140 likes | 327 Vues
Authentification LDAP. Configuration de l’authentification. Configurer l'utilisation de LDAP comme moyen d'authentification à l'aide de system-config-authentication. Authentification LDAP. Configuration de l’authentification. Authentification LDAP. Configuration du client LDAP.
E N D
Master 1 ère année Sécurité des Systèmes Informatique Authentification LDAP Configuration de l’authentification • Configurer l'utilisation de LDAP comme moyen d'authentification à l'aide de system-config-authentication
Master 1 ère année Sécurité des Systèmes Informatique Authentification LDAP Configuration de l’authentification
Master 1 ère année Sécurité des Systèmes Informatique Authentification LDAP Configuration du client LDAP • /etc/ldap.conf host ldapsrvbase dc=univ-rouen,dc=frldap_version 3port 389scope onepam_filter objectclass=posixaccountpam_login_attribute uid pam_member_attribute gidpam_password cryptnss_base_passwd ou=People,dc=niv-rouen,dc=fr?subnss_base_shadow ou=People,dc=niv-rouen,dc=fr?subnss_base_group ou=Group,dc=niv-rouen,dc=fr?subssl notls_cacertdir /etc/openldap/cacerts
Master 1 ère année Sécurité des Systèmes Informatique Authentification LDAP Configuration du client LDAP • /etc/pam.d/system-auth #%PAM-1.0# auth requisite /lib/security/$ISA/pam_env.soauth sufficient /lib/security/$ISA/pam_unix.so likeauth nullokauth sufficient /lib/security/$ISA/pam_ldap.so use_first_passauth requisite /lib/security/$ISA/pam_deny.soaccount requisite /lib/security/$ISA/pam_unix.so broken_shadowaccount sufficient /lib/security/$ISA/pam_succeed_if.so uid < 100 quietaccount [default=bad success=ok user_unknown=ignore] /lib/security/$ISA/pam_ldap.soaccount requisite /lib/security/$ISA/pam_permit.sopassword requisite /lib/security/$ISA/pam_cracklib.so retry=3password sufficient /lib/security/$ISA/pam_unix.so nullok use_authtok shadowpassword sufficient /lib/security/$ISA/pam_ldap.so use_authtokpassword requisite /lib/security/$ISA/pam_deny.sosession requisite /lib/security/$ISA/pam_limits.sosession requisite /lib/security/$ISA/pam_unix.sosession requisite /lib/security/$ISA/pam_mkhomedir.so skel=/etc/skel/ umask=0022session optional /lib/security/$ISA/pam_ldap.so
Master 1 ère année Sécurité des Systèmes Informatique Authentification LDAP Installation du serveur LDAP • Installer le paquetage du serveur LDAP à l'aide la commande suivante: • Par exemple: rpm -ivh openldap-servers-2.0.27-11.i386.rpm
Master 1 ère année Sécurité des Systèmes Informatique Authentification LDAP Configuration et démarrage du serveur LDAP • Modifier les lignes suivantes du fichier de configuration /etc/etc/openldap/slapd.conf suffix "dc=univ-rouen,dc=fr"rootdn "cn=manager,dc=univ-rouen,dc=fr"rootpw pcroot • Démarrage du "daemon" service ldap start
Master 1 ère année Sécurité des Systèmes Informatique Authentification LDAP Ajout des utilisateurs • Pour commencer à remplir l'annuaire, il est nécessaire de définir les noeuds de plus haut niveau. Le fichier top.ldif contient ces entrées. ## Création du noeud racine dn: dc=univ-rouen,dc=fr dc: univ-rouen objectClass: dcObject objectClass: organizationalUnit ou: univ-rouen Point Fr ## Création de l'OU people dn: ou=people,dc=univ-rouen,dc=fr ou: People objectClass: organizationalUnit ## Création de l'OU group dn: ou=group,dc=univ-rouen,dc=fr ou: Group objectClass: organizationalUnit
Master 1 ère année Sécurité des Systèmes Informatique Authentification LDAP Définir les utilisateurs
Master 1 ère année Sécurité des Systèmes Informatique Authentification LDAP Ajouter les utilisateurs • Générer les fichiers LDIF (LDAP Data Interchange Format) /usr/share/openldap/migration/migrate_passwd.pl /etc/passwd | sed "s/dc=padl,dc=com/dc=univ-rouen,dc=fr/" - > users.ldif /usr/share/openldap/migration/migrate_group.pl /etc/group | sed "s/dc=padl,dc=com/dc=univ-rouen,dc=fr/" - > groups.ldif • Renseigner l'annuaire des utilisateurs for f in top.ldif groups.ldif users.ldif do ldapadd -x -f $f -w pcroot -D cn=manager,dc=univ-rouen,dc=fr done
Master 1 ère année Sécurité des Systèmes Informatique Authentification LDAP Vérification • Vérifions que les utilisateurs que nous avons définis sont bien présents dans l'annuaire # ldapsearch -x -b "dc=univ-rouen,dc=fr" "(uid=ex)" dn: uid=ex,ou=People,dc=univ-rouen,dc=fr uid: ex cn: Exploitation objectClass: account objectClass: posixAccount objectClass: top objectClass: shadowAccount userPassword:: e2NyeXB0fSQxJHdlT2dadmlvJHpTOWprNVo3dE1ESmRoTEp2SFFzZS8= shadowLastChange: 13027 shadowMax: 99999 shadowWarning: 7 loginShell: /bin/bash uidNumber: 602 gidNumber: 100 homeDirectory: /home/ex gecos: Exploitation …
Master 1 ère année Sécurité des Systèmes Informatique Authentification LDAP Navigation dans l’annuaire • GQ est un navigateur graphique
Master 1 ère année Sécurité des Systèmes Informatique Authentification LDAP Navigation dans l’annuaire • Directory administrator