Forum Linux.débutant Création serveur LDAP

Posté par . Licence CC by-sa.
Tags :
2
7
avr.
2020

Bonjour,

Débutant sur linux et étant à mon premier message sur ce type de forum, je ne sais pas trop par ou commencer . Soyez indulgent, ne me juger pas trop sévèrement x)

En confinement, je me suis donner comme programme de la semaine de créer un serveur ldap et de me connecter à un autre utilisateur depuis un autre poste sur le même réseau. (les deux postes ce ping)

J'ai donc installer ldap, et j'y est ajouter des ou, groupes et utilisateurs :
http://imageshack.com/i/pmUrE566p

Le serveur ldap est active :
http://imagizer.imageshack.com/a/img924/2966/um2oUp.png

Sur le client j'ai installer ldap-auth-config et j'ai configurer sa connexion avec

ldap://192.168.1.25/ (ip de mon serveur)
Name of search database : dc=TECHOLOS,dc=com
LDAP account for root : cn=admin,dc=TECHOLOS,dc=com

J'ai ajouté :
auth-client-config -t nss -p lac_ldap

Et dans la configuration de PAM, le LDAP Authentication est coché et le create home directory on login ne l'est pas.

Lorsque je fait un status sur le nscd, il me répond qu'il est actif :
http://imageshack.com/a/img921/6510/hwAbX5.png

Le problème est que lorsque je fait un getent passwd, il ne me renvoie pas d'utilisateurs créé dans le ldap.

Ayant cherché un peu partout sur internet et m'étant emmêler les pattes entre les différentes version, je fait appel à vous.
Je ne sais pas si c'est le bon endroit pour poster, ni comment fonctionne ce forum ^
Au besoin, je peux vous link toute sorte d'images de fichiers de conf.

Merci d'avance pour votre aide.

  • # Debug

    Posté par . Évalué à 1 (+0/-0). Dernière modification le 07/04/20 à 20:01.

    Pour t'aider à débugger, coupe le service openldap et démarre le dans la console avec la commande:

    slapd -u ldap -g ldap -d acl -h "ldapi:///"
    

    Ça t'aidera à voir les requêtes que le serveur reçoit. Après les logs sont plutôt confus et peu explicites donc poste les ici pour avoir de l'aide si besoin.

    Je suis débutant aussi donc je ne pourrai pas trop t'aider, mais pour obtenir de l'aide plus facilement je te suggère de:

    • préciser quelle distribution linux tu utilises
    • donner la/les documentation(s) que tu as suivi
    • consulter les tutos qui ont été postés sur ce site
    • peut-être acheter un bouquin récent sur le sujet si tu comptes t'y mettre sérieusement (j'ai trouvé la documentation insuffisante quand j'ai essayé).
    • [^] # Re: Debug

      Posté par . Évalué à 1 (+0/-0).

      Merci pour tes conseil,

      Alors je suis sur une distribution Ubuntu, et non je ne compte pas m'y mettre sérieusement, c'était juste pour cette semaine.

      J'ai donc tester ta commande, je l'ai un peu modifier en :
      slapd -u openldap -g openldap -d acl -h "ldapi:///"

      Elle ma reporté une erreur olcRootPw dans le fichier olcDatabase1mdb.ldif et comme je fait juste ça pour le test je me suis permis de modifier ce fichier ^
      J'ai donc hash le mot de passe et je l'ai remplacer.

      Maintenant ça me renvoie une erreur ShadowLastChange
      https://imagizer.imageshack.com/img923/1430/zsEiSm.png

      C'est peut être rien, sinon pas la peine, j'essaierai de reprendre une installation clean.

  • # ldap et linux

    Posté par . Évalué à 2 (+1/-0).

    Bonjour,

    il faut décomposer le travail en deux:
    - Le serveur ldap
    - l'authentification linux

    1. Le serveur ldap
      Vérifie qu'il fonctionne, soit avec un client graphique, soit avec ldapsearch
      par ex:
      ldapsearch -x -b "dc=devconnected,dc=com" -H ldap://192.168.178.29 -D "cn=admin,dc=devconnected,dc=com" -W

    2. L'authentification
      Cette documentation, devrait t'aider : https://wiki.debian.org/fr/LDAP/NSS
      Mais le mieux étant celle de ta distribution.

    • [^] # Re: ldap et linux

      Posté par . Évalué à 4 (+1/-0). Dernière modification le 07/04/20 à 21:56.

      J'en rajoute une couche sur l'importance de bien distinguer les deux. Permet moi donc, Walter<, de profiter de la pertinence de ton post pour cela.

      car, à mon grand malheur, je vois encore tout les jours des "professionnels aguéris de très grande ssii" coller un /etc/ldap.conf et un /etc/openldap/ldap.conf et lancer un authconfig sssd et tant qu'à faire mettre un déclaratif dans nslcd. Si si, je vous jure que c'est la réalité : y a vraiment des gens qui font ça, livrent ça au client, et s'enfuit en courant avant que j'arrive :p

      Donc, pour Txys< :
      Pour la partie serveur, je te recommande (chaudement mais bien humblement) de partir directement sur un full OLC (donc plus de fichier slapd.conf). Au moins ça, à défaut de choisir 389DS (plutôt qu'openldap) avec ou sans FreeIPA.

      Pour la partie authentification, je te recommande (chaudement mais bien humblement) de prendre directement le client SSSD (ça t'évitera un énorme historique, sur lequel tu pourra revenir plus tard)

  • # nscd

    Posté par . Évalué à 3 (+0/-0).

    nscd est un service de cache (pour plein de trucs)

    le client ldap courant est nsLcd (nuance)

    mais le client recommandé aujourd'hui est plutôt sssd (car il englobe en un plusieurs concepts et types de services distant)

    DONC:
    Configure (et lance) nsLcd ou sssd
    (ou sssd selon le conseil par défaut de la version de ta distribution)

  • # ldap et linux

    Posté par . Évalué à 2 (+1/-0).

    Merci pour vos réponses,

    J'ai tester la commande via ldapsearch et même après avoir modifier beaucoup de fichier elle continue à fonctionner :
    - https://imagizer.imageshack.com/img924/8355/LjDU4M.png

    Pour l'instal graphique et le 389DS, c'est la première fois que j'installe un annuaire linux, je ferai un tour vers ces solutions là, la prochaine fois.

    Pour les sources j'ai principalement utilisé ces deux sites :
    - https://openclassrooms.com/fr/courses/1733551-gerez-votre-serveur-linux-et-ses-services/5236041-gerez-votre-annuaire-ldap
    - https://www.youtube.com/watch?v=l0e8rG0mku8

    Pour les installes clientes, j'ai cru comprendre que le nscd suffisait lorsque l'on avait pas besoin d'être offline. https://doc.ubuntu-fr.org/ldap_client
    Mais ça ne me coûte rien d'essayer en plus d'ajouter une fonction =)

    Pour ce qui est de la configuration OLC je ne voit pas trop ce que c'est, si c'est pour l'ajout d'utilisateurs à ldap, je créé des fichiers .ldif que j'intègre avec la commande ldapadd
    (sauf pour le fichier olcDatabase1 ou j'ai pas trouver la commande)

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.