Mise en place de LDAP

xhant · Le 17/06/2013, à 12:49

Bonjour tout le monde !

Voilà je suis en train de mettre l’authentification par LDAP sur des serveurs en place et j’ai 2 questions.
La première : comment peut-on définir quel groupe aura le droit de se connecter sur les serveurs ?
La deuxième est plus complexe : Mon authentification fonctionne mais, quand le « home » de l’utilisateur LDAP est créé il m’est impossible de me connecter. La sessions s’ouvre et se ferme de suite. Quand je supprime ce dernier j’arrive à me connecter…

Merci de votre aide !

tiramiseb · Le 17/06/2013, à 14:04

Salut,

La première : comment peut-on définir quel groupe aura le droit de se connecter sur les serveurs ?

En faisait un filtre LDAP correspondant au(x) critère(s) que tu souhaites.

La deuxième est plus complexe : Mon authentification fonctionne mais, quand le « home » de l’utilisateur LDAP est créé il m’est impossible de me connecter. La sessions s’ouvre et se ferme de suite. Quand je supprime ce dernier j’arrive à me connecter…

Il faut voir dans les logs du système.

xhant · Le 18/06/2013, à 07:39

Salut, merci !
En fait dans le user j'avais mal entré le script du coup j'étais en "bin/sh" à la place de "/bin/sh" alors c'est sur sa paie !

Pour ma première question, j'ai pas mal chercher sur google mais j'arrive pas peux-tu juste me faire une petite marche a suivre stp ?

Merci !:)

tiramiseb · Le 18/06/2013, à 07:50

Par exemple si tu ne veux qu'autoriser les gens qui ont "Patrick" dans leur prénom et dont l'adresse est en "totoro.eu", alors tu fais :

(&(givenName=*Patrick*)(mail=*@totoro.eu))

Après, à toi de définir le filtre que tu veux selon les attributs de tes entrées LDAP.

LDAP est vachement flexible, tu as 50 000 manières de définir des "groupes", je ne sais pas comment ça se passe chez toi.
Il fa falloir réveiller le cerveau

xhant · Le 18/06/2013, à 08:20

Merci mais je débute en ubuntu (et j'adore ).
Mais j'ai un groupe "superAdmin" et j'aimerais que seul les utilisateurs faisant partie de se groupe aient accès aux serveurs. Je peux faire comment ?

Merci de ton aide.

JoelS · Le 19/06/2013, à 21:29

C'est quoi pour toi un groupe SuperAdmin ? Je veux dire, du point de vue de ton annuaire LDAP ? Est-ce que c'est juste quelques personnes que tu veux regrouper au sein d'un ensemble que tu nommes groupe, ou bien est-ce que c'est déjà défini ?

tiramiseb · Le 19/06/2013, à 21:58

Je pense que la réponse de JoelS illustre assez bien ce que j'ai écrit, « tu as 50 000 manières de définir des "groupes" ».

Donc on ne peut pas répondre sans savoir ce qui, pour toi, définit l'appartenance à ce groupe "superAdmin"...

xhant · Le 20/06/2013, à 05:34

Le groupe "superAdmin" est un groupement de quelques utilisateurs étant sensé avoir le droit de se connecter sur les serveurs.
Il y a également le comte "admin" pour les développeurs et des comte "user" pour les utilisateurs standard.
Donc les "admin" doivent aussi pouvoir administrer leur homme mais pas plus (droit de connexion mais pas d'édition mais sa c'est bon j'ai trouvé avec le "visudo"....

Voilà l'histoire

tiramiseb · Le 20/06/2013, à 06:17

Formulons la question autrement...

À quoi ressemble une entrée LDIF d'un de ces utilisateurs (en incluant cette appartenance au groupe "superadmin") ?

xhant · Le 20/06/2013, à 08:14

Imaginons j'ai 3 utilisateurs :
-toto1 (administrateur de serveurs)
-toto2 (développeur)
-toto3 (utilisateur d'une application faite par toto2)
Ce que je veux c'est que :
toto1 (qui fait partie du groupe "superadmin") ait accès à tout le serveur et puisse s'y connecter (ligne de commande) et tout modifer (mais sa j'ai déjà fait via "visudo" et ça fonctionne).
toto2 (qui fait partie du groupe "admin) ait accès au serveur mais à son home uniquement, autrement (si ce n’est pas possible) en lecture sur le serveur.
toto3 (qui fait partie du groupe "user) ait accès aux applications qui sont stocké sur le serveur. (Cela dit j'ai juste à ne pas autoriser l'auth de ce groupe sur le serveur et après les développeurs feront leur boulot sur l'application )

Merci beaucoup^^

tiramiseb · Le 20/06/2013, à 08:34

De deux choses l'une :
- soit tu réponds à nos questions
- soit tu ne veux pas qu'on t'aide

Ma dernière question est pourtant claire :
À quoi ressemble une entrée LDIF d'un de ces utilisateurs (en incluant cette appartenance au groupe "superadmin") ?

