Académique Documents
Professionnel Documents
Culture Documents
OpenLDAP et Authentification
Sommaire
1 Présentation de Service d’annuaire
1.1 Introduction
1.2 Caractéristiques
1.3 Avantages
1.4 Principales normes
2 Présentation de protocole LDAP
2.1 Protocole LDAP
2.2 Architecture LDAP
2.3 Session LDAP
2.4 Pourquoi utiliser LDAP ?
2.5 Annuaire LDAP ou Base de données?
2.6 Implémentations LDAP
3 Installation et configuration d’OpenLDAP
3.1 Caractéristiques d'OpenLDAP
3.2 Daemon et utilitaires d'OpenLDAP
3.3 Configuration d'OpenLDAP
3.4 Gestion de données dans OpenLDAP
3.5 Authentification LDAP depuis un client
3.6 Informations supplémentaires
Une méthode pour sécuriser les communications LDAP est d'utiliser un tunnel
TLS/SSL. Lors de l'emploi d'URL cet usage est traduit par le nom du protocole LDAPs en
remplacement de LDAP. Le port TCP standard pour LDAPs est 636.
2.4 Pourquoi utiliser LDAP ?
Le principal avantage du protocole LDAP réside dans la possibilité de réunir les
informations concernant toute une organisation dans un lieu central. De plus, puisque LDAP
prend en charge les fonctions SSL/TLS, des données confidentielles peuvent être protégées
contre toute intrusion.
LDAP prend aussi en charge diverses bases de données parallèles pour y enregistrer
des répertoires. Ainsi, les administrateurs disposent de la flexibilité nécessaire pour déployer
la base de données la plus adaptée au type d'informations que le serveur doit disséminer.
De plus, comme LDAP comporte une interface de programmation d'application (API)
bien définie, le nombre d'applications compatibles avec LDAP est vaste et croissant aussi
bien en quantité qu'en qualité.
2.5 Annuaire LDAP ou Base de données?
Pourquoi utilisons-nous un annuaire LDAP et pas une simple base de données ?
Un annuaire est un type de base de données spécifique, c'est-à-dire qu'il s'agit d'une sorte
de base de données ayant des caractéristiques particulières :
Un annuaire est prévu pour être plus sollicité en lecture qu'en écriture.
Les données sont stockées de manière hiérarchique dans l'annuaire, tandis
que les bases de données dites « relationnelles » stockent les
enregistrements de façon tabulaire.
Les annuaires doivent être compacts et reposer sur un protocole réseau léger.
Un annuaire doit comporter des mécanismes permettant de rechercher
facilement une information et d'organiser les résultats.
Les annuaires doivent pouvoir être répartis. Cela signifie qu'un serveur
d'annuaire doit comporter des mécanismes permettant de coopérer, c'est-à-
dire d'étendre la recherche sur des serveurs tiers si jamais aucun
enregistrement n'est trouvé.
Un annuaire doit être capable de gérer l'authentification des utilisateurs ainsi
que les droits de ceux-ci pour la consultation ou la modification de données.
2.6 Implémentations LDAP
Les implémentations LDAP / X.500 incluent:
Active Directory: service d'annuaire de Microsoft pour Windows, provenant du
répertoire X.500, créé pour être utilisé dans Exchange Server.
389 Directory Server: Implémentation gratuite du serveur Open Source par RedHat.
Red Hat Directory Server: Produit commercial s'exécutant sur Red Hat Enterprise
Linux en tant que projet 389 Directory Server pris en charge par la communauté. Le
projet open source en amont s’appelle FreeIPA.
Apache Directory Server: service d'annuaire, écrit en Java, prenant en charge LDAP,
Kerberos 5 et le protocole de modification du mot de passe; Certifié LDAPv3.
Apple Open Directory: serveur d'annuaire Apple pour Mac OS X, disponible via Mac
OS X Server.
eDirectory: la mise en œuvre des services d'annuaire par NetIQ prend en charge
plusieurs architectures, notamment Windows, NetWare, Linux et plusieurs versions
d'Unix. précédemment connu sous le nom de Novell Directory Services.
Oracle Internet Directory: (OID) est le service d'annuaire d'Oracle Corporation,
compatible avec LDAP version 3.
Serveur d'annuaire Sun Java System: service d'annuaire de Sun Microsystems.
OpenDS: service d'annuaire open-source en Java, soutenu par Sun Microsystems.
