LO51. Administration de systèmes UNIX. Sujet : Installation d un annuaire LDAP avec Samba et NFS

Transcription

1 Anthoni GUENOT Thomas AGNIEL Emeric MICHEL Paul PERROS GI04 LO51 Administration de systèmes UNIX Sujet : Installation d un annuaire LDAP avec Samba et NFS Reponsable de l UV : M. Galland Semestre : Printemps 07

2 Sommaire Introduction... 4 Préambule Installation du serveur OpenLDAP Installation Modification du fichier slapd.conf Installation du serveur SAMBA Schéma Samba Installation de Samba Configuration de Samba Fichier smb.conf Création des dossiers partagés Configuration de smbldap tools Fichier smbldap_bind.conf Fichier smbldap.conf Fichier hosts.allow Utilisation des scripts samba et smbldap tools smbpasswd smbldap populate Insertion d un utilisateur Serveur pour authentification UNIX Name Service Switch Installation Page 2

3 libnss ldap.conf PAM LDAP Installation Network File System Client Windows Connexion à LDAP avec un client Linux Installation des paquets La configuration de nsswitch.conf Test de la configuration de nsswitch.conf avec getent Configuration de PAM etc/pam.d/common account etc/pam.d/common auth etc/pam.d/common password Création automatique du répertoire home à la première connexion Ajout du point de montage automatique Installation rapide Installation du serveur Configuration de Deconf : Configuration de libnss ldap : Configuration libpam ldap : Installation du client Configuration de libnss ldap : Annexes Page 3

4 Introduction Ce document est un tutoriel expliquant la mise en place d une authentification à l aide d un serveur LDAP. Une fois le système déployé, chaque utilisateur pourra se loguer en utilisant l annuaire LDAP afin d accéder à son répertoire personnel flottant. L administrateur aura la possibilité de gérer les profils utilisateurs. Le tutoriel se décompose en deux parties distinctes. La première partie décrit une installation longue et personnalisée alors que la deuxième partie décrit une installation rapide avec des paramètres prédéfinis en utilisant deux scripts (client et serveurs). Page 4

5 Préambule Le tutorial a été réalisé sur une distribution Ubuntu (Feisty), cependant un grand nombre de distribution peut être utilisé (Kubuntu, Debian Etch, Debian Sarge ). Sur certaine distribution à base de Debian le niveau de priorité de Debconf possède la valeur «Elevée» réduisant ainsi le nombre de questions posées lors de l installation des différents paquets. Il est donc conseillé de baisser ce niveau à «Intermédiaire». dpkg-reconfigure debconf Choisissez "Dialogue" puis "Intermédiaire" Enfin, nous vous suggérons de mettre à jour votre distribution et de réaliser toutes les opérations en tant que super utilisateur. Page 5

6 Cette partie a pour but de décrire en détail la mise en place d une authentification LDAP à l aide Samba et NFS. 1- Installation du serveur OpenLDAP 1.1- Installation Les paquets nécessaires pour l'installation de OpenLDAP sont les suivants : slapd : contient la partie serveur de OpenLDAP db4.2 util : ce paquet fournit différents outils pour la manipulation d'une base de données Berkeley. C'est cette base de données que nous allons utiliser pour stocker toutes les informations. ldap utils : le paquet ldap utils fournit les commandes suivantes : ldapsearch : effectue une recherche au sein de l annuaire ldapadd : ajoute une entrée ldapdelete : supprime une entrée ldapmodify : modifie une entrée (ajoute/suppr. un attribut, ajoute/suppr. une entrée,...) ldapmodrdn : permet de modifier une entrée ldappasswd : modifie le mot de passe d une entrée LDAP ldapwhoami : affiche avec quel utilisateur le binding a eu lieu ldapcompare : permet de comparer l attribut d une entrée à une valeur spécifiée Chaque commande cliente utilise le protocole LDAP pour agir sur l annuaire. Elles peuvent donc, cette fois ci, être utilisées à distance. apt-get install slapd db4.2-util ldap-utils Questions posées lors de l'installation des paquets : Voulez vous omettre la configuration de OpenLDAP? NON Nom de domaine : lo51 Les données LDAP sont structurées dans une arborescence hiérarchique comparable au système de fichier UNIX. Dans notre exemple nous aurons : dc = lo51 Nom de votre organisation (n'influe pas sur la suite de l'installation) : GI Mot de passe de l'administrateur Faut il autoriser le protocole LDAPv2? NON Les fonctionnalités de LDAPv2 ne sont pas indispensables pour faire fonctionner LDAP. Page 6

