Notice d'utilisation du serveur KWARTZ: Authentification des utilisateurs

9.4. Authentification des utilisateurs

Pour pouvoir ouvrir une session sur le poste de travail Linux, chaque utilisateur doit être authentifié. Cette authentification peut être faite de deux façons :

En utilisant des comptes locaux. Dans ce cas, l’intégration de la station Linux dans le réseau KWARTZ ne sera pas optimale et les différents thèmes abordés ici ne seront pas directement exploitables. Ils peuvent néanmoins servir de documentation de base si ce type d’authentification est souhaité.
En utilisant l’annuaire LDAP du serveur KWARTZ.

ATTENTION: Une mauvaise configuration des modules PAM peut rendre votre système complètement inutilisable (même le compte root peut être bloqué). Il est donc vivement conseillé de laisser au moins une session ouverte en tant que root pendant toutes ces opérations (par exemple dans une fenêtre ou sur l’une des consoles texte). Vous aurez alors toujours la possibilité de revenir en arrière.

Les utilisateurs inscrits dans le serveur KWARTZ sont stockés dans un annuaire LDAP lui-même hébergé par ce serveur. Afin de réaliser l’authentification de la station linux à l’aide de ce dernier, les paquets suivants doivent être installés :

libpam-ldap
libnss-ldap
nscd

apt-get install libpam-ldap libnss-ldap nscd

Les informations de configuration seront les suivantes :

serveur ldap: votre serveur KWARTZ
dn: construit à partir de votre domaine IP (par exemple, si votre domaine IP est mon.domaine alors votre dn sera ’dc=mon, dc=domaine’)

Les fichiers à modifier seront :

/etc/pam_ldap.conf

host kwartz-server.mon.domaine
base dc=mon,dc=domaine
ldap_version 3
pam_password crypt

/etc/libnss-ldap.conf

host kwartz-server.mon.domaine
base dc=mon,dc=domaine
ldap_version 3

/etc/nsswitch.conf

passwd:         files ldap
group:          files ldap
shadow:         files ldap
hosts:          files dns
networks:       files
protocols:      db files
services:       db files
ethers:         db files
rpc:            db files
netgroup:       nis

Enfin il faut maintenant modifier les différents fichiers de configuration contenus dans le répertoire /etc/pam.d :

/etc/pam.d/common-account

account sufficient      pam_ldap.so
account required       pam_unix.so

/etc/pam.d/common-auth

auth    sufficient      pam_ldap.so
auth    required        pam_unix.so nullok_secure use_first_pass