25.5. Client LDAP de YaST

YaST comprend un module pour la configuration d'une gestion utilisateur basée sur LDAP. Si vous n'avez pas activé cette fonction durant l'installation, démarrez le module en cliquant sur Services réseau+Client LDAP. YaST active automatiquement des modifications liées à PAM et NSS requises par LDAP (reportez-vous plus bas) et installe les fichiers nécessaires.

25.5.1. Procédure standard

Les connaissances de fond sur les processus fonctionnant en arrière-plan d'une machine cliente vous aident à comprendre le fonctionnement du module client LDAP de YaST. Si LDAP est activé pour l'authentification réseau ou si le module YaST est appelé, les paquetages pam_ldap et nss_ldap sont installés et les deux fichiers de configuration correspondants sont adaptés. pam_ldap est le module PAM responsable de la négociation entre les processus de login et l'annuaire LDAP comme source de données d'authentification. Le module dédié pam_ldap.so est installé et la configuration PAM est adaptée (reportez-vous à l'Exemple 25.11, « pam_unix2.conf adapté à LDAP »).

Exemple 25.11. pam_unix2.conf adapté à LDAP

auth:       use_ldap 
account:    use_ldap
password:   use_ldap 
session:    none

Lorsque vous configurez manuellement des services supplémentaires pour LDAP, incluez le module LDAP PAM dans le fichier de configuration PAM correspondant au service dans /etc/pam.d. Des fichiers de configuration déjà adaptés aux services individuels sont disponibles dans /usr/share/doc/packages/pam_ldap/pam.d/. Copiez les fichiers appropriés dans /etc/pam.d.

La résolution de nom glibc par l'intermédiaire du mécanisme nsswitch est adaptée à l'utilisation de LDAP avec nss_ldap. Un nouveau fichier nsswitch.conf adapté est créé dans /etc/ avec l'installation de ce paquetage. Vous trouverez de plus amples informations sur le fonctionnement de nsswitch.conf dans la Section 18.6.1, « Fichiers de configuration ». Les lignes suivantes doivent figurer dans nsswitch.conf pour permettre l'administration et l'authentification des utilisateurs avec LDAP. Reportez-vous à l'Exemple 25.12, « Adaptations dans nsswitch.conf ».

Exemple 25.12. Adaptations dans nsswitch.conf

passwd: compat
group: compat

passwd_compat: ldap
group_compat: ldap

Ces lignes ordonnent à la bibliothèque resolver de glibc d'évaluer d'abord les fichiers correspondants dans /etc, puis d'accéder au serveur LDAP comme sources d'authentification et de données d'utilisateurs. Testez ce mécanisme, par exemple en lisant le contenu de la base de données des utilisateurs avec la commande getent passwd. L'ensemble de résultats renvoyés doit contenir un relevé des utilisateurs locaux de votre système ainsi que tous les utilisateurs stockés sur le serveur LDAP.

Pour empêcher les utilisateurs ordinaires gérés par LDAP de se connecter au serveur avec ssh ou login, les fichiers /etc/passwd et /etc/group doivent chacun inclure une ligne supplémentaire. Il s'agit des lignes +::::::/sbin/nologin dans /etc/passwd et +::: dans /etc/group.

25.5.2. Configuration du client LDAP

Après que les ajustements initiaux de nss_ldap, pam_ldap, /etc/passwd et /etc/group ont été effectués par YaST, vous pouvez connecter simplement votre client au serveur et laisser YaST s'occuper de la gestion des utilisateurs via LDAP. La configuration de base est décrite dans Section 25.5.2.1, « Configuration de base ».

Utilisez le client LDAP de YaST pour configurer plus avant les modules de configuration des groupes et des utilisateurs de YaST. Cela comprend la modification des paramètres par défaut pour les nouveaux utilisateurs et groupes, ainsi que celle du nombre et de la nature des attributs affectés à un utilisateur ou groupe. La gestion d'utilisateurs LDAP permet d'affecter des attributs nettement plus nombreux et plus diversifiés aux utilisateurs et aux groupes que les solutions classiques de gestion des utilisateurs ou des groupes. Cela est décrit à Section 25.5.2.2, « Configuration des modules d'administration de groupes et d'utilisateurs de YaST ».