7 1.2- Modification du fichier slapd.conf L intégralité de la configuration du serveur OpenLDAP (le démon slapd) s effectue en modifiant le fichier slapd.conf, situé dans le répertoire /etc/lapd/ Éditer le fichier slapd.conf avec l'éditeur de votre choix. Dans notre exemple, nous utiliserons Gedit. gedit /etc/ldap/slapd.conf Chercher ces lignes dans le fichier slapd.conf # The base of your directory in database #1 suffix "dc=lo51" Décommenter (en enlevant le #) ou ajouter la ligne suivante : rootdn "cn=admin,dc=lo51 " roodn défini le nom de l'administrateur dans l annuaire LDAP. Création et utilisation d'un mot de passe crypté : Il est conseillé d ajouter un mot à l administrateur. Celui ci sera ajouté dans le fichier de configuration. Pour des raisons de sécurité (méthode SSHA), va le crypter avec la commande slappasswd root@lo51:~# slappasswd New password: Re-enter new password: {SSHA}TZ7ptnU1SPPKlW6+Q9/PrHIMni+CcLML Ajouter maintenant sur la ligne suivant rootdn : rootpw {SSHA}jso956sZiopljlkjlkjkljf2M6iqrpMVV rootpw correspond au résultat de la commande slappaswd Un exemple de fichier slapd.conf est joint en annexe. On relance le serveur OpenLDAP : /etc/init.d/slapd restart Stopping OpenLDAP: slapd. Starting OpenLDAP: slapd. Page 7

8 2- Installation du serveur SAMBA Nous avons besoin d'installer Samba afin de permettre le partage de fichier et l'authentification dans un environnement Windows Schéma Samba Le schéma décrit des classes d'objets, les types des attributs et leur syntaxe. Chaque entrée de l'annuaire fait obligatoirement référence à une classe d'objet du schéma. Par défaut 4 schémas sont déjà présents : core, cosine, nis et inetorgperson. Pour utiliser Samba avec LDAP il faut inclure le schéma approprié. Installation : apt-get install samba-doc On copie le schéma dans le répertoire des schémas de LDAP : gunzip -c /usr/share/doc/samba-doc/examples/ldap/samba.schema.gz > /etc/ldap/schema/samba.schema Déclarer le schéma de samba dans slapd.conf, à la suite des autres déclarations : gedit /etc/ldap/slapd.conf Ajouter à la suite des autres déclarations au début du fichier : include /etc/ldap/schema/samba.schema Page 8

9 2.2- Installation de Samba Les paquets nécessaires pour l'installation de Samba sont les suivants : samba : installe le serveur Samba samba client : installe les composants clients de Samba et en particulier la commande smbclient (client similaire au ftp pour accèder à des ressources Samba). smbfs : Permet de monter des dossiers exportés depuis des machines Windows ou d'un serveur Samba. On installe les paquets : apt-get install samba smbclient smbfs Une partie ou l ensemble des questions suivantes vous sont posées : Entrer le groupe de travail : Nom_groupe_travail Voulez vous chiffrer le mot de passe : Chiffré Modifier smb.conf pour utiliser les paramètres wins fournis par DHCP : NON Comment voulez vous lancer Samba? Démons Faut il créer une base de données? Oui Entrer un nom de domaine : Nom_domaine Choisissez un nom de domaine de votre choix. Il n'a pas d'importance dans l'utilisation de LDAP. Page 9

