Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 17/06/2013, à 12:49

xhant

Mise en place de LDAP

Bonjour tout le monde !

Voilà je suis en train de mettre l’authentification par LDAP sur des serveurs en place et j’ai 2 questions.
La première : comment peut-on définir quel groupe aura le droit de se connecter sur les serveurs ?
La deuxième est plus complexe : Mon authentification fonctionne mais, quand le « home » de l’utilisateur LDAP est créé il m’est impossible de me connecter. La sessions s’ouvre et se ferme de suite. Quand je supprime ce dernier j’arrive à me connecter…

Merci de votre aide ! smile

Hors ligne

#2 Le 17/06/2013, à 14:04

tiramiseb

Re : Mise en place de LDAP

Salut,

La première : comment peut-on définir quel groupe aura le droit de se connecter sur les serveurs ?

En faisait un filtre LDAP correspondant au(x) critère(s) que tu souhaites.

La deuxième est plus complexe : Mon authentification fonctionne mais, quand le « home » de l’utilisateur LDAP est créé il m’est impossible de me connecter. La sessions s’ouvre et se ferme de suite. Quand je supprime ce dernier j’arrive à me connecter…

Il faut voir dans les logs du système.

Hors ligne

#3 Le 18/06/2013, à 07:39

xhant

Re : Mise en place de LDAP

Salut, merci !
En fait dans le user j'avais mal entré le script du coup j'étais en "bin/sh" à la place de "/bin/sh" alors c'est sur sa paie ! tongue

Pour ma première question, j'ai pas mal chercher sur google mais j'arrive pas peux-tu juste me faire une petite marche a suivre stp ?

Merci !:)

Hors ligne

#4 Le 18/06/2013, à 07:50

tiramiseb

Re : Mise en place de LDAP

Par exemple si tu ne veux qu'autoriser les gens qui ont "Patrick" dans leur prénom et dont l'adresse est en "totoro.eu", alors tu fais :

(&(givenName=*Patrick*)(mail=*@totoro.eu))

Après, à toi de définir le filtre que tu veux selon les attributs de tes entrées LDAP.

LDAP est vachement flexible, tu as 50 000 manières de définir des "groupes", je ne sais pas comment ça se passe chez toi.
Il fa falloir réveiller le cerveau lol

Hors ligne

#5 Le 18/06/2013, à 08:20

xhant

Re : Mise en place de LDAP

Merci mais je débute en ubuntu (et j'adore smile).
Mais j'ai un groupe "superAdmin" et j'aimerais que seul les utilisateurs faisant partie de se groupe aient accès aux serveurs. Je peux faire comment ?

Merci de ton aide.

Hors ligne

#6 Le 19/06/2013, à 21:29

JoelS

Re : Mise en place de LDAP

C'est quoi pour toi un groupe SuperAdmin ? Je veux dire, du point de vue de ton annuaire LDAP ? Est-ce que c'est juste quelques personnes que tu veux regrouper au sein d'un ensemble que tu nommes groupe, ou bien est-ce que c'est déjà défini ?

Hors ligne

#7 Le 19/06/2013, à 21:58

tiramiseb

Re : Mise en place de LDAP

Je pense que la réponse de JoelS illustre assez bien ce que j'ai écrit, « tu as 50 000 manières de définir des "groupes" ».

Donc on ne peut pas répondre sans savoir ce qui, pour toi, définit l'appartenance à ce groupe "superAdmin"...

Hors ligne

#8 Le 20/06/2013, à 05:34

xhant

Re : Mise en place de LDAP

Le groupe "superAdmin" est un groupement de quelques utilisateurs étant sensé avoir le droit de se connecter sur les serveurs.
Il y a également le comte "admin" pour les développeurs et des comte "user" pour les utilisateurs standard.
Donc les "admin" doivent aussi pouvoir administrer leur homme mais pas plus (droit de connexion mais pas d'édition mais sa c'est bon j'ai trouvé avec le "visudo"....

Voilà l'histoire smile

Hors ligne

#9 Le 20/06/2013, à 06:17

tiramiseb

Re : Mise en place de LDAP

Formulons la question autrement...

À quoi ressemble une entrée LDIF d'un de ces utilisateurs (en incluant cette appartenance au groupe "superadmin") ?

