9.4. Authentification des utilisateurs
Pour pouvoir ouvrir une session sur le poste de travail Linux, chaque utilisateur doit être authentifié. Cette authentification peut être faite de deux façons :
- En utilisant des comptes locaux. Dans ce cas, l’intégration de la station Linux dans le réseau KWARTZ ne sera pas optimale et les différents thèmes abordés ici ne seront pas directement exploitables. Ils peuvent néanmoins servir de documentation de base si ce type d’authentification est souhaité.
- En utilisant l’annuaire LDAP du serveur KWARTZ.
ATTENTION: Une mauvaise configuration des modules PAM peut rendre votre système complètement inutilisable (même le compte root peut être bloqué). Il est donc vivement conseillé de laisser au moins une session ouverte en tant que root pendant toutes ces opérations (par exemple dans une fenêtre ou sur l’une des consoles texte). Vous aurez alors toujours la possibilité de revenir en arrière.
Les utilisateurs inscrits dans le serveur KWARTZ sont stockés dans un annuaire LDAP lui-même hébergé par ce serveur. Afin de réaliser l’authentification de la station linux à l’aide de ce dernier, les paquets suivants doivent être installés :
- libpam-ldap
- libnss-ldap
- nscd
apt-get install libpam-ldap libnss-ldap nscd
Les informations de configuration seront les suivantes :
- serveur ldap: votre serveur KWARTZ
- dn: construit à partir de votre domaine IP (par exemple, si votre domaine IP est mon.domaine alors votre dn sera ’dc=mon, dc=domaine’)
Les fichiers à modifier seront :
/etc/pam_ldap.conf
host kwartz-server.mon.domaine base dc=mon,dc=domaine ldap_version 3 pam_password crypt
/etc/libnss-ldap.conf
host kwartz-server.mon.domaine base dc=mon,dc=domaine ldap_version 3
/etc/nsswitch.conf
passwd: files ldap group: files ldap shadow: files ldap hosts: files dns networks: files protocols: db files services: db files ethers: db files rpc: db files netgroup: nis
Enfin il faut maintenant modifier les différents fichiers de configuration contenus dans le répertoire /etc/pam.d :
/etc/pam.d/common-account
account sufficient pam_ldap.so account required pam_unix.so
/etc/pam.d/common-auth
auth sufficient pam_ldap.so auth required pam_unix.so nullok_secure use_first_pass