Authentification LDAP sous Ubuntu 16.04 LTS

Voici un petit tuto très succint pour mettre en place rapidement une authentification LDAP. Je ne m’attarderai pas sur la sécurité, la réplication etc…

On part d’un serveur vierge, avec le réseau configuré. Si votre domaine DNS c’est toto.local, le DIT LDAP sera dc=toto,dc=local. Pour moi ce sera dc=morot,dc=fr C’est parti :

apt install slapd ldap-utils

On met en place nos OU qui contiendront les utilisateurs et les groupes (faire un control+D à la fin de la saisie) :

ldapadd -x -W -D cn=admin,dc=morot,dc=fr
Enter LDAP Password: 

dn: ou=People,dc=morot,dc=fr
objectClass: top
objectClass: organizationalUnit
ou: People

dn: ou=Groups,dc=morot,dc=fr
objectClass: top
objectClass: organizationalUnit
ou: Groups

On ajoute une première entrée, le mot de passe SSHA est obtenu avec la commande slappasswd :

ldapadd -x -W -D cn=admin,dc=morot,dc=fr
Enter LDAP Password: 

dn: uid=julien,ou=People,dc=morot,dc=fr
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
userPassword: {SSHA}SECRET
givenName: Julien
sn: Morot
cn: Julien Morot
displayName: Julien Morot
uidNumber: 1000
gidNumber: 100
uid: julien
mail: moi@mondomaine.fr
gecos: Julien Morot
loginShell: /bin/bash
homeDirectory: /home/julien

adding new entry "cn=Julien Morot,ou=People,dc=morot,dc=fr"

On passe au client :

root# apt -y install libnss-ldap libpam-ldap nscd

Debconf pose un certain nombre de questions à adapter par rapport à votre DIT :

  • URI : ldapi:/// ldap:///localhost:389 ldap:///nom.domaine:389
  • Base de recherche : dc=morot,dc=fr
  • LDAP Version : 3
  • Make local root Database admin : yes
  • Does the LDAP database require login : No
  • LDAP account for root : cn=admin,dc=morot,dc=fr
  • LDAP root account password : celui indiqué à l’installation du package slapd

Pour valder la configuration, on ne paramètre que NSS dans un premier temps :

auth-client-config -p lac_ldap -t nss

Vérification :

root# getent passwd |grep julien
julien:x:1000:100:Julien Morot:/home/julien:/bin/bash

Activation de l’authentification LDAP, penser à cocher l’option pour pam_mkhomedir :

pam-auth-update

C’est terminé!

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.