10 2.3- Configuration de Samba Fichier smb.conf Le fichier de configuration du serveur SAMBA est : /etc/samba/smb.conf gedit /etc/samba/smb.conf Nous vous conseillons de vous inspirer du fichier de configuration que nous avons mis en annexe. Les lignes à personnaliser sont les suivantes : workgroup nom.de.domaine netbios name nom_de_votre_machine (si vous ne le connaissez pas utilisez la commande «hostname») ldap admin dn (nom complet de l administrateur dans l annuaire LDAP) ldap suffix Création des dossiers partagés Le fichier de configuration de Samba nous permet de partager un certain nombre de répertoire : /home/netlogon : ce répertoire contient les scripts qui sont exécutés à chaque connexion d'un utilisateur. /home/export/profile : contient les profils Windows de chaque utilisateur. /home/partage : partage commun à tous les utilisateurs du domaine /home/nomdelutilisateur : les répertoires personnels linux sont aussi partagés Il faut créer les répertoires que nous avons déclarés dans le fichier smb.conf : mkdir -p /home/netlogon mkdir -p /home/export/profile mkdir -p /home/partage On donne les droits aux répertoires: chmod a+w /home/export chmod a+w /home/export/profile chmod a+w /home/partage Page 10

11 2.4- Configuration de smbldap-tools smbldap tools fournit des scripts permettant d'administrer des comptes Unix et Samba stockés dans une base LDAP. apt-get install smbldap-tools Fichier smbldap_bind.conf Éditez ou créer le fichier /etc/smbldap tools/smbldap_bind.conf. Ce fichier contient les informations de connexions à l annuaire LDAP : gedit /etc/smbldap-tools/smbldap_binf.conf Ajouter à ce dernier les informations de connexions à l'annuaire LDAP : slavedn="cn=admin,dc=lo51 " slavepw=mot_de_passe_en_clair masterdn="cn=admin,dc=lo51" masterpw=mot_de_passe_en_clair N'oubliez pas de remplacer mot_de_passe_en_clair par votre mot de passe! Le mot de passe administrateur est écrit en clair. Afin de résoudre ce problème de sécurité, il est fortement conseillé de changer les droits de ce fichier pour d empêcher toute lecture de celui ci par une personne extérieur : chmod 600 /etc/smbldap-tools/smbldap_bind.conf Page 11

12 Fichier smbldap.conf Éditez ou créez le fichier /etc/smbldap tools/smbldap.conf et copiez ceci: # Local slaveldap=" " slaveport="389" masterldap=" " masterport="389" # On utilise pas TLS ldaptls="0" verify="require" # Suffixes LDAP suffix="dc=lo51,dc=utbm,dc=fr" usersdn="ou=users,${suffix}" computersdn="ou=machines,${suffix}" groupsdn="ou=groups,${suffix}" idmapdn="ou=idmap,${suffix}" scope="sub" # Algorithme de crypate du mot de passe : hash_encrypt="ssha" crypt_salt_format="%s" # Shell utilisateur : userloginshell="/bin/bash" # Home Directory : userhome="/home/%u" userhomedirectorymode="700" usergecos="system User" defaultusergid="513" defaultcomputergid="515" skeletondir="/etc/skel" defaultmaxpasswordage="45" # Mot de passe Samba with_smbpasswd="0" smbpasswd="/usr/bin/smbpasswd" # Mot de passe LDAP with_slappasswd="0" slappasswd="/usr/sbin/slappasswd" Fichier hosts.allow Pour permettre l authentification depuis un client Windows, nous allons créer le fichier hosts.allow : gedit /etc/hosts.allow lo51:all Puis on ajoute la ligne suivante : Page 12

13 2.5- Utilisation des scripts samba et smbldap-tools smbpasswd Permet de générer un mot de passe pour Samba. Le fichier /var/lib/samba/secrets.tdb stocke les différents mots de passe. On indique à samba le mot de passe du compte administrateur qui effectue les requêtes dans l annuaire LDAP. smbpasswd -w mot_de_passe_root On relance ensuite le serveur samba puis slapd: /etc/init.d/samba restart /etc/init.d/slapd restart smbldap-populate smbldap-populate Cette commande permet de remplir la base avec le schéma samba : Les différentes OU (Organisation Unit) qui contiendront vos Machines, Users et Groups Deux UID : root et nobody qui seront dans OU = Users Plusieurs CN (Common Name): Les groupes qui seront dans OU = Groups Insertion d un utilisateur La commande suivante permet de créer un compte utilisateur dans la base. smbldap-useradd a P m nom_utilisateur Page 13

