
sasl_secprops maxssf=0
<LOGIN> et <PASSWORD> correspond au compte permettant d’interroger l’Active Directory.
<GROUP> et <LOGIN> doivent être au format LDAP (cn=…,ou=….,dc=corp,dc=ad,dc=*****).
Une fois les fichiers krb5.conf et ldap.conf configurés, j'ai paramétré PAM et NSS pour les utiliser. La distribution RedHat dispose d’un outil graphique qui permet de s’affranchir de la configuration via un éditeur de texte :
/usr/sbin/authconfig
Il faut alors choisir LDAP pour les informations utilisateur et Kerberos pour l’authentification.
Comme LDAP et Kerberos ont déjà été configurés, l’outil authconfig récupère les bonnes informations. Aucune opération n’est à faire hormis choisir SUIVANT.
Une fois validé, le Kerberos+LDAP devrai être actif sur le serveur RedHat.
Pour tester mon implémentation, j'ai tape en ligne de commande :
Malheureusement j'ai en retour :
Code : Sélectionner tout - Visualiser dans une fenêtre à part id compteUtilisateur
Dans "\var\log\messages" j'ai :
Code : Sélectionner tout - Visualiser dans une fenêtre à part id: compteUtilisateur: usager inexistant.
Pourtant, j'ai testé le serveur LDAP du contrôleur de domaine avec un client LDAP sur un client Windows connecté sur le domaine AD. J'arrive bien à accéder à l'arborescence LDAP de l'Active Directory.id: nss_ldap: failed to bind to LDAP serveur dc1-lh.corp.ad.*****: Invalid credentials
id: nss_ldap: could not search LDAP server - Server is unavailable
Que faire ?
Répondre avec citation
Partager