IBM Tivoli Directory Server: version personnalisée d'une ancienne version
OpenLDAP.
Les services d’annuaire Windows NT (NTDS), renommés ultérieurement Active
Directory, ont remplacé l’ancien système de domaine NT.
OpenLDAP: dérivée de la mise en œuvre LDAP originale de l’Université du Michigan,
elle prend en charge toutes les architectures informatiques (y compris les dérivés
Unix et Unix, Linux, Windows, z/OS et un certain nombre de systèmes embarquée
temps réel.
IBM Lotus Domino.
OpenDJ - un serveur LDAP et un client d'annuaire basé sur Java qui s'exécute dans
n'importe quel environnement d'exploitation, sous licence CDDL.
Note : Les outils Open Source permettant de créer des services d’annuaire comprennent
OpenLDAP, le protocole Kerberos et le logiciel Samba, qui peuvent fonctionner en tant que
contrôleur de domaine Windows avec des back-end Kerberos et LDAP.
L'administration se fait par GOsa², PHPLDAPAdmin, Apache Directory Server,
FusionDirectory, Jxplorer, ou Samba SWAT.
3 Installation et configuration d’OpenLDAP
3.1 Caractéristiques d'OpenLDAP
OpenLDAP comprend un certain nombre de caractéristiques importantes parmi
lesquelles figurent :
Prise en charge de LDAPv3 : OpenLDAP prend en charge SASL (Simple Authentication
and Security Layer), TLS/SSL entre autres améliorations. De nombreux changements
apportés au protocole depuis LDAPv2 visent à augmenter la sécurité de LDAP.
Prise en charge d’IPv6 : OpenLDAP prend en charge le protocole de la prochaine
génération, Internet Protocol version 6.
LDAP sur IPC : OpenLDAP peut communiquer au sein d'un système en utilisant IPC
(InterProcess Communication). Il en résulte une sécurité améliorée car il n'est plus
nécessaire de communiquer à travers un réseau.
Mise à jour de C API : Améliore la manière dont les programmeurs se connectent aux
serveurs de répertoires LDAP et les utilisent.
Amélioration du serveur autonome LDAP : À présent le serveur inclut entre autres
un système de contrôle d'accès mis à jour, un pool de conversation et des outils plus
performants.
Prise en charge de LDIFv1 : Grâce à cette prise en charge, OpenLDAP 2.0 est
pleinement compatible avec la version 1 du format LDIF (LDAP Data Interchange
Format).
3.2 Daemon et utilitaires d'OpenLDAP
3.2.1 Installation des paquetages
La suite de bibliothèques et d'outils OpenLDAP est incluse dans les paquetages suivants :
openldap — Contient les bibliothèques nécessaires pour faire fonctionner le serveur
OpenLDAP et les applications clientes.
openldap-clients — Contient les outils de ligne de commande pour visualiser et
modifier les répertoires d'un serveur LDAP.
openldap-servers — Contient les serveurs et autres utilitaires nécessaires pour
configurer et faire fonctionner un serveur LDAP.
3.2.2 Daemon OpenLDAP
Slapd est le démon LDAP autonome. Il écoute les connexions LDAP sur un nombre
quelconque de ports (389 par défaut), en réponse aux opérations LDAP qu'il reçoit sur ces
connexions.
# service slapd status
slapd est généralement appelé au démarrage, généralement à partir de /etc/rc.local.
Explication :
Le premier niveau nommé (organization - o), il s'agit de l'entreprise de la
personne.
Le deuxième niveau, contient les unités d’organisation qui vont contenir les
objets :
o L’unité d’organisation People va contenir les objets utilisateurs ;
o L’unité d’organisation machines va contenir les objets ordinateurs ;
o L’unité d’organisation Applications va contenir les objets relier aux
applications;
o L’unité d’organisation Groups va contenir les objets groupes utilisateurs.
Créez un fichier base.ldif, qui va nous aider à initier notre annuaire LDAP avec les
entrées suivantes :
# vim base.ldif
dn: dc=ismontic,dc=ma
objectclass: dcObject
objectclass: organization
o: ismontic
dc: ismontic
dn: uid=ld-user02,ou=people,dc=ismontic,dc=ma
objectClass: top
objectClass: posixAccount
objectClass: inetOrgPerson
cn: ld-user02
sn: sn-user02
givenName: gn-user02
mail: ld-user02@ismontic.ma
telephoneNumber: 0665566778
uidNumber: 888
gidNumber: 999
homeDirectory: /home/guests/ld-user02
loginShell: /bin/bash
userPassword: {ssha}x
Chaque objectClass à sa propre attributs (Obligatoire et optionnel), et qui hérite des
attributs des autres objectClass. Par exemple inetOrgPerson hérite de l’objet Person.