14 3- Serveur pour authentification UNIX Par défaut UNIX utilise le fichier /etc/passwd pour l'authentification des utilisateurs. Cependant on peut ajouter d'autres sources de données. On va donc lui indiquer notre annuaire LDAP 3.1- Name Service Switch Name Service Switch (NSS) permet de «remplacer» certains fichier de configuration UNIX (/etc/passwd, /etc/group, /etc/hosts) avec une ou plusieurs base de données. Installation On ajoute un module à NSS qui permet l'interrogation de l'annuaire LDAP apt-get install libnss-ldap Les questions suivantes vous sont posées : Adresse du serveur LDAP : Nom distinctif (DN) de la base de recherche: dc=lo51 Version de LDAP: 3 Veuillez indiquer le compte qui sera utilisé pour les requêtes NSS avec les privilèges du super utilisateur : cn=admin,dc=lo51 La base de données demande t elle une identification? NON Privilèges LDAP spécifique pour super utilisateur? OUI Le fichier de configuration doit il être lisible et modifiable uniquement par son propriétaire? NON libnss-ldap.conf gedit /etc/libnss-ldap.conf Vous devez avoir votre nom de domaine et l adresse LDAP suivante : base dc=lo51 uri ldap:// / Par défaut, si la connexion au serveur LDAP échoue, celle ci est automatiquement relancée, le temps écoulé avant une nouvelle connexion est augmenté à chaque fois, si bien que votre Page 14

15 poste client n'arrive pas à booter (obligation de booter sur un live CD et de monter la partition système pour revenir à une configuration correcte). Il faut donc modifier le mode de connexion: Par défaut il est à HARD, on décommente la ligne #bind_policy hard et l'on remplace hard par soft Ainsi, en cas d'erreur, le poste pourra tout de même démarrer. Vous devez donc avoir dans /etc/libnss ldap.conf # Reconnect policy: # hard_open: reconnect to DSA with exponential backoff if # opening connection failed # hard_init: reconnect to DSA with exponential backoff if # initializing connection failed # hard: alias for hard_open # soft: return immediately on server failure bind_policy soft 3.2- PAM LDAP PAM_LDAP est une extension de PAM se reposant sur nss_ldap permettant d utiliser un LDAP pour le stockage des comptes, des groupes, etc. sous Unix Installation On installe le module : apt-get install libpam-ldap Répondre aux questions de la manière suivante : Hôte du serveur LDAP : Nom distinctif («distinguished name») de la base de recherche : dc=...,dc=... Version de LDAP: 3 Faut il créer une base de données locale pour l'administrateur? NON La base de données requiert elle une connexion authentifiée? NON Méthode de chiffrement pour les changements de mots de passe : chiffré Page 15

16 3.3- Network File System Pour permettre la création d un home directory flottant, on doit installer NFS. NFS est utilisé pour partager des données entre systèmes UNIX. apt-get install nfs-kernel-server Une fois NFS installé sur le serveur, nous modifions le fichier /etc/exports qui répertorie les dossiers partagés. Nous allons donc partager le dossier /home du serveur, qui deviendra le dossier /home de chaque client. Cela nous permettra de créer un home directory flottant pour chaque utilisateur. gedit /etc/exports On insère à la fin du fichier la ligne suivante : /home /24(rw,sync,no_subtree_check) Il est possible de modifier la plage d adresses IP autorisées à monter le répertoire home. Dans notre exemple, les adresses IP allant de à sont autorisées. Pensez à relancer NFS serveur et l ensemble des services : /etc/init.d/nfs-kernel-server restart /etc/init.d/samba stop /etc/init.d/slapd restart /etc/init.d/samba start Page 16

