Authentification LDAP

1. Master 1 ère année Sécurité des Systèmes Informatique Authentification LDAP Configuration de l’authentification • Configurer l'utilisation de LDAP comme moyen d'authentification à l'aide de system-config-authentication

2. Master 1 ère année Sécurité des Systèmes Informatique Authentification LDAP Configuration de l’authentification

3. Master 1 ère année Sécurité des Systèmes Informatique Authentification LDAP Configuration du client LDAP • /etc/ldap.conf host ldapsrvbase dc=univ-rouen,dc=frldap_version 3port 389scope onepam_filter objectclass=posixaccountpam_login_attribute uid pam_member_attribute gidpam_password cryptnss_base_passwd         ou=People,dc=niv-rouen,dc=fr?subnss_base_shadow         ou=People,dc=niv-rouen,dc=fr?subnss_base_group          ou=Group,dc=niv-rouen,dc=fr?subssl notls_cacertdir /etc/openldap/cacerts

4. Master 1 ère année Sécurité des Systèmes Informatique Authentification LDAP Configuration du client LDAP • /etc/pam.d/system-auth #%PAM-1.0# auth        requisite      /lib/security/$ISA/pam_env.soauth        sufficient    /lib/security/$ISA/pam_unix.so likeauth nullokauth        sufficient    /lib/security/$ISA/pam_ldap.so use_first_passauth        requisite      /lib/security/$ISA/pam_deny.soaccount     requisite      /lib/security/$ISA/pam_unix.so broken_shadowaccount     sufficient    /lib/security/$ISA/pam_succeed_if.so uid < 100 quietaccount     [default=bad success=ok user_unknown=ignore] /lib/security/$ISA/pam_ldap.soaccount     requisite      /lib/security/$ISA/pam_permit.sopassword    requisite     /lib/security/$ISA/pam_cracklib.so retry=3password    sufficient    /lib/security/$ISA/pam_unix.so nullok use_authtok shadowpassword    sufficient    /lib/security/$ISA/pam_ldap.so use_authtokpassword    requisite      /lib/security/$ISA/pam_deny.sosession     requisite      /lib/security/$ISA/pam_limits.sosession     requisite      /lib/security/$ISA/pam_unix.sosession     requisite      /lib/security/$ISA/pam_mkhomedir.so skel=/etc/skel/ umask=0022session     optional      /lib/security/$ISA/pam_ldap.so

5. Master 1 ère année Sécurité des Systèmes Informatique Authentification LDAP Installation du serveur LDAP • Installer le paquetage du serveur LDAP à l'aide la commande suivante: • Par exemple: rpm -ivh openldap-servers-2.0.27-11.i386.rpm

6. Master 1 ère année Sécurité des Systèmes Informatique Authentification LDAP Configuration et démarrage du serveur LDAP • Modifier les lignes suivantes du fichier de configuration /etc/etc/openldap/slapd.conf suffix    "dc=univ-rouen,dc=fr"rootdn    "cn=manager,dc=univ-rouen,dc=fr"rootpw    pcroot • Démarrage du "daemon" service ldap start

7. Master 1 ère année Sécurité des Systèmes Informatique Authentification LDAP Ajout des utilisateurs • Pour commencer à remplir l'annuaire, il est nécessaire de définir les noeuds de plus haut niveau. Le fichier top.ldif contient ces entrées. ## Création du noeud racine dn: dc=univ-rouen,dc=fr dc: univ-rouen objectClass: dcObject objectClass: organizationalUnit ou: univ-rouen Point Fr ## Création de l'OU people dn: ou=people,dc=univ-rouen,dc=fr ou: People objectClass: organizationalUnit ## Création de l'OU group dn: ou=group,dc=univ-rouen,dc=fr ou: Group objectClass: organizationalUnit

8. Master 1 ère année Sécurité des Systèmes Informatique Authentification LDAP Définir les utilisateurs

9. Master 1 ère année Sécurité des Systèmes Informatique Authentification LDAP Ajouter les utilisateurs • Générer les fichiers LDIF (LDAP Data Interchange Format) /usr/share/openldap/migration/migrate_passwd.pl /etc/passwd | sed "s/dc=padl,dc=com/dc=univ-rouen,dc=fr/" - > users.ldif /usr/share/openldap/migration/migrate_group.pl /etc/group | sed "s/dc=padl,dc=com/dc=univ-rouen,dc=fr/" - > groups.ldif • Renseigner l'annuaire des utilisateurs for f in top.ldif groups.ldif users.ldif do ldapadd -x -f $f -w pcroot -D cn=manager,dc=univ-rouen,dc=fr done

10. Master 1 ère année Sécurité des Systèmes Informatique Authentification LDAP Vérification • Vérifions que les utilisateurs que nous avons définis sont bien présents dans l'annuaire # ldapsearch -x -b "dc=univ-rouen,dc=fr" "(uid=ex)" dn: uid=ex,ou=People,dc=univ-rouen,dc=fr uid: ex cn: Exploitation objectClass: account objectClass: posixAccount objectClass: top objectClass: shadowAccount userPassword:: e2NyeXB0fSQxJHdlT2dadmlvJHpTOWprNVo3dE1ESmRoTEp2SFFzZS8= shadowLastChange: 13027 shadowMax: 99999 shadowWarning: 7 loginShell: /bin/bash uidNumber: 602 gidNumber: 100 homeDirectory: /home/ex gecos: Exploitation …

11. Master 1 ère année Sécurité des Systèmes Informatique Authentification LDAP Navigation dans l’annuaire • GQ est un navigateur graphique

12. Master 1 ère année Sécurité des Systèmes Informatique Authentification LDAP Navigation dans l’annuaire • Directory administrator