Prenons le problème suivant.
Prenez une dizaine d'utilisateurs, développeur et/ou webmaster.
Rajoutez autant de serveurs avec chacun un but différent afin d'avoir des fichiers différents dans chaque /home.
Chacun de ces utilisateurs accède a chacune des machines avec un identifiant toujours identique par SSH, Samba ou SFTP.
On se retrouve vite avec beaucoup (trop) de gestion de droit lors de l'arrivée ou lors d'un départ d'un développeur ou d'un webmaster.
Je me suis donc mis en chasse/quête d'une façon de pouvoir gérer cela "facilement".
J'ai donc essayé d'abord Samba sur LDAP avec PAM (sur LDAP) pour SSH/SFTP.
Problème, Samba est en mode "contrôleur de domaine" et chaque serveur et client (comprendre les utilisateurs) doivent rejoindre le domaine.
Ce qui pose problème puisque un certains nombre des utilisateurs font déjà partit d'un domaine qu'ils n'ont pas le droit de quitter (entre guillemet).
Ensuite, les utilisateurs qui se connectent en SSH, lorsqu'ils partagent le même UID (notamment pour Apache), se retrouvent comme étant l'UID et non l'utilisateur, notamment lors du changement de mot de passe.
Imaginons "toto" avec l'uid 33 qui change son mot de passe, c'est en fait www-data à qui le mot de passe se retrouve changé.
J'ai essayé PAM sur LDAP et Samba sur PAM
SSH et SFTP ca fonctionne très bien sans aucune anicroche.
Mais Samba c'est le drame, aucune authentification des partages possible.
J'ai essayé PAM sur MySQL et Samba sur MySQL (puis sur PAM sur MySQL)
Outre les problemes du module MySQL pour Samba qui n'existe plus, PAM et MySQL ne fonctionnent pas correctement et Samba sur PAM sur MySQL c'est comme la solution précedente.
Bref c'est vite partit a la poubelle
J'ai bien regardé du coté de NIS, mais c'est comme si je revenais a ma première solution.
Mode PDC pour Samba, etc...
Malgré Google-mon-ami et les recherches dans les bonnes crémeries (howtoforge, forums des différentes distro, ici même, etc), j'ai l'impression que ça n'a jamais été tenté auparavant ce genre d'authentification unifié sans contrôleur de domaine.
Qu'est ce que j'ai oublié ?
Aurais-je raté l'option qu'il fallait quelque part ?
Ais-je des alternatives compte-tenu de mes besoins ?
La mutuelle me rembourseras t'elle le valium ingurgité après tout cela ?
Forum Linux.général Authentification unifiée ssh/samba pour un parc de machine ?
25
juin
2008
# Heu pour être clair
Posté par Karles Nine (site web personnel) . Évalué à 2.
* Utilisé SAMBA mais sans que celui ci soit PDC ( file sharing only)
* Utilisé ssh pour l'accès shell et sftp
* Avoir un compte login/mdp perso tout en ayant l'UID 33 commun avec www-data (tiens du debian)
Le tout sur une dizaine de serveurs servant visiblement à du développement.
J'ai bon ?
[^] # Re: Heu pour être clair
Posté par Kathryl (site web personnel) . Évalué à 1.
[^] # Re: Heu pour être clair
Posté par Obsidian . Évalué à 2.
Tu auras bon quand tu auras donné la (bonne) réponse. :-)
[^] # Re: Heu pour être clair
Posté par NeoX . Évalué à 2.
avec pam_ldap pour les services ssh/sftp
et samba_ldap (faut-il vraiment le mettre en controleur de domaine pour pouvoir utiliser l'authentification ldap ?)
j'ai tout bon ?
[^] # Re: Heu pour être clair
Posté par jean_clume . Évalué à 2.
Non je crois pas.
Dans smb.conf section [Global]
security = SERVER
password server = ip_du_serveur_ldap
chez moi ca marche.
[^] # Re: Heu pour être clair
Posté par NeoX . Évalué à 1.
:D
and the winner is...
[^] # Re: Heu pour être clair
Posté par Kathryl (site web personnel) . Évalué à 1.
Merci pour ces réponses déjà :)
[^] # Re: Heu pour être clair
Posté par Kathryl (site web personnel) . Évalué à 1.
J'ai bien mis ce qui me fut conseillé, j'ai essayé dans un peu tout les sens sans grand succès.
J'ai encore perdu des neurones dans l'histoire :D
Je recommencerais demain ^^
[^] # Re: Heu pour être clair
Posté par NeoX . Évalué à 2.
2°) configurer samba pour utiliser ldap comme service d'identification
3°) configurer pam pour utiliser ldap comme service d'identification
j'avais reussi les etapes 1 et 3 y a 6 mois sans trop de difficulté.
reste donc le point 2 qui est peut-etre plus delicat
maiss google est notre ami, et avec samba authenticate by ldap
il nous retourne
http://www.linuxfr-france.org.invalid/lug/ploug/doc/smb-ldap-a4.pdf
un exemple qui dit qu'il ne mette pas samba en controleur de domaine
http://www.yolinux.com/TUTORIALS/LDAP_Authentication.html
[^] # Re: Heu pour être clair
Posté par Kathryl (site web personnel) . Évalué à 1.
Avec :
passdb backend = ldapsam: ldap://<Serveur LDAP>/
ldap admin dn = "cn=admin,dc="
ldap suffix = "dc="
ldap user suffix = "ou=users"
Et le schema Samba sur LDAP ca fonctionne beaucoup mieux :)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.