Single Sign-OnVoici le quatrième article dans notre série sur l’authentification centralisée avec 389 Directory Server. Jusqu’ici, nous avons vu en détail l’installation du serveur d’annuaires, la création des utilisateurs et la sécurisation des connexions. Aujourd’hui nous allons aborder la connexion des postes clients à 389 Directory Server dans le but de leur permettre de récupérer les informations d’authentification.

J’utilise OpenSUSE Leap 15.1 KDE sur tous mes postes de travail. Les informations données seront donc quelque peu spécifiques à cette distribution.

Exporter le certificat CA

Dans notre précédent article, nous avons créé un certificat CA sur le serveur. Ce certificat doit être exporté vers tous les postes clients qui veulent utiliser une connexion sécurisée vers le serveur d’annuaires.

Dans mon réseau « bac à sable » local, je dispose d’un serveur d’annuaires amandine.microlinux.lan et de deux postes clients bernadette.microlinux.lan et raymonde.microlinux.lan.

Depuis le serveur, je copie le certificat ca.crt vers tous mes postes clients, en les rangeant directement à l’endroit approprié.

$ cd easy-rsa-3.0.7/easyrsa3/pki/
$ scp ca.crt root@bernadette:/etc/pki/trust/anchors/
ca.crt                             100% 1220     1.2MB/s   00:00    
$ scp ca.crt root@raymonde:/etc/pki/trust/anchors/
ca.crt                             100% 1220     1.4MB/s   00:00

Ensuite, je me connecte à chacun de mes postes de travail et je mets à jour les certificats CA du système.

# update-ca-certificates -v
running /usr/lib/ca-certificates/update.d/50java.run ...
creating /var/lib/ca-certificates/java-cacerts ...
running /usr/lib/ca-certificates/update.d/70openssl.run ...
creating /var/lib/ca-certificates/openssl ...
running /usr/lib/ca-certificates/update.d/80etc_ssl.run ...
running /usr/lib/ca-certificates/update.d/99certbundle.run ...
creating /var/lib/ca-certificates/ca-bundle.pem ...

Configurer la connexion à l’annuaire

Sur mon poste client OpenSUSE, j’ouvre Système > YaST > Services réseau > Client LDAP et Kerberos.

YaST LDAP

Je clique sur Modifier les paramètres.

YaST LDAP

La fenêtre de configuration LDAP s’affiche. Voici comment j’ai défini ma connexion à 389 Directory Server.

YaST LDAP

Cette configuration mérite quelques remarques.

  • À partir du moment où l’on autorise les utilisateurs LDAP à s’authentifier, YaST se charge automatiquement de l’installation des paquets requis pam_ldap et nss_ldap sous le capot.
  • La mise en cache des entrées LDAP avec nscd est optionnelle.
  • Si le répertoire d’un utilisateur présent dans la base LDAP n’existe pas, il est créé automatiquement à la première connexion.
  • Je me sers uniquement des informations sur les utilisateurs.
  • J’ai uniquement indiqué l’URI ldaps:amandine.microlinux.lan:636 pour une connexion sécurisée.

ImportantJe garde la définition locale des groupes telle qu’elle figure dans /etc/group. Si vous cochez la case Groupes par inadvertance, vous allez rester perplexe face à une machine qui ne démarre plus.

Tester la connexion

Une fois que la connexion est configurée correctement, je peux la tester en cliquant sur Tester la connexion. Si tout se passe comme prévu, le message suivant s’affiche.

Une fois que j’ai pris en compte les modifications, je peux essayer d’afficher les infos des utilisateurs définis dans l’annuaire depuis mon poste client.

$ getent passwd jmortreux
jmortreux:*:10002:100:Jean Mortreux:/home/jmortreux:/bin/bash
$ getent passwd adebuf
adebuf:*:10003:100:Agnès Debuf:/home/adebuf:/bin/bash

Le dernier article de cette série sera consacré à une vue d’ensemble sur la mise en place d’une solution d’authentification centralisée.


La rédaction de cette documentation demande du temps et des quantités significatives de café espresso. Vous appréciez ce blog ? Offrez un café au rédacteur en cliquant sur la tasse.

 


0 commentaire

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *