III.4.2. Authentification des utilisateurs par LDAP
Le but principal de LDAP se révèle dans la
gestion des utilisateurs. La démarche consiste à centraliser les
comptes utilisateurs sur un unique serveur et d'autre part ce même
mécanisme pour tout autre service désirant une validation
utilisateur. LDAP supporte le chiffrement SSL et coopère parfaitement
avec les applications Samba, DNS, NFS... avec plus concrètement la
gestion dans le cadre d'une authentification utilisateur :
- Des accès non autorisés (authentification) ;
- Des droits d'accès aux données (autorisation)
;
- De la confidentialité et de l'intégré des
communications avec le serveur.
Rédiger par NGOUCHEME MBOUOMBOUO A. Page
41
Concevoir et déployer d'une architecture de
réseau sécurisée à l'IUT
Nous allons mettre en place l'authentification utilisateurs
par LDAP sur SVRLAN pour le CLIENT. Sous Linux, cette authentification
s'effectue par l'intermédiaire de deux outils : NSS (Name Service
Switch) et PAM (Pluggable Authentication Module). Nous rajouterons ensuite la
couche SSL mais dans une autre fiche axée sur la
sécurité.
III.4.2.1. Authentification par PAM-LDAP
Le système PAM intègre de façon
transparente les technologies classiques d'authentification sur des services du
système (comme entre autre login, ftp, ssh...) et ce, sans
aucune modification sur ces services. Bien évidement nous avons besoin
de paquets sur le serveur SVRLAN
Figure 38 : installation du paquet ldap
- Configuration des différents
fichiers
Ajouter LDAP comme d'authentification pour passwd,
group, et shadow dans le fichier /etc/nsswitch.conf :
Figure 40 : création d'un groupe
d'utilisateur
/etc/pam_ldap.conf et /etc/libnss_ldap.conf
Figure 41 : configuration du fichier
ldap.conf
Nous allons maintenant configurer les fichiers PAM qui est
une phase un peu délicate : qui sont /etc/pam.d/common-account,
/etc/pam.d/common-auth, /etc/pam.d/common-password, /etc/pam.d/common-session,
il est très recommandé de mettre les lignes existantes en
commentaire.
? Fichier /etc/pam.d/common-account ajouter les lignes
suivantes account sufficient pam_unix.xo md5
account required pam_ldap.so use_first_pass
Rédiger par NGOUCHEME MBOUOMBOUO A. Page
42
Concevoir et déployer d'une architecture de
réseau sécurisée à l'IUT
? Fichier /etc/pam.d/common-auth ajouter les lignes
suivantes auth sufficient pam_unix.xo md5
auth required pam_ldap.so use_first_pass
? Fichier /etc/pam.d/common-password ajouter les lignes
suivantes password sufficient pam_unix.xo md5
password required pam_ldap.so use_first_pass
? Fichier /etc/pam.d/common-session ajouter les lignes
suivantes session required pam_mkhomedir.so skel=/etc/skel umask=022
session sufficient pam_unix.xo md5
session required pam_ldap.so use_first_pass
| 
