Installation de pam-ldap avec Google Authenticator

Nous avons vu dans les précendents articles : Découverte Google Authenticator et Installation de Freeradius avec Google Authenticator comment commencer à mettre en place notre solution de “2-factor authentication”.

Nous allons aborder dans cet article un sujet relativement mieux traité sur internet : la mise en place de la du module PAM LDAP.

Installation de PAM LDAP

On commence tout d’abord à installer le module PAM LDAP.

# apt-get install libnss-ldap libpam-ldap

Debconf va vous demander plusieurs fois pour configurer /etc/pam_ldap.conf et /etc/libnss-ldap.conf

• L’URI de votre annuaire
• Votre base DN
• La version du protocole à utiliser v3 / v2
• Le DN d’un utilisateur admin de votre annuaire
• Son mot de passe

Il vous reste maintenant à définir dans /etc/nsswich.conf les formats files et ldap :

passwd:         ldap files
group:          ldap files

Voila, en tapant un simple “# getent passwd” vous devriez avoir vos utilisateurs systèmes et ldap qui s’affichent si ceux-ci ont l’objectClass posixAccount.

Il vous suffit enfin de compléter la configuration de votre module PAM radiusd :

# cat /etc/pam.d/radiusd
auth required pam_google_authenticator.so forward_pass
auth sufficient pam_ldap.so use_first_pass
auth sufficient pam_unix.so use_first_pass

Vous devriez pouvoir tester avec succès l’authentification d’un utilisateur LDAP avec la commande radtest (voir billet précédent).

Il ne vous reste plus qu’à aller voir la configuration de LemonLDAP::NG pour avoir un WebSSO avec une authentification à 2 facteurs.