LDAP (Lightweight Directory Access Protocol) est un ensemble de protocoles standard et largement utilisé pour accéder aux services d’annuaire.
Dans cet article nous allons voir comment ajouter un client Ldap à un serveur OpenLdap sur CentOS. Vous devez avoir un serveur OpenLDAP déja installé et configuré, si ce n’est le pas le cas référez-vous aux articles ci-dessous :
Installer les paquages client d’Openldap :
[root@clientldap ~]# yum install authconfig authconfig-gtk openldap-clients sssd oddjob-mkhomedir
Configurer LDAP client :
Certificat :
Si votre serveur OpenLDAP contient un certificat (/etc/openldap/cacerts/ca.cert.pem) vous deviez la copier vers la machine client dans même emplcement :
[root@clientldap ~]# ll /etc/openldap/cacerts/ total 0 -rw-r--r--. 1 root root 0 Aug 28 09:28 ca.cert.pem
Dans cet article je vais présenter deux méthode pour configiurer le client :
Methode 1:
taper la commande authconfig-tui :
[root@clientldap ~]# authconfig-tui
Sélectionnez « Use LDAP » et « Use LDAP Authentication », cliquer ensuite sur Next :
Remplissez les champs ci-dessous par les informations qui vous correspond :
L'adresse ip du serveur LDAP : 192.168.2.5 Base DN : dc=site, dc=com
Si votre serveur utilise un certificat TLS pour l’authentification vous deviez selectinner « Use TLS ».
Un fois cliqué sur « OK », les informatios fournies seront ajouté automatiquement dans le fichier /etc/ :
[root@clientldap ~]# cat /etc/openldap/ldap.conf
.
.
.
#This file should be world readable but not world writable.
#BASE dc=example,dc=com
#URI ldap://ldap.example.com ldap://ldap-master.example.com:666
#SIZELIMIT 12
#TIMELIMIT 15
#DEREF never
TLS_CACERTDIR /etc/openldap/cacerts
#Turning this off breaks GSSAPI used with krb5 when rdns = false
#SASL_NOCANON on
URI ldap://192.168.2.5/
BASE dc=sysreseau,dc=net
Methode 2:
Vous pouvez aussi configurer ldap client avec authconfig en utilisatnt la commande ci-dessous :
[root@ldap-client ~]# authconfig --enableldap --enableldapauth --ldapserver=192.168.2.5 --ldapbasedn="dc=sysreseau,dc=net" --enableldaptls --update
Création automatique de répertoire home :
Nous allons utiliser oddjob-mkhomedir pour créer automatiquement le répertoire home pour chaque client connecté au serveur OpenLDAP.
Modifier la configuration PAM pour utiliser le module pam_oddjob_mkhomedir, pour cela ajouter la ligne ci-dessous à la fin du fichier /etc/pam.d/system-auth :
[root@clientldap ~]# cat /etc/pam.d/system-auth
%PAM-1.0
This file is auto-generated.
User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
auth required pam_faildelay.so delay=2000000
.
.
.
.
-session optional pam_systemd.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_sss.so
session required pam_oddjob_mkhomedir.so
Ensuite démarrer le service oddjobd.service :
[root@clientldap ~]# systemctl enable oddjobd.service --now
tapez ensuite la commande ci-dessous :
[root@ldap-client ~]# authconfig --enablemkhomedir --updateall
Et redémarrez par la suite sssd :
[root@ldap-client ~]# systemctl restart sssd.service
Test du connexion via l’utilisateur LDAP :
Essayez de vous connecter via un utilisateur déja créés sur votre serveur openldap,
login as: user1 user1@192.168.2.5's password: [user1@Serverldap ~]#
nmap : les 12 commandes que vous devez connaître
Protocole du routage
Résoudre l’erreur : WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!
Comment installer Nginx on Rocky Linux 9
Fail2Ban : How to protect Linux services