Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 04/08/2009, à 08:44

HerVelizy

[RESOLU] Migration d'authentifciation shadow à PAM/LDAP

Bonjour,

Je suis en train de migrer les machines de mon entreprise en basant d'une architecture basée sur une authentification des utilsiateurs par la méthode classique à uen authentification par PAM sur LDAP, le bout sur un base Ubuntu Hardy.

Pour les outils d'internet (PHP_CONGES, HORDE, portail), j'ai utilisé CAS. Tout fonctionne correctement (quand j'aurai fini, je détaillerai ce que j'ai fait si ça peut en intéresser certains).

Mon problème est sur la migration des comptes. Pour faciliter la conduite du changement, je voulais migrer automatiquement les comptes Unix vers LDAP.
J'ai utilisé les outils migrationtools, puis un script que j'ai développé à la main, mais je tombe toujours sur le même soucis : les mots de passe migrés dans la base LDAP ne sont pas les bons.
J'ai fait différentes tentatives :
- Avec les migrations tools, les mots de passe sont positionnés dans un LDIF avec la méthode CRYPT
- J'ai essayé pour ma part de préfixer le mot de passe crypté récupéré dans /etc/shadow par {MD5} en gardant ou en enlevant le $1$ qui le suffixe (il me semble que c'est MD5 qui est utilisé par Hardy).

Est-ce que l'un d'entre vous à une solution à ce problème ?

La seule autre option que je vois, c'est de leur modifier en masse les mots de passe avec obligation de les changer à la première connection, pas top mais à défaut de mieux (d'eilleurs au passage, si quelqu'un sait changer les mots de passe en masse, je suis prenuer smile).

Merci pour votre aide.

Hervé

Dernière modification par HerVelizy (Le 05/08/2009, à 09:14)

Hors ligne

#2 Le 04/08/2009, à 12:58

Peck

Re : [RESOLU] Migration d'authentifciation shadow à PAM/LDAP

$1$ signifie bien, MD5 mais attention, le 3e $ est précédé d'une salt, un code aléatoire.
Mais la méthode {MD5} de ldap ne comprend pas ce format.

Par contre {CRYPT} est sensé le comprendre, en intégralité, c'est à dire avec le $1$ et le salt.

http://linux-attitude.fr

Hors ligne

#3 Le 05/08/2009, à 09:14

HerVelizy

Re : [RESOLU] Migration d'authentifciation shadow à PAM/LDAP

Merci beaucoup Peck pour ta réponse.

Effectivement, il suffit de prendre le champ de /etc/shadow, préfixé par {CRYPT} pour que ça fonctionne. J'avais ignoré cette piste puisque c'est ce que font les "migrationtools", sans succès?.
Mes utilisateurs pourront gardé leur mot de passe (du moins jusqu'à ce que je les oblige à en changer réulièrement smile ).

Bonne journée.

Hors ligne

Pages : 1