25.5.2.1. Configuration de base

La boîte de dialogue de configuration de base du client LDAP (Figure 25.2, « YaST : configuration du client LDAP ») s'ouvre durant l'installation si vous optez pour la gestion des utilisateurs LDAP ou si vous sélectionnez Services réseau+Client LDAP dans le centre de contrôle YaST de votre système.

Figure 25.2. YaST : configuration du client LDAP

YaST : configuration du client LDAP

Pour authentifier les utilisateurs de votre machine face à un serveur OpenLDAP et permettre la gestion des utilisateurs via OpenLDAP, procédez de la manière suivante :

  1. Cliquez sur Utiliser LDAP pour permettre l'utilisation de LDAP. Sélectionnez plutôt Utiliser LDAP mais désactiver l'accès si vous voulez utiliser LDAP pour l'authentification, mais si vous ne souhaitez pas que d'autres utilisateurs se loguent à ce client.

  2. Saisissez l'adresse IP du serveur LDAP à utiliser.

  3. Saisissez le DN de base LDAP pour sélectionner la base de recherche sur le serveur LDAP.

    Pour extraire automatiquement le DN de base, cliquez sur Récupérer DN. YaST recherche ensuite chaque base de données LDAP située sur le serveur dont vous avez précédemment indiqué l'adresse. Sélectionnez le DN de base approprié dans les résultats de la recherche affichés par YaST.

  4. Si une communication sécurisée de type TLS ou SSL est requise avec le serveur, sélectionnez LDAP TLS/SSL.

  5. Si le serveur LDAP utilise encore LDAPv2, autorisez explicitement l'utilisation de cette version du protocole en sélectionnant LDAP Version 2.

  6. Sélectionnez Démarrer Automounter pour monter les répertoires distants sur votre client, comme un répertoire /home géré à distance.

  7. Cliquez sur Terminer pour appliquer vos réglages.

Figure 25.3. YaST : configuration avancée

YaST : configuration avancée

Pour modifier des données sur le serveur en tant qu'administrateur, cliquez sur Configuration avancée. La boîte de dialogue suivante se subdivise en deux onglets. Reportez-vous à la Figure 25.3, « YaST : configuration avancée ».

  1. Sous l'onglet Paramètres des clients, ajustez les paramètres suivants en fonction de vos besoins :

    1. Si la base de recherche pour les utilisateurs, mots de passe et groupes diffère de la base de recherche globale spécifiée par DN de base LDAP, saisissez les différents contextes de nommage dans Assignation d'utilisateur, Assignation de mot de passe et Assignation de groupe.

    2. Spécifiez le protocole de changement du mot de passe. La méthode standard à utiliser pour modifier un mot de passe est crypt. Le hachage de mot de passe généré par crypt est utilisé. Pour plus de détails sur cette option ou d'autres, reportez-vous à la page d'aide de pam_ldap.

    3. Spécifiez le groupe LDAP à utiliser avec Attribut des membres du groupe. La valeur par défaut de ce champ est member.

  2. Sous Paramètres d'administration, effectuez les réglages suivants :

    1. Définissez la base de stockage de vos données de gestion utilisateur via Configuration du DN de base.

    2. Entrez la valeur appropriée pour DN de l'administrateur. Ce DN doit être identique à la valeur rootdn spécifiée dans /etc/openldap/slapd.conf pour permettre à cet utilisateur en particulier de manier les données stockées sur le serveur LDAP. Entrez le DN complet (par ex., cn=admin,dc=suse,dc=de) ou activez l'option Ajouter le DN de base pour ajouter automatiquement le DN de base lorsque vous entrez cn=admin.

    3. Cochez Créer les objets de configuration par défaut pour créer les objets de configuration de base sur le serveur afin de permettre la gestion des utilisateurs via LDAP.