17 4- Client Windows Si vous avez suivi l ensemble des instructions pour l installation du serveur, l intégration d un client Windows est maintenant relativment aisée. Clique de droit du Poste de travail Propriétés Allez dans l onglet Nom de l ordinateur Modifier Selectionnez Domaine Indiquez le nom de domaine que vous avez choisi lors de l installation du serveur OK Un nom d utilisateur vous est demandé. Indiquez root et le mot de passe de root Une fois l ordinateur redémarré, vous pouvez sélectionnez le domaine que vous avez créé, ainsi que rentrer le nom d un utilisateur de la base LDAP. Le home directory flottant est actif sous Windows. Un lecteur virtuel personnel à l utilisateur actif a été créé dans Poste de Travail. Page 17

18 5- Connexion à LDAP avec un client Linux 5.1- Installation des paquets Les paquets suivants sont nécessaires : libpam ldap et libnss ldap apt-get install libpam-ldap libnss-ldap Plusieurs questions seront posées lors de l'installation : L'adresse du serveur LDAP utilisé? Il faut ici mettre l'adresse IP du serveur LDAP Le nom de la base de recherche? Par exemple dc=lo51 La version de LDAP à utiliser? Ici vous devez choisir 3. Votre base de données requiert une connection? Répondez par «No» à cette question Voulez vous faire une configuration en Lecture/Écriture par le propriétaire seulement? Répondez aussi par «No» à cette question Voulez vous que le root local soit l'administrateur de la base de données? Répondez par «Yes» Votre compte root? Par exemple : cn=admin,dc=lo51 Son mot de passe? Par exemple : anto La méthode de cryptage à choisir est exop 5.2- La configuration de nsswitch.conf Il est nécessaire d'éditer le fichier /etc/nsswitch.conf: gedit /etc/nsswitch.conf Dans ce fichier, il faut remplacer compat par ldap files Test de la configuration de nsswitch.conf avec getent Grâce à la commande getent, il est possible de tester la configuration de nsswitch.conf. Pour cela, il suffit de taper la commande suivante en remplaçant NOM_UTILISATEUR par un nom d'utilisateur enregistré sur le serveur LDAP : getent passwd NOM_UTILISATEUR Si la commande retourne une réponse, alors nsswitch.conf est bien configuré. On peut maintenant passer à la configuration de PAM. Page 18

19 5.3- Configuration de PAM Vous devrez éditer 4 fichiers pour configurer PAM : /etc/pam.d/common-account Ce fichier gère les autorisations de connexion. On peut donner des restrictions en fonction du login, de la date, de l heure, etc (dans notre cas on lui indique l annuaire LDAP). gedit /etc/pam.d/common-account Modifiez la configuration par les lignes suivantes : account sufficient pam_ldap.so account required pam_unix.so /etc/pam.d/common-auth Ce fichier prend en charge la gestion des authentifications. gedit /etc/pam.d/common-auth Modifiez la configuration par les lignes suivantes : auth sufficient pam_ldap.so auth required pam_unix.so nullok_secure use_first_pass /etc/pam.d/common-password Ce fichier gère les changements de mot de passe. gedit /etc/pam.d/common-password Modifiez la configuration par les lignes suivantes : password sufficient pam_ldap.so password required pam_unix.so nullok obscure min=4 max=8 md5 Création automatique du répertoire home à la première connexion Pour que la création du répertoire home soit faite automatiquement à la première connexion, il faut éditer le fichier common session (gère les ouvertures de session): gedit /etc/pam.d/common-session Modifiez la configuration par les lignes suivantes : session required pam_unix.so session required pam_mkhomedir.so skel=/etc/skel/ session optional pam_ldap.so Page 19

20 5.4- Ajout du point de montage automatique Nous allons ajouter un point de montage automatique du répertoire /home au démarrage de la machine depuis le serveur LDAP/NFS Il faut tout d'abord installer le paquet nécessaire au client pour se connecter à un serveur NFS : apt-get install nfs-common Pour faire en sorte que le répertoire /home soit monté à chaque démarrage, il est nécessaire de modifier le fichier fstab : gedit /etc/fstab A la fin du fichier, vous pouvez ajouter la ligne suivante (en remplaçant IP_SERVEUR par la véritable adresse IP) : IP_SERVEUR:/home /home nfs rw 0 0 Pour prendre en compte cette modification, il faut redémarrer la machine cliente. Sinon vous pouvez aussi monter le répertoire /home manuellement grâce à la commande suivante : mount -t nfs IP_SERVEUR:/home /home Vous pouvez maintenant vous loguez avec un login/mot de passe d'un utilisateur enregistré sur le serveur LDAP. Cet utilisateur aura son home flottant et pourra créer/modifier/supprimer des fichiers qui seront stockés sur le serveur. Page 20