La raison de travailler avec la classe d’objet posixAccount, est que nous voulions
avoir l’UID et GID qui va nous permet de s’identifier avec ces utilisateurs.
La classe d’objet Top est la classe racine.
Que l’arborescence suivant /home/guests/ld-user01/ doit exister sur le serveur.
Pour le groupe, en va créer un autre fichier ldif, qui va contenir les lignes suivantes :
# vim group_add.ldif
dn: cn=users,ou=groups, dc=ismontic,dc=ma
objectClass: top
objectClass: posixGroup
cn: users
gidNumber: 999
description: "groupe de test"
memberuid: ld-user01
memberuid: ld-user02
Importer les changements dans la base de données LDAP.
# ldapadd -x -D "cn=Manager, dc=ismontic,dc=ma" -W -f user_add.ldif
# ldapadd -x -D "cn=Manager, dc=ismontic,dc=ma" -W -f group_add.ldif
3.4.3 Création d’objets Machine
3.4.4 Rechercher ou lire des objets LDAP
Avec ldapsearch, fournit un outil de ligne de commande pour la recherche de
données au sein d'un annuaire LDAP et pour la lecture de données depuis ce dernier. Une
requête simple emploierait la syntaxe suivante :
# ldapsearch -x -b "dc=ismontic,dc=ma" "(objectClass=*)"
# ldapsearch -x -LLL -b "dc=ismontic,dc=ma" "(objectClass=person)"
L'option -b détermine la base de recherche, la section de l'arborescence au sein de
laquelle la recherche doit être menée.
L’option -x demande l'activation de l'authentification simple (Non SASL, s’il existe).
(objectClass=*) indique que tous les objets contenus dans l'annuaire doivent être lus,
c’est le paramètre par défaut.
L’option -LLL filtre le résultat de recherche à afficher.
o Un simple -L limite la sortie à LDIFv1.
o Un second -L désactive les commentaires.
o Un troisième -L désactive l'impression de la version LDIF.
o La valeur par défaut consiste à utiliser une version étendue de LDIF.
Autres exemples de recherche d’objet dans l’annuaire :
# ldapsearch -x -b "ou=people,dc=ismontic,dc=ma" "uid=ld-user01" mail
Récupère le mail de l’objet ld-user01.
# ldapsearch -x -b "dc=ismontic,dc=ma" -s base '(objectclass=*)' namingContexts -LLL
dn: dc=ismontic,dc=ma
Affiche le nom de domaine «DN (Distinguished Name) ».
Si on veut les DN de tous les objets de l’annuaire, mettez l’option « -s sub ».
Si on veut juste le DN de premier niveau de notre arborescence, mettez l’option « -s
one».
Si on veut juste les DN des objets enfant d’une arborescence, mettez l’option « -s
children».
3.4.5 Modification des objets LDAP
L'outil ldapmodify est fourni pour modifier le stock de données. La meilleure façon
pour ce faire consiste à modifier le fichier LDIF correspondant avant de transmettre ce fichier
modifié au serveur LDAP.
Pour mettre à jour les attributs du l’objet ld-user02, vous avez entre trois choix
{Mettre à jour, Ajouter, et/ou supprimer}. Pour faire cela, créer un fichier ldif nommé
usermod.ldif :
# vim usermod.ldif
dn: uid=ld-user02,ou=people,dc=ismontic,dc=ma
changetype: modify
replace: telephoneNumber
telephoneNumber: 212539955662
-
add: description
description: the world's most famous manager
-
delete: telephoneNumber
-
Importez le fichier modifié dans l'annuaire LDAP à l'aide de la commande suivante :
# ldapmodify -x -D "cn=Manager, dc=ismontic,dc=ma" -W -f usermod.ldif
Attention ! Vérifier qu’il n’y a pas d’espaces à la fin de chaque ligne, même dans le cas
d’une ligne vide, car il va empêcher les commandes « ldap* » de s’exécuter.
