client ldap

Configuration du LDAP Client sur CentOS

LDAP (Lightweight Directory Access Protocol) est un ensemble de protocoles standard et largement utilisé pour accéder aux services d’annuaire.

Dans cet article nous allons voir comment ajouter un client Ldap à un serveur OpenLdap sur CentOS. Vous devez avoir un serveur OpenLDAP déja installé et configuré, si ce n’est le pas le cas référez-vous aux articles ci-dessous :

Installer les paquages client d’Openldap :

[root@clientldap ~]# yum install authconfig authconfig-gtk openldap-clients sssd oddjob-mkhomedir

Configurer LDAP client :

Certificat :

Si votre serveur OpenLDAP contient un certificat (/etc/openldap/cacerts/ca.cert.pem) vous deviez la copier vers la machine client dans même emplcement :

[root@clientldap ~]# ll /etc/openldap/cacerts/
total 0
-rw-r--r--. 1 root root 0 Aug 28 09:28 ca.cert.pem

Dans cet article je vais présenter deux méthode pour configiurer le client :

Methode 1:

taper la commande authconfig-tui :

[root@clientldap ~]# authconfig-tui
authconfig

Sélectionnez « Use LDAP » et « Use LDAP Authentication », cliquer ensuite sur Next :

tks

Remplissez les champs ci-dessous par les informations qui vous correspond :

L'adresse ip du serveur LDAP : 192.168.2.5
Base DN : dc=site, dc=com

Si votre serveur utilise un certificat TLS pour l’authentification vous deviez selectinner « Use TLS ».

Un fois cliqué sur « OK », les informatios fournies seront ajouté automatiquement dans le fichier /etc/ :

[root@clientldap ~]# cat /etc/openldap/ldap.conf
.
.
.
#This file should be world readable but not world writable.
#BASE dc=example,dc=com
#URI ldap://ldap.example.com ldap://ldap-master.example.com:666
#SIZELIMIT 12
#TIMELIMIT 15
#DEREF never
TLS_CACERTDIR /etc/openldap/cacerts
#Turning this off breaks GSSAPI used with krb5 when rdns = false
#SASL_NOCANON on
URI ldap://192.168.2.5/
BASE dc=sysreseau,dc=net

Methode 2:

Vous pouvez aussi configurer ldap client avec authconfig en utilisatnt la commande ci-dessous :

[root@ldap-client ~]# authconfig --enableldap --enableldapauth --ldapserver=192.168.2.5 --ldapbasedn="dc=sysreseau,dc=net" --enableldaptls --update

Création automatique de répertoire home :

Nous allons utiliser oddjob-mkhomedir pour créer automatiquement le répertoire home pour chaque client connecté au serveur OpenLDAP.

Modifier la configuration PAM pour utiliser le module pam_oddjob_mkhomedir, pour cela ajouter la ligne ci-dessous à la fin du fichier /etc/pam.d/system-auth :

[root@clientldap ~]# cat /etc/pam.d/system-auth
%PAM-1.0
This file is auto-generated.
User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
auth required pam_faildelay.so delay=2000000
.
.
.
.
-session optional pam_systemd.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_sss.so
session required pam_oddjob_mkhomedir.so

Ensuite démarrer le service oddjobd.service :

[root@clientldap ~]# systemctl enable oddjobd.service --now

tapez ensuite la commande ci-dessous :

[root@ldap-client ~]# authconfig --enablemkhomedir --updateall

Et redémarrez par la suite sssd :

[root@ldap-client ~]# systemctl restart sssd.service

Test du connexion via l’utilisateur LDAP :

Essayez de vous connecter via un utilisateur déja créés sur votre serveur openldap,

login as: user1 
user1@192.168.2.5's password: 
[user1@Serverldap ~]#