21 6- Installation rapide L installation rapide utilise deux scripts (un script client et un script serveur) ainsi que plusieurs fichiers de configurations vierges afin d installer et de mettre en place les différents outils nécessaire à l authentification. Le but est de mettre en place le serveur LDAP avec des paramètres prédéfinis pour avoir une installation rapide Installation du serveur Exécuter le script :./ldap_server.sh Configuration de Deconf : Interface à utiliser : Dialogue Ignorer les questions de priorité inférieure à : critique Donnez le netbios name de votre machine : La réponse par défaut est anto linux, vous pouvez obtenir le nom de votre machine grâce à la commande hostname. Changing Unix and Samba password for root : anto (mot de passe par defaut) Configuration de libnss-ldap : Uri du server LDAP : ldap:// Nom distinctif de la base de recherche : dc=lo51 Version de LDAP à utiliser : 3 Compte LDAP pour super utlisateur : cn=admin, dc=lo51 Mot de passe du compte du super utilisateur LDAP : anto (par défaut) Configuration libpam-ldap : Compte LDAP pour super utilisateur : cn=admin, dc=lo51 Mot de passe du compte du super utilisateur LDAP : anto (par défaut) Une fois le serveur installé la commande smbldap-useradd vous permet d ajouter des utilisateurs. Page 21

22 6.2- Installation du client Exécuter le script :./ldap_client.sh Donnez l adresse du serveur LDAP : adresse_ip_serveur Donnez le nom de domaine : votre_nom_de_domaine (par défaut lo51) Configuration de libnss-ldap : Uri du server LDAP : ldap://adresse_ip_serveur Nom distinctif de la base de recherche : dc = lo51 Version de LDAP à utiliser : 3 Compte LDAP pour super utilisateur : cn = admin, dc = lo51 Mot de passe du compte du super utilisateur LDAP : anto (par défaut) Faut il créer une base donnée locale pour l administration : NON La base LDAP demande une identification : NON A vérifier avant de rebooter getent passwd Les utilisateurs LDAP doivent apparaître dans la liste. Page 22

23 Annexes smb.conf [global] # Nom de domaine workgroup = lo51 # Nom de votre machine : netbios name = ma_machine # Description du serveur server string = Samba-LDAP Server domain master = Yes local master = Yes domain logons = Yes os level = 40 ldap passwd sync = Yes passdb backend = ldapsam:ldap:// / # Description de l'arborescence pour l'administrateur ldap admin dn = cn=admin,dc=lo51 # Suffixes LDAP : ldap suffix = dc=lo51 ldap group suffix = ou=groups ldap user suffix = ou=users ldap machine suffix = ou=machines # Scripts LDAP : add user script = /usr/sbin/smbldap-useradd -m "%u" ldap delete dn = Yes delete user script = /usr/sbin/smbldap-userdel "%u" add machine script = /usr/sbin/smbldap-useradd -w "%u" add group script = /usr/sbin/smbldap-groupadd -p "%g" add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g" delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g" set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u" # Home directory : logon path = \\%L\profile\%U logon drive = P: logon home = \\%L\%U socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 case sensitive = No default case = lower preserve case = yes short preserve case = Yes dns proxy = No wins support = Yes # A changer si vous n'utilisez pas ce réseau : hosts allow = winbind use default domain = Yes nt acl support = Yes msdfs root = Yes hide files = /desktop.ini/ntuser.ini/ntuser.*/ # Les partages : [netlogon] path = /home/netlogon Page 23

24 writable = No browseable = No write list = Administrateur [profile] path = /home/export/profile browseable = No writeable = Yes profile acls = yes create mask = 0700 directory mask = 0700 [homes] comment = Repertoire Personnel browseable = No writeable = Yes [partage] comment = Repertoire commun browseable = Yes writeable = Yes public = No path = /home/partage Page 24