3.4.6 Renommer un objet LDAP
Créer un fichier uidmod.ldif, qui contient les lignes suivant :
dn: uid=ld-user02,ou=people,dc=ismontic,dc=ma
changetype: modrdn
newrdn: uid= ld-user03
deleteoldrdn: 0
Les valeurs de l’attribut « DeleteOldRDN » sont:
0 - FAUX - indique que le RDN doit être conservé en tant qu'attribut distinct,
l'ancienne valeur d'attribut RDN est conservée sur l'entrée LDAP.
o 0 - FALSE est la valeur par défaut (si aucune valeur n'est présente, ou si des
valeurs illégales sont présentes).
1 - VRAI - indique que le RDN ne doit PAS être conservé, car l'ancienne valeur
d'attribut RDN est supprimée de l'entrée LDAP
Importez le fichier modifié dans l'annuaire LDAP à l'aide de la commande suivante :
# ldapmodify -x -D "cn=Manager, dc=ismontic,dc=ma" -W -f uidmod.ldif
3.4.7 Déplacer un objet LDAP
Si vous devez déplacer l'entrée vers un nouvel emplacement, un paramètre
supplémentaire pour changegetype: modrdn est l'option « newsuperior: ». Lorsque vous
utilisez cette option, vous pouvez spécifier un nouvel emplacement sur le DIT vers lequel
déplacer l’entrée. Cela placera l'entrée sous le DN parent spécifié lors de la modification.
# vim rdnmove.ldif
# dn: uid=ld-user03,ou=people,dc=ismontic,dc=ma
changetype: modrdn
newrdn: uid= ld-user03
deleteoldrdn: 0
newsuperior: ou=Applications,dc=ismontic,dc=ma
3.4.8 Modifier le mot de passe
Pour modifier le mot de passe de l’utilisateur ld-user02, il faut utiliser la commande
client « ldappasswd » comme suite :
# ldappasswd -x -D "cn=Manager,dc=ismontic,dc=ma" -W -s nouv_MDP "uid=ld-user03,ou=
Applications,dc=ismontic,dc=ma"
Ou:
# ldappasswd -x -D "cn=Manager,dc=ismontic,dc=ma" -W -S "uid=ld-user03,ou=
Applications,dc=ismontic,dc=ma"
3.4.9 Suppression des objets LDAP
Pour supprimer les entrées d’un annuaire LDAP, il faut utiliser la commande
ldapdelete. Par exemple, pour supprimer l'entrée complète de ld-user02, utilisez la
commande suivante :
# ldapdelete -x -D "cn=Manager,dc=ismontic,dc=ma" -W
"uid=ld-user03,ou=Applications,dc=ismontic,dc=ma"
3.5 Authentification LDAP depuis un client
3.5.1 Prérequis
L'utilisation de LDAP pour la gestion des comptes Unix requiert plusieurs composants:
PAM, NSS et un schéma LDAP adéquat, reconnu par pam_ldap et nss_ldap.
Pour faire cela, la machine cliente doit avoir les paquetages suivants :
nss-pam-ldapd-0.7.5-32.el6.i686
pam_ldap-185-11.el6.i686
sssd-ldap-1.13.3-56.el6.i686
sssd-client-1.13.3-56.el6.i686
openldap-2.4.40-16.el6.i686
3.5.1.1 NSS
NSS (Name Service Switch, commutateur de services de nommages), permet de
fournir à Unix non des services d'authentification, mais des services de correspondances
« mappage » entre noms, de toutes sortes (noms de machines et noms d'utilisateurs
intelligibles par l'homme, par exemple), et les identifiants de ces mêmes objets pour la
machine local (adresses IP et UID/GID).
NSS, comme PAM, est composée de greffons sous formes de bibliothèques
dynamiques, Le paramétrage est plus limité, non unifié entre eux (au contraire de PAM), et
se fait principalement dans /etc/nsswitch.conf.
3.5.1.2 PAM et LDAP
Le module pam_ldap permet aux applications fonctionnant avec PAM d'authentifier
les utilisateurs en utilisant les informations stockées dans une base LDAP. Les applications
fonctionnant avec PAM comprennent la connexion console, les serveurs de messagerie POP
et IMAP ainsi que Samba.
En déployant un serveur LDAP sur votre réseau, toutes ces applications peuvent, pour
leur authentification, utiliser la même combinaison identifiant d'utilisateur/mot de passe, ce
qui simplifie considérablement l'administration.
