Ubuntu-fr

ampsanctus

LTSP et LDAP : authentification impossible sur client leger uniquement

Bonjour a tous,

J'ai un serveur sous ubuntu lynx lst sur lequel j'ai installer ltsp. Puis j'ai configurer la connection a un serveur LDAP.

Sur le serveur LTSP l'ouverture de session avec un compte du domaine fonctionne bien, et sur le client leger la connection avec un compte local fonctionne aussi.

Mais la connection avec un compte reseau sur le client leger me "retourne pas de reponse du serveur, redemarage.."

Des discutions comme celle la on l'air de corespondre a mon probleme : http://forum.ubuntu-fr.org/viewtopic.php?id=100616&p=2 , mais je n'arrive pas a comprendre ce qu'il faut faire.

Quelqu'un pourrait me fournir de l'aide .

Merci..

Manu_Ubu

Re : LTSP et LDAP : authentification impossible sur client leger uniquement

Bonjour,

Pour pouvoir utiliser un annuaire LDAP pour authentifier des utilisateurs que se soit sur des clients légers ou non il faut suivre cette doc :
https://help.ubuntu.com/community/LDAPC … entication

Le principe est qu'il faut installer libpam-ldap libnss-ldap. Lors de l'installation de libnss-ldap est demandé diverses informations pour la connexion au serveur LDAP (adresse IP, type d'annuaire souvent 3, si on veut créer un cache local (besoin du compte root) mais ce n'est pas obligatoire, l'arbre LDAP (ex: ou=annuaire,dc=exemple,dc=org)).

Attention, quelque fois un bug lors de l'install ne permet pas de configurer le type d'échange de mot de passe donc il faut refaire un

sudo dpkg-reconfigure libnss-ldap 

On laisse les caractéristiques que l'on a déjà rentré puis on arrive à la fonction non configuré l'échange de passe. Généralement choisir MD5. C'est à dire que le mot de passe ne passe pas en clair mais c'est son emprunte MD5 qui est testé.

Puis la configuration du fichier /etc/nsswitch.conf

passwd:         files ldap
group:          files ldap
shadow:         files ldap

hosts:          files dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

puis la configuration des pam.d. Personnellement je configure les common-* mais d'autres ne font que les pam de SSH ou de GDM ....
Théoriquement les common-* sont auto configuré si on installe libnss-ldap donc il faut juste vérifier:

common-account (j'ai enlevé les commentaires)

account    [success=2 new_authtok_reqd=done default=ignore]    pam_unix.so 
account    [success=1 default=ignore]    pam_ldap.so 
account    requisite            pam_deny.so
account    required            pam_permit.so

common-auth

auth    [success=2 default=ignore]    pam_unix.so nullok_secure
auth    [success=1 default=ignore]    pam_ldap.so use_first_pass
auth    requisite            pam_deny.so
auth    required            pam_permit.so

common-password

password    [success=2 default=ignore]    pam_unix.so obscure sha512
password    [success=1 user_unknown=ignore default=die]    pam_ldap.so use_authtok try_first_pass
password    requisite            pam_deny.so
password    required            pam_permit.so
password    optional    pam_gnome_keyring.so 

common-session

session    [default=1]            pam_permit.so
session    requisite            pam_deny.so
session    required            pam_permit.so
session    required    pam_unix.so 
session    optional            pam_ldap.so 
session    optional            pam_ck_connector.so nox11

ce dernier fichier doit être modifier pour rajouter

session required        pam_mkhomedir.so skel=/etc/skel/ umask=0077

Cela permet de créer automatiquement un «home» à l'utilisateur lors de sa première connexion. Le contenu de /etc/skel sera copié dans les «home» créés et le masque des dossiers et fichiers est fixé à 0077 soit à «rwx.rwx.---», donc attention à vos groupes.

ATTENTION
Il faut que dans l'annuaire LDAP la variable du «home» soit bien paramétré à /home ou /home/group si plusieurs entité (exemple élèves, prof)

Manu

Dernière modification par Manu_Ubu (Le 13/11/2010, à 15:38)

---

je ne suis pas un numéro....de licence....
je suis un pingouin libre..... :-p
Pour LTSP voir http://doc.ubuntu-fr.org/ltsp et les pages tag ltsp
Liste de diffusion https://eshu.ubuntu-eu.org/mailman/listinfo/edubuntu-fr

ampsanctus

Re : LTSP et LDAP : authentification impossible sur client leger uniquement

Bonjour,
Je teste ça rapidement..

Merci beaucoup...

ampsanctus

Re : LTSP et LDAP : authentification impossible sur client leger uniquement

Bonjour,

Après différent essai toujours le même problème.

Sur le serveur la connexion avec un identifian ldap fonctionne.
auth.log

Nov 22 17:23:11 ltsp gdm-session-worker[3928]: pam_succeed_if(gdm:auth): requirement "user ingroup nopasswdlogin" not met by user "admin"
Nov 22 17:23:13 ltsp gdm-session-worker[3928]: pam_unix(gdm:auth): authentication failure; logname= uid=0 euid=0 tty=:0 ruser= rhost=  user=admin
Nov 22 17:23:13 ltsp gdm-session-worker[3928]: pam_unix(gdm:session): session opened for user admin by (uid=0)
Nov 22 17:23:13 ltsp gdm-session-worker[3928]: pam_ck_connector(gdm:session): nox11 mode, ignoring PAM_TTY :0
Nov 22 17:23:13 ltsp polkitd(authority=local): Registered Authentication Agent for session /org/freedesktop/ConsoleKit/Session20 (system bus name :1.169 [/usr/lib/policykit-1-gnome/polkit-gnome-authentication-agent-1], object path /org/gnome/PolicyKit1/AuthenticationAgent, locale fr_FR.UTF-8)

Sur le client leger la connection ldap ne fonctionne pas.
auth.log

Nov 22 17:21:14 ltsp sshd[3774]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.111.150.150  user=admin
Nov 22 17:21:14 ltsp sshd[3774]: Accepted password for admin from 10.111.150.150 port 38496 ssh2
Nov 22 17:21:14 ltsp sshd[3774]: pam_unix(sshd:session): session opened for user admin by (uid=0)
Nov 22 17:21:14 ltsp sshd[3839]: Received disconnect from 10.111.150.150: 11: disconnected by user
Nov 22 17:21:14 ltsp sshd[3774]: pam_unix(sshd:session): session closed for user admin

Je ne comprend pas pourquoi. (Received disconnect from 10.111.150.150: 11: disconnected by user ??)
Merci.