Cours du 23 Juin 2020

ESP

Utilisation de gestionnaire d’information de Linux NSS et de module d’authentification PAM

Objectif :
Faire en sorte que les utilisateurs définis dans LDAP se connectent sur les machines
de l’entreprise

Démarche :

1- Comprendre le rôle du service NSS dans la gestion des informations sous LINUX
2- Configurer le service NSS pour qu’il utilise LDAP
3- Comprendre le rôle du module d’ authentification PAM
4- configurer le module PAM pour la création automatique des répertoires
de base des utilisateurs

Conclusion :
Grace à LDAP NSS et PAM, nous avons mis en place un contrôleur de domaine sous LINUX

Remarques : La configuration de NSS et PAM se fait où ?

1- Le service NSS
Nss est un service sous Linux qui gère les informations telles que :
• Comptes utilisateurs ( où trouver les comptes des utilisateurs?)
• groupes des utilisateurs ( où trouver les groupes des utilisateurs?)
• mot de passe des utilisateurs( où trouver les mots de passe des utilisateurs ?)

NSS peut gerer plusieus bases d’info à la fois parmi lesquelles on peut citer :
• le contenu de /etc/passwd qui contient les informations sur les comptes utilisateurs
• le contenu de /etc/group/ qui contient les informations sur le groupes des utilisateurs
• le contenu du fichier /etc/shadow qui contient
les informations de politique de mot de passe et de comptes
• LDAP

Le fichier de configuration de NSS est : /etc/nsswitch.conf

2- configuration de NSS pour l’utilisation de LDAP

La configuration de NSS se fait en plusieurs etapes ;
• La premiere est l’activation de la prise de compte de LDAP dans le fichier
/etc/nsswitch.conf

passwd: compat systemd ldap

group: compat systemd ldap
 shadow: compat ldap
gshadow: files
• Installer le module libnss-ldap permettant à NSS de se connecter à un annuaire LDAP

TEST de prise en charge des utilisateurs LDAP par mon systeme

Il ya deux commandes Linux permettant de demander des informations sur les utilisateurs et
groupes linux :
getent passwd
getent group

3- Le module d’authentification permet à l’administrateur d’une machine Linux d’indiquer

les bases d’information d’authentification et de dire à Linux ce qu’il faut faire si l’utilisateur
qui est authentifié n’a pas de répertoire de base

4- Comment paramétrer PAM ?

La configuration se fait en plusieurs etapes :
• Installer le module libpam-ldap permettant à PAM de se connecter à un annuaire LDAP
• on precise à PAM de créer le repertoire de base des utilisateurs en activant le module
pam_mkhomedir.so

le fichier /etc/ldap.conf est crée et doit contenir les info de connexion de PAM à LDAP

base dc=esp,dc=sn
uri ldap://127.0.0.1
rootbinddn cn=admin,dc=esp,dc=sn

NB le fichier contenant le mot de passe de l’administrateur de LDAP est :

/etc/ldap.secret

on doit editer cefichier pour y mettre le mot de passe de l’administrateur

Enfin , on edite le fichier /etc/pam.d/common-session

et on ajoute à la fin, la ligne :

session optional pam_mkhomedir.so