3.5.1.3 SSSD
Le démon de services de sécurité système (SSSD) fournit un ensemble de démons
permettant de gérer l'accès aux répertoires distants et aux mécanismes d'authentification. Il
fournit des interfaces NSS (Name Service Switch) et des modules PAM vers le système, ainsi
qu'un système dorsal enfichable pour se connecter à plusieurs sources de compte
différentes.
Le principal avantage en comparaison avec nss_ldap est que les informations
d'authentification restent dans le cache et que l'authentification peut néanmoins continuer à
se faire, même en mode déconnecté (quand le serveur n'est plus accessible).
SSSD fournit les fonctions suivantes :
Résolution d'identité - module NSS ;
Authentification - Module PAM ;
Mise en cache pour un accès hors connexion et un traitement réduit de la
base de données ;
Multiples sources en configuration unique (sources communes: LDAP, AD,
KRB).
Voici le diagramme de fonctionnalité SSSD :
Vous remarquez que le daemon sssd va démarrer pour prendre les nouvelles
configurations après que vous cliquiez sur « Appliquer »:
Starting sssd: [ OK ]
Attention ! N’oublier pas, qu’il faut activer le port 636 (LDAPS://) sur le serveur
LDAP, à partir de fichier /etc/sysconfig/ldap :
serveur# vim /etc/sysconfig/ldap
...
SLAPD_LDAPS=yes
...
Vérifier les ports ouverts de LDAP:
# netstat -tunlp | grep slapd
tcp 0 0 0.0.0.0:389 0.0.0.0:* LISTEN 64175/slapd
tcp 0 0 0.0.0.0:636 0.0.0.0:* LISTEN 64175/slapd
tcp 0 0 :::389 :::* LISTEN 64175/slapd
tcp 0 0 :::636 :::* LISTEN 64175/slapd
Notez qu’à chaque modification des attributs de l’utilisateur LDAP, vous devez vider
la cache sssd de la machine cliente pour recevoir les nouvelles valeurs.
# service sssd stop
# rm -f /var/lib/sss/db/*
# service sssd start
Vérifier maintenant l’existence de l’utilisateur ld-user01 depuis la machine cliente avec :
# getent passwd ld-user01
On trouve que la commande ne donne aucune information sur cet utilisateur.
Après l’utilisation de Wireshark pour vérifier les requêtes envoyés depuis le client
LDAP, on constate que durant la session TLS le serveur réinitialise la connexion TCP
directement après que le client envois un Hello TLS. Dans notre cas, c’est normal
puisque on n’a pas implémenté dans notre configuration les fichiers de certificat TLS.
Pour travailler sans TLS, on va demander au service SSSD de client LDAP, de passer l’étape de
vérification de certificat TLS envoyé par le serveur, même si ces certificats sont faux ou
manquante. Pour faire cela on va ajouter l’option « ldap_tls_reqcert » dans le fichier de
configuration /etc/sssd/sssd.conf et dans la section [domain/default].
# vim /etc/sssd/sssd.conf
[domain/default]
autofs_provider = ldap
cache_credentials = True
ldap_search_base = dc=ismontic,dc=ma
krb5_realm = EXAMPLE.COM
krb5_server = kerberos.example.com
id_provider = ldap
auth_provider = ldap
chpass_provider = ldap
ldap_uri = ldaps://ldapserver.ismontic.ma
ldap_id_use_start_tls = False
ldap_tls_cacertdir = /etc/openldap/cacerts
ldap_tls_reqcert = allow
[sssd]
services = nss, pam, autofs
domains = default
[nss]
homedir_substring = /home
[pam]
[sudo]
[autofs]
[ssh]
[pac]
[ifp]
Les valeurs possibles pour l’option « ldap_tls_reqcert » sont :
never: Le client ne demandera ni ne vérifiera aucun certificat de serveur.
allow : Le certificat de serveur est demandé. Si aucun certificat n'est fourni, la
session se déroule normalement. Si un mauvais certificat est fourni, il sera ignoré
et la session se déroulera normalement.
try : Le certificat de serveur est demandé. Si aucun certificat n'est fourni, la session
se déroule normalement. Si un mauvais certificat est fourni, la session est
immédiatement terminée.
demand | hard : Ces mots clés sont équivalents. Le certificat de serveur est
demandé. Si aucun certificat n'est fourni ou si un mauvais certificat est fourni, la
session est immédiatement terminée. Ce sont les paramètres par défauts.