Je ne t'ai pas demandé ce que tu veux faire, je t'ai demandé un extrait LDIF de ta base LDAP.

Et l'explication de cette demande je l'ai expliquée plusieurs fois : il y a différentes manières de définir l'appartenance à un groupe (par exemple memberOf, groupMembership, uniqueMember, memberUid, ou n'importe quel attribut que tu auras toi-même défini ou décidé d'utiliser pour cet usage, que tu le place dans l'entrée correspondant au groupe ou dans celle correspondant à l'utilisateur).

xhant · Le 20/06/2013, à 10:29

Excuse moi je n'avais pas compris la question.

un utilisateur "superadmin" est dans uid=user1,ou=employees,ou=users,dc=mondomaine,dc=net.
Après j'ai inclu le groupe à l'aide de l'application "LDAPadmin" sous windows.

Mais si je fais un "getent group adminuser" il me sort bien le login de tous les comtes dans ce groupe.

tiramiseb · Le 20/06/2013, à 10:30

Je ne te demande pas son CN, je te demande le LDIF complet de l'utilisateur !
(tu peux cacher le contenu du champ de mot de passe si tu veux, bien sûr)

Dernière modification par tiramiseb (Le 20/06/2013, à 10:31)

xhant · Le 20/06/2013, à 11:01

Voilà, excuse moi pour les réonses bêtes :

dn: uid=lubl1a,ou=apprentices,ou=users,dc=mondomaine,dc=ne
objectClass: posixAccount
objectClass: top
objectClass: inetOrgPerson
givenName: Ludovic
initials: LB
sn: Bliesener
displayName: Ludovic Bliesener
uid: lubl1a
homeDirectory: /home/lubl1a
cn: Ludovic Bliesener
uidNumber: 38627
gidNumber: 0
loginShell: /bin/bash
userPassword: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Dernière modification par xhant (Le 20/06/2013, à 11:09)

tiramiseb · Le 20/06/2013, à 11:04

Ok, tu n'as donc pas d'entrée "memberOf", ce qui est plutôt emmerdant.

L'appartenance au groupe n'est donc définie, chez toi, que par la présence d'une entrée dans le groupe lui-même.
Dans ce cas, je ne sais plus comment faire, désolé.

Il va te falloir relire les documentations...

xhant · Le 20/06/2013, à 11:10

Ok, mais c'est possible de convertir?

Car dans "visudo" j'ai ajouter le nom du groupe et ça a fonctionné^^

tiramiseb · Le 20/06/2013, à 11:15

Je ne sais pas comment tu as configuré ton système.
sudo ne tape pas directement dans LDAP, il faut configurer le système pour que l'authentification fonctionne.

C'est quelque chose de (très) complexe et je n'ai pas le temps de t'aider sur un truc comme ça pour le moment.
Et, à vrai dire, je préfère ne pas trop approfondir car je commencerais à me faire de la concurrence gratuite à moi-même : le conseil sur ce genre de choses, c'est pile poil mon cœur de métier.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 17/06/2013, à 12:49

Mise en place de LDAP

#2 Le 17/06/2013, à 14:04

Re : Mise en place de LDAP

#3 Le 18/06/2013, à 07:39

Re : Mise en place de LDAP

#4 Le 18/06/2013, à 07:50

Re : Mise en place de LDAP

#5 Le 18/06/2013, à 08:20

Re : Mise en place de LDAP

#6 Le 19/06/2013, à 21:29

Re : Mise en place de LDAP

#7 Le 19/06/2013, à 21:58

Re : Mise en place de LDAP

#8 Le 20/06/2013, à 05:34

Re : Mise en place de LDAP

#9 Le 20/06/2013, à 06:17

Re : Mise en place de LDAP

#10 Le 20/06/2013, à 08:14

Re : Mise en place de LDAP

#11 Le 20/06/2013, à 08:34

Re : Mise en place de LDAP

#12 Le 20/06/2013, à 10:29

Re : Mise en place de LDAP

#13 Le 20/06/2013, à 10:30

Re : Mise en place de LDAP

#14 Le 20/06/2013, à 11:01

Re : Mise en place de LDAP

#15 Le 20/06/2013, à 11:04

Re : Mise en place de LDAP

#16 Le 20/06/2013, à 11:10

Re : Mise en place de LDAP

#17 Le 20/06/2013, à 11:15

Re : Mise en place de LDAP

Pied de page des forums