Re: probleme avec passwd + Problemes LDAP
| Apres plusieurs tentatives infructueuses, j'ai finalement réussi à
| utiliser LDAP pour authentifier les utilisateur sur mon système. J'ai
| maintenant un problème lorsque je veux changer le mot de passe de root
| (qui n'est pas un utlisateur de la base LDAP) voila le message d'erreur
| que j'obtiens :
| # passwd: Authentification information cannot be recovered
Et bien, je serais interessé par savoir comment tu as fait..
En fait, j'ai aussi configuré l'authentication par LDAP, mais je ne suis pas
satisfait
de me configuration dans la mesure ou ce n'est pas très sécurisé..
En effet, apres avoir initialisé mon server LDAP correctement
(entree cn=admin,dc=domaine, ainsi que tous les utilisateurs dans
ou=people,dc=domaine),
et avoir mis ldap dans /etc/nsswitch.conf, l'authentification ne voulait pas
fonctionner.
En fait, le système ne pouvait pas récupérer les entrées dans le server LDAP
pour vérifier
les mots de passes. Pourtant, dans /etc/ldap/slapd.conf
access to attribute=userPassword
by dn="cn=admin,dc=skoobi" write
by anonymous auth
by self write
by * none
J'ai donc du rajouter les entrées binddn cn=admin,dc=skoobi
et bindpw <Secret> en clear text dans /etc/libnss-ldap.conf et
/etc/pam_ldap.conf , et c'est ca qui me dérange..
surtout que debconf informe que binddn ne doit pas etre une entrée admin....
ensuite, un coup de chmod 600 sur les 2 fichiers...
si quelqu'un a une idée..
Sinon, je pense que le problème est du même ordre : je ne peux pas me
logguer en root sur mon server LDAP sans rajouter les entrées
rootdn "cn=admin,dc=skoobi"
rootpw "<Secret>"
a /etc/ldap/slapd.conf
J'ai aussi vérifié que anonymous peut recuperer les entrées LDAP et ca
foncionne, à l'exception des entrées userPassword, ce qui est légitime..
Cependant, l'auth. devrait etre authorisée, et je ne comprends pas du tout
merci de m'aider
| Le changement de mot de passe des utilisateurs contenus dans la base LDAP
| ne pose aucun problème. Je suppose qu'il y a un problème avec la
| configuration de PAM...
| Voila le fichier de configuration de /etc/pam.d/passwd :
| password sufficient pam_ldap.so
| password required pam_unix.so nullok obscure min=4 max=8 \
| use_first_pass md5
Es-tu sûr d'avoir besoin de modifier PAM pour que les mots de pass puissent
etre changés directement ?
J'ai cru voir un wizard debconf qui proposait automatiquement de configurer
je ne sais pas quoi pour que cela fonctionne...
Bonne chance !
Sam
PS:
à tout hasard, est-ce que certaines personnes seraient en train de
travailler sur un meilleur support LDAP sous debian ?
ne serait-il pas une bonne chose de complètement intégrer LDAP pour la
gestion de l'authentication ?
J'ai posté quelque chose sur linuxFR à ce sujet, on m'a fait comprendre que
les problèmes étaient surtout d'ordre technique, mais en y
réfléchissant, quels sont les réels problèmes ?
Tout ce qu'il y a besoin de faire, c'est :
1) migrer tout ce qui est possible vers LDAP, il y a déja des scripts
existants, ce n'est pas bien dur d'appliquer quelques diff
2) configurer NSS pour qu'il n'utilise QUE ldap pour user, group, shadow,
hosts, services & compagnie
3) remplacer les outils traditionnels adduser, addgroup, ... pour qu'ils
agissent directement sur le serveur LDAP
4) quand tout ceci fonctionne, il ne reste alors qu'à demander aux
mainteneurs de packages contenant des fichiers qu'on a migré vers LDAP de
mettre à jour le serveur LDAP et non un simple fichier dans /etc/ Ceci n'est
pas bien difficile.. au lieu d'installer, par exemple, un fichier
/etc/services, il suffirait de l'installer dans /tmp, appliquer un script de
convesion en LDIF, et d'uploader ca sur le serveur.. c'est enfantin, nan ?
il suffit simplement que debian considere LDAP comme un package de base, pas
une option, que tout le monde joue le jeu et rien de plus simple !
--
To UNSUBSCRIBE, email to debian-user-french-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Reply to: