Installation de pam-ldap avec Google Authenticator
Nous avons vu dans les précendents articles : Découverte Google Authenticator et Installation de Freeradius avec Google Authenticator comment commencer à mettre en place notre solution de “2-factor authentication”.
Nous allons aborder dans cet article un sujet relativement mieux traité sur internet : la mise en place de la du module PAM LDAP.
Installation de PAM LDAP
On commence tout d’abord à installer le module PAM LDAP.
# apt-get install libnss-ldap libpam-ldap
Debconf va vous demander plusieurs fois pour configurer /etc/pam_ldap.conf et /etc/libnss-ldap.conf
- L’URI de votre annuaire
- Votre base DN
- La version du protocole à utiliser v3 / v2
- Le DN d’un utilisateur admin de votre annuaire
- Son mot de passe
Il vous reste maintenant à définir dans /etc/nsswich.conf les formats files et ldap :
passwd: ldap files group: ldap files
Voila, en tapant un simple “# getent passwd” vous devriez avoir vos utilisateurs systèmes et ldap qui s’affichent si ceux-ci ont l’objectClass posixAccount.
Il vous suffit enfin de compléter la configuration de votre module PAM radiusd :
# cat /etc/pam.d/radiusd auth required pam_google_authenticator.so forward_pass auth sufficient pam_ldap.so use_first_pass auth sufficient pam_unix.so use_first_pass
Vous devriez pouvoir tester avec succès l’authentification d’un utilisateur LDAP avec la commande radtest (voir billet précédent).
Il ne vous reste plus qu’à aller voir la configuration de LemonLDAP::NG pour avoir un WebSSO avec une authentification à 2 facteurs.