Hors ligne

#10 Le 20/06/2013, à 08:14

xhant

Re : Mise en place de LDAP

Imaginons j'ai 3 utilisateurs :
                                                    -toto1 (administrateur de serveurs)
                                                    -toto2 (développeur)
                                                    -toto3 (utilisateur d'une application faite par toto2)
Ce que je veux c'est que :
toto1 (qui fait partie du groupe "superadmin") ait accès à tout le serveur et puisse s'y connecter (ligne de commande) et tout modifer (mais sa j'ai déjà fait via "visudo" et ça fonctionne).
toto2 (qui fait partie du groupe "admin) ait accès au serveur mais à son home uniquement, autrement (si ce n’est pas possible) en lecture sur le serveur.
toto3 (qui fait partie du groupe "user) ait accès aux applications qui sont stocké sur le serveur. (Cela dit j'ai juste à ne pas autoriser l'auth de ce groupe sur le serveur et après les développeurs feront leur boulot sur l'application smile)

Merci beaucoup^^

Hors ligne

#11 Le 20/06/2013, à 08:34

tiramiseb

Re : Mise en place de LDAP

De deux choses l'une :
- soit tu réponds à nos questions
- soit tu ne veux pas qu'on t'aide

Ma dernière question est pourtant claire :
À quoi ressemble une entrée LDIF d'un de ces utilisateurs (en incluant cette appartenance au groupe "superadmin") ?

Je ne t'ai pas demandé ce que tu veux faire, je t'ai demandé un extrait LDIF de ta base LDAP.

Et l'explication de cette demande je l'ai expliquée plusieurs fois : il y a différentes manières de définir l'appartenance à un groupe (par exemple memberOf, groupMembership, uniqueMember, memberUid, ou n'importe quel attribut que tu auras toi-même défini ou décidé d'utiliser pour cet usage, que tu le place dans l'entrée correspondant au groupe ou dans celle correspondant à l'utilisateur).

Hors ligne

#12 Le 20/06/2013, à 10:29

xhant

Re : Mise en place de LDAP

Excuse moi je n'avais pas compris la question.

un utilisateur "superadmin" est dans uid=user1,ou=employees,ou=users,dc=mondomaine,dc=net.
Après j'ai inclu le groupe à l'aide de l'application "LDAPadmin" sous windows.

Mais si je fais un "getent group adminuser" il me sort bien le login de tous les comtes dans ce groupe.

Hors ligne

#13 Le 20/06/2013, à 10:30

tiramiseb

Re : Mise en place de LDAP

Je ne te demande pas son CN, je te demande le LDIF complet de l'utilisateur !
(tu peux cacher le contenu du champ de mot de passe si tu veux, bien sûr)

Dernière modification par tiramiseb (Le 20/06/2013, à 10:31)

Hors ligne

#14 Le 20/06/2013, à 11:01

xhant

Re : Mise en place de LDAP

Voilà, excuse moi pour les réonses bêtes :

dn: uid=lubl1a,ou=apprentices,ou=users,dc=mondomaine,dc=ne
objectClass: posixAccount
objectClass: top
objectClass: inetOrgPerson
givenName: Ludovic
initials: LB
sn: Bliesener
displayName: Ludovic Bliesener
uid: lubl1a
homeDirectory: /home/lubl1a
cn: Ludovic Bliesener
uidNumber: 38627
gidNumber: 0
loginShell: /bin/bash
userPassword: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Dernière modification par xhant (Le 20/06/2013, à 11:09)

Hors ligne

#15 Le 20/06/2013, à 11:04

tiramiseb

Re : Mise en place de LDAP

Ok, tu n'as donc pas d'entrée "memberOf", ce qui est plutôt emmerdant.

L'appartenance au groupe n'est donc définie, chez toi, que par la présence d'une entrée dans le groupe lui-même.
Dans ce cas, je ne sais plus comment faire, désolé.

Il va te falloir relire les documentations...

Hors ligne

#16 Le 20/06/2013, à 11:10

xhant

Re : Mise en place de LDAP

Ok, mais c'est possible de convertir?

Car dans "visudo" j'ai ajouter le nom du groupe et ça a fonctionné^^

Hors ligne

#17 Le 20/06/2013, à 11:15

tiramiseb

Re : Mise en place de LDAP

Je ne sais pas comment tu as configuré ton système.
sudo ne tape pas directement dans LDAP, il faut configurer le système pour que l'authentification fonctionne.

C'est quelque chose de (très) complexe et je n'ai pas le temps de t'aider sur un truc comme ça pour le moment.
Et, à vrai dire, je préfère ne pas trop approfondir car je commencerais à me faire de la concurrence gratuite à moi-même : le conseil sur ce genre de choses, c'est pile poil mon cœur de métier.

Hors ligne