Linux.general : Authentification unifiée ssh/samba pour un parc de machine ?
Posté par Kathryl (Jabber id, page perso, ) le 25 juin 2008
0
Prenons le problème suivant.
Prenez une dizaine d'utilisateurs, développeur et/ou webmaster.
Rajoutez autant de serveurs avec chacun un but différent afin d'avoir des fichiers différents dans chaque /home.
Chacun de ces utilisateurs accède a chacune des machines avec un identifiant toujours identique par SSH, Samba ou SFTP.
On se retrouve vite avec beaucoup (trop) de gestion de droit lors de l'arrivée ou lors d'un départ d'un développeur ou d'un webmaster.
Je me suis donc mis en chasse/quête d'une façon de pouvoir gérer cela "facilement".
J'ai donc essayé d'abord Samba sur LDAP avec PAM (sur LDAP) pour SSH/SFTP.
Problème, Samba est en mode "contrôleur de domaine" et chaque serveur et client (comprendre les utilisateurs) doivent rejoindre le domaine.
Ce qui pose problème puisque un certains nombre des utilisateurs font déjà partit d'un domaine qu'ils n'ont pas le droit de quitter (entre guillemet).
Ensuite, les utilisateurs qui se connectent en SSH, lorsqu'ils partagent le même UID (notamment pour Apache), se retrouvent comme étant l'UID et non l'utilisateur, notamment lors du changement de mot de passe.
Imaginons "toto" avec l'uid 33 qui change son mot de passe, c'est en fait www-data à qui le mot de passe se retrouve changé.
J'ai essayé PAM sur LDAP et Samba sur PAM
SSH et SFTP ca fonctionne très bien sans aucune anicroche.
Mais Samba c'est le drame, aucune authentification des partages possible.
J'ai essayé PAM sur MySQL et Samba sur MySQL (puis sur PAM sur MySQL)
Outre les problemes du module MySQL pour Samba qui n'existe plus, PAM et MySQL ne fonctionnent pas correctement et Samba sur PAM sur MySQL c'est comme la solution précedente.
Bref c'est vite partit a la poubelle
J'ai bien regardé du coté de NIS, mais c'est comme si je revenais a ma première solution.
Mode PDC pour Samba, etc...
Malgré Google-mon-ami et les recherches dans les bonnes crémeries (howtoforge, forums des différentes distro, ici même, etc), j'ai l'impression que ça n'a jamais été tenté auparavant ce genre d'authentification unifié sans contrôleur de domaine.
Qu'est ce que j'ai oublié ?
Aurais-je raté l'option qu'il fallait quelque part ?
Ais-je des alternatives compte-tenu de mes besoins ?
La mutuelle me rembourseras t'elle le valium ingurgité après tout cela ?
> Lire le message (10 commentaires, moyenne: 1,5).
Vous avez demandé le commentaire #944105.
Run by 
Cette page a été générée par Templeet en 0.0659s (dont 0.0053 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !
Heu pour être clair
Tu a donc besoin d'un backend (LDAP ou MySQL ou ...) pour centraliser et unifier la gestion des comptes utilisateurs. Sachant que les dit utilisateurs doivent :
* Utilisé SAMBA mais sans que celui ci soit PDC ( file sharing only)
* Utilisé ssh pour l'accès shell et sftp
* Avoir un compte login/mdp perso tout en ayant l'UID 33 commun avec www-data (tiens du debian)
Le tout sur une dizaine de serveurs servant visiblement à du développement.
J'ai bon ?
[ Répondre ]
[^]Re: Heu pour être clair
Tout bon même.
[ Répondre ]
[^]Re: Heu pour être clair
J'ai bon ?
Tu auras bon quand tu auras donné la (bonne) réponse. :-)
[ Répondre ]
[^]Re: Heu pour être clair
et si je dis ldap en backend
avec pam_ldap pour les services ssh/sftp
et samba_ldap (faut-il vraiment le mettre en controleur de domaine pour pouvoir utiliser l'authentification ldap ?)
j'ai tout bon ?
Apprendre par les autres, c'est bien.
Apprendre par soi-meme (RTFM, man, et notre ami google) c'est mieux
[ Répondre ]
[^]Re: Heu pour être clair
(faut-il vraiment le mettre en controleur de domaine pour pouvoir utiliser l'authentification ldap ?)
Non je crois pas.
Dans smb.conf section [Global]
security = SERVER
password server = ip_du_serveur_ldap
chez moi ca marche.
[ Répondre ]
[^]Re: Heu pour être clair
donc kathryl a sa reponse
:D
and the winner is...
Apprendre par les autres, c'est bien.
Apprendre par soi-meme (RTFM, man, et notre ami google) c'est mieux
[ Répondre ]
[^]Re: Heu pour être clair
Je verrais demain quand je testerais :p
Merci pour ces réponses déjà :)
[ Répondre ]
[^]Re: Heu pour être clair
Bon ça ne fonctionne pas.
J'ai bien mis ce qui me fut conseillé, j'ai essayé dans un peu tout les sens sans grand succès.
J'ai encore perdu des neurones dans l'histoire :D
Je recommencerais demain ^^
[ Répondre ]
[^]Re: Heu pour être clair
1°) comprendre comme marche un serveur ldap et l'installer
2°) configurer samba pour utiliser ldap comme service d'identification
3°) configurer pam pour utiliser ldap comme service d'identification
j'avais reussi les etapes 1 et 3 y a 6 mois sans trop de difficulté.
reste donc le point 2 qui est peut-etre plus delicat
maiss google est notre ami, et avec samba authenticate by ldap
il nous retourne
http://www.linux-france.org/lug/ploug/doc/smb-ldap-a4.pdf
un exemple qui dit qu'il ne mette pas samba en controleur de domaine
http://www.yolinux.com/TUTORIALS/LDAP_Authentication.html
Apprendre par les autres, c'est bien.
Apprendre par soi-meme (RTFM, man, et notre ami google) c'est mieux
[ Répondre ]
[^]Re: Heu pour être clair
Merci pour vos réponses :)
Avec :
passdb backend = ldapsam: ldap://<Serveur LDAP>/
ldap admin dn = "cn=admin,dc="
ldap suffix = "dc="
ldap user suffix = "ou=users"
Et le schema Samba sur LDAP ca fonctionne beaucoup mieux :)
[ Répondre ]