    4. Si votre machine cliente doit jouer le rôle de serveur de fichiers pour les répertoires personnels de votre réseau, cochez l'option Répertoires personnels de cette machine.

    5. Cliquez sur Accepter pour quitter la configuration avancée puis sur Terminer pour appliquer vos réglages.

Utilisez Configurer les paramètres de gestion des utilisateurs pour modifier les entrées du serveur LDAP. L'accès aux modules de configuration sur le serveur est alors accordé d'après les ACL et ACI stockés sur le serveur. Suivez les procédures décrites dans Section 25.5.2.2, « Configuration des modules d'administration de groupes et d'utilisateurs de YaST ».

25.5.2.2. Configuration des modules d'administration de groupes et d'utilisateurs de YaST

Utilisez le client LDAP de YaST pour ajuster les modules d'administration de groupes et d'utilisateurs de YaST et pour les étendre si nécessaire. Définissez des modèles avec des valeurs par défaut pour les attributs individuels afin de simplifier l'enregistrement des données. Les valeurs prédéfinies ici sont stockées comme objets LDAP dans l'annuaire LDAP. L'enregistrement de données utilisateur s'effectue toujours avec les modules normaux de YaST pour la gestion des utilisateurs et des groupes. Les données enregistrées sont stockées sur le serveur comme objets LDAP.

Figure 25.4. YaST : configuration de module

YaST : configuration de module

La boîte de dialogue de configuration de module (Figure 25.4, « YaST : configuration de module ») permet la création de nouveaux modules, la sélection et la modification des modules de configuration existants, ainsi que la conception et la modification de modèles pour ce type de modules.

Pour créer un module de configuration, procédez de la manière suivante :

  1. Cliquez sur Nouveau et sélectionnez le type de module à créer. Sélectionnez suseuserconfiguration pour un module de configuration d'utilisateurs et susegroupconfiguration pour un module de configuration de groupes.

  2. Choisissez un nom pour le nouveau modèle.

    La vue du contenu affiche alors un tableau répertoriant tous les attributs autorisés dans ce module avec les valeurs qui leur sont affectées. Hormis les attributs définis, la liste contient également tous les autres attributs autorisés par le modèle en cours mais inutilisés pour le moment.

  3. Acceptez les valeurs prédéfinies ou ajustez les valeurs par défaut à utiliser pour la configuration de groupes et d'utilisateurs, en sélectionnant les attributs respectifs, en cliquant sur Modifier et en saisissant la nouvelle valeur. Renommez un module simplement en changeant l'attribut cn du module. Un clic sur Effacer supprime le module sélectionné.

  4. Lorsque vous cliquez sur OK, le nouveau module est ajouté au menu de sélection.

Les modules d'administration de groupes et d'utilisateurs de YaST intègrent des modèles avec des valeurs standard sensibles. Pour modifier un modèle associé à un module de configuration, procédez de la manière suivante :

  1. Dans la boîte de dialogue Configuration du module, cliquez sur Configurer le modèle.

  2. Déterminez les valeurs des attributs généraux affectés à ce modèle en fonction de vos besoins ou laissez-en certains vierges. Les attributs vides sont supprimés du serveur LDAP.

  3. Modifiez, supprimez ou ajoutez des valeurs par défaut pour les nouveaux objets (objets de configuration d'utilisateur ou de groupe dans l'arborescence LDAP).

Figure 25.5. YaST : configuration d'un modèle d'objet

YaST : configuration d'un modèle d'objet

Connectez le modèle à son module en réglant la valeur de l'attribut susedefaulttemplate du module sur le DN du modèle adapté.

[Tip]Astuce

Les valeurs par défaut d'un attribut peuvent être créées à partir d'autres attributs en utilisant une variable au lieu d'une valeur absolue. Par exemple, lors de la création d'un nouvel utilisateur, cn=%sn %givenName est créé automatiquement à partir des valeurs d'attributs pour sn et givenName.

Quand tous les modules et modèles sont configurés correctement et fonctionnels, de nouveaux groupes et utilisateurs peuvent être enregistrés comme de coutume avec YaST.