# getent passwd ld-user01
ld-user01:*:999:999:ld-user01:/home/guests/ld-user01:/bin/bash
3.5.2.4 Accès au dossier personnel de l’utilisateur
Dans cette étape, malgré qu’on soit capable de s’authentifier avec l’utilisateur
ld-user01, nous recevons une erreur disant que le système ne trouve pas le dossier
personnel de cet utilisateur.
$ su - ld-user01
Mot de passe :
su: avertissement : impossible d'aller dans le répertoire /home/guests/ld-user01: Aucun
fichier ou dossier de ce type
-bash-4.1$
Pour surmonter ce problème, on va partager un dossier depuis le serveur via NFS, et
qui va être l’emplacement des dossiers personnel de tous les utilisateurs LDAP.
3.5.2.5 Partage NFS
Depuis le serveur LDAP, suivre les étapes présentées ci-dessous :
serveur# vim /etc/exports
/home/guests/ @IP/Préfix(rw,sync,no_root_squash)
serveur# service nfs restart
serveur# showmount -e nom_serveur.nom_domaine.tld
3.5.2.6 Point de montage NFS
Rappelons, que le montage manuel ou par « fstab » à plusieurs inconvénients:
Le principal, c'est qu'il n'est pas toujours possible de rendre le montage automatique.
Il est censé l'être si vous ne spécifiez pas "noauto" dans les options de montage dans
/etc/fstab. Cependant, si lors du montage vous n'êtes pas encore connecté (en wifi
par exemple), alors il ne se fait pas, et il faut l'effectuer manuellement (de même que
le démontage).
Un autre inconvénient, moins important, est que les dossiers restent montés et
consomment des ressources même si vous ne les utilisez pas.
Si vous éteignez l'ordinateur qui partage ses données, les autres ordinateurs auront
des difficultés à gérer la situation (Par exemple, le « shutdown » qui bloque à cause
d'un ancien montage NFS).
D'autre part les montages réalisés à partir de nautilus (ou files) ne sont pas visibles
dans les autres applications comme Firefox, shotwell, ….
La solution, c’est AutoFS permet de résoudre ces problèmes.
AutoFS contrôle les opérations des démons d'automount.
Les démons d'automount montent automatiquement des systèmes de fichiers quand
ils sont employés et les démontent après une période d'inactivité. Ceci est fait en se
basant sur un ensemble de cartographies (maps) préconfigurées.
Les fichiers de configuration autofs sont organisés selon une relation parent-enfant. Le
fichier de configuration principal (/etc/auto.master) énumère des points de montage sur le
système qui sont liés à un type de correspondance (map type) particulier.
Ajouter la ligne suivant au fichier /etc/auto.master
#
# Sample auto.master file
# This is a 'master' automounter map and it has the following format:
# mount-point [map-type[,format]:]map [options]
# For details of the format look at auto.master(5).
#
/misc /etc/auto.misc
/home/guests/ /etc/auto.guests --timeout 60
.......
--timetout n, qui indique au bout de combien de temps d'inactivité (Secondes) le
système de fichiers sera démonter.
Ensuite vous allez créer un fichier /etc/auto.guests, et qui va contenir la ligne suivant :
* -rw ldapserver.ismontic.ma:/home/guests/&
La ligne est de format suivant :
</local/directory> -<options> <server>:</remote/export>
Cette ligne stipule que tout répertoire auquel un utilisateur tente d'accéder dans
le répertoire /home/guests/ local (En raison de *), devrait entraîner un montage
NFS sur le système « ldapserver.ismontic.ma» au point de montage
/home/guests/.
Le caractère * se substitue au nom d'utilisateur qui sert aussi à désigner son
répertoire à partir de la racine exportée par le système de fichier réseau NFS : le
caractère &.
o Autres exemples de contenu de fichier de mappage :
ld-user01 ldapserver.ismontic.ma:/home/guests/ld-user01
ld-user01 ldapserver.ismontic.ma:/home/guests/ld-user02
* ldapserver.ismontic.ma:/home/guests/&
Actualiser les Maps de daemon Asutofs:
# service autofs reload
Vérifier avec:
client# showmount -e ldapserver.ismontic.ma
client# mount
Reste une dernière option d’authentification à configurer, qui a pour rôle de créer le
répertoire personnel de l’utilisateur lors de son première connexion.
Depuis la machine cliente, entrer la commande suivant : client# authconfig-gtk