13.7. Configuration d'un système pour l'authentification avec OpenLDAP
Cette section donne un bref aperçu de la manière de configurer l'authentification des utilisateurs à l'aide d'OpenLDAP. À moins d'être un expert d'OpenLDAP, vous aurez probablement besoin de plus de documentation que vous n'en trouverez ici. Reportez-vous aux références fournies dans la Section 13.9 pour obtenir davantage d'informations.
- Installez les paquetages LDAP nécessaires
Commencez par vérifier que les paquetages appropriés sont installés aussi biensur le serveur LDAP et que sur les machines LDAP clientes. Le serveur LDAP nécessite le paquetage openldap-servers.
Les paquetages openldap, openldap-clients et nss_ldap doivent être installés sur tous les ordinateurs clients LDAP.
- Éditez des fichiers de configuration
Sur le serveur LDAP, éditez le fichier /etc/openldap/slapd.conf pour vous assurer qu'il correspond bien aux éléments spécifiques de votre organisation. Pour obtenir des instructions sur la manière d'éditer slapd.conf, reportez-vous à la Section 13.6.1.
Sur les ordinateurs clients, /etc/ldap.conf et /etc/openldap/ldap.conf doivent contenir le bon serveur et les bonnes informations de la base de recherche pour l'organisation.
Pour ce faire, lancez l'Outil de configuration d'authentification graphique (system-config-authentication) et sélectionnez Activer le support LDAP sous l'onglet Informations utilisateur.
Vous pouvez également modifier ces fichiers manuellement.
Sur les ordinateurs clients, le fichier /etc/nsswitch.conf doit être édité afin de pouvoir utiliser LDAP.
Pour ce faire, lancez l'Outil de configuration d'authentification (system-config-authentication) et sélectionnez Activer le support LDAP sous l'onglet Informations utilisateur.
Si vous éditez /etc/nsswitch.conf manuellement, ajoutez ldap aux lignes appropriées.
Comme par exemple :
passwd: files ldap shadow: files ldap group: files ldap
13.7.1. PAM et LDAP
Pour faire en sorte que des applications compatibles avec PAM standards utilisent LDAP pour l'authentification, exécutez l'Outil de configuration d'authentification (system-config-authentication) et sélectionnez Activer le support LDAP sous l'onglet Authentification. Pour obtenir davantage d'informations sur la configuration de PAM, consultez le Chapitre 16 et les pages de manuel de PAM.
13.7.2. Migration de vos anciennes informations d'authentification vers le format LDAP
Le répertoire /usr/share/openldap/migration/ contient un ensemble de scripts shell et Perl pour la migration des informations d'authentification vers un format LDAP.
 | Remarque |
|---|---|
Perl doit être installé sur votre système pour que vous puissiez utiliser ces scripts. |
Tout d'abord, modifiez le fichier migrate_common.ph de manière à ce qu'il reflète le domaine approprié. La valeur par défaut du domaine DNS par défaut devrait être modifiée de manière semblable à l'extrait suivant :
$DEFAULT_MAIL_DOMAIN = "example"; |
La base par défaut devrait également être changée, pour ressembler à ceci :
$DEFAULT_BASE = "dc=example,dc=com"; |
Le travail de migration d'une base de données d'utilisateurs vers un format lisible par LDAP incombe à un groupe de scripts de migration installés dans le même répertoire. À l'aide du Tableau 13-1, déterminez le script à utiliser pour la migration de base de données d'utilisateurs.
Exécutez le script approprié en fonction du service de noms existant.
Les fichiers README et migration-tools.txt du répertoire /usr/share/openldap/migration/ fournissent davantage de renseignements sur la migration d'informations.
| Service de noms existant | LDAP fonctionne-t-il ? | Script à utiliser |
|---|---|---|
| Fichiers /etc | oui | migrate_all_online.sh |
| Fichiers /etc | non | migrate_all_offline.sh |
| NetInfo | oui | migrate_all_netinfo_online.sh |
| NetInfo | non | migrate_all_netinfo_offline.sh |
| NIS (YP) | oui | migrate_all_nis_online.sh |
| NIS (YP) | non | migrate_all_nis_offline.sh |
Tableau 13-1. Scripts de migration LDAP