[Debian] Authentification SSH via LDAP
Voici un rapide article pour vous expliquer comment s'authentifier sur vos machines Linux à travers votre serveurs LDAP...
Pour cet article, j'ai utilisé le paquet "slapd" de Squeeze, à savoir la version 2.4.23-7.2 qui est actuellement dans les dépôts. Pour ma part, j'ai installé cet environnement en local seulement, ne soyez donc pas étonnés de retrouver une adresse en .lan...
Commençons par installer le paquet suivant :
apt-get install libpam-ldapd
Voici ce qu'il faut répondre aux questions (à adapter en fonction de votre serveur bien sûr) :
URI du serveur LDAP : ldap://infra.dom.lan
Base de recherche du serveur LDAP : dc=dom, dc=lan
Services de nom à configurer : Pour ma part, j'ai coché group, hosts, et shadown pour synchroniser les utilisateurs, leurs mots de passe et les groupes. Si vous voulez reconfigurer cette partie plus part, éditez le fichier /etc/nsswitch.conf
Normalement c'est bon, vous devriez pouvoir vous authentifier avec votre utilisateur LDAP ;).
Si vous voulez que le home paramétré dans votre LDAP soit créé lors de la 1ère connexion de votre utilisateur, ajoutez cette ligne au fichier /etc/pam.d/common-session :
session required pam_mkhomedir.so skel=/etc/skel umask=0022
Pour autoriser la connexion seulement si l'utilisateur appartient à un certain groupe, dans le fichier /etc/pam.d/common-auth, décommentez la ligne suivante :
auth required pam_access.so
Et ajoutez cette ligne au fichier /etc/security/access.conf :
-:ALL EXCEPT root usersallowed:ALL EXCEPT LOCAL
usersallowed est le groupe LDAP que vous souhaitez autoriser uniquement ;).
Pour relancer le cache LDAP sur le client, relancez le démon nscd : /etc/init.d/nscd restart.