Vous n'êtes pas identifié.
Topic (non résolu) contrôlé le 17.08.2006 par calimarno.
bonjour,
j'ai construit un serveur mandriva 2006 official. j'ai une machine cliente mandriva qui communique avec ce serveur sans probleme.
a present j'aimerais qu'au demarrage de mon client, il me demande une authentification qui soit validée par mon serveur. comment et avec quels outils puis-je realiser cela ? que dois-je installer sur le serveur et que dois-je configurer sur le client ?
de plus j'ai installé NFS sur le serveur. j'ai partagé le repertoire home sur lequel se trouve le repertoire privé du client. je l'ai monté sur le client, et je le vois sans probleme. mais j'aimerais proteger ce repertoire par un mot de passe soit par une authentification. j'ai lancé drakauth a partir du client. il me propose de m'authentifier a partir du ldap. sur le serveur j'ai cree un compte ldapt, mais a aucun moment il me demande d m'authentifier lorsque j'accede a mon repertoire privé sur le serveur. je solicite votre aide et vos connaissances.
merci
Swisslinux.org s'est doté d'une charte précise concernant l'othographe sur son forum. Veuillez en respecter les termes.
Pseudo: Imdpedat
Sujet: Comment s'authentifier sur un serveur mandriva
Extrait: je le vois sans probleme. mais j'aimerais proteger ce repertoire
Hors ligne
Salut,
Il faut pas créer un compte ldap il faut installer un serveur ldap,
genre OpenLDAP. Jette un oeil là :
http://www.commentcamarche.net/ldap/ldapinst.php3
Bonne soirée.
Hors ligne
Hello,
Déja, Il faut déterminer dans quel environnement tu te trouves. NFS dépend totalement de la sécurité du réseau local, I.E, considère que quelqu'un qui contrôle une machine qui peut accéder au serveur NFS, (même s'il s'est juste amené avec un portable a lui qu'il a branché sur ton réseau) a des accès quasi-complets; seuls les fichiers restreints a root uniquement ne lui seront pas accessible, SI le mapping root->nobody a été activé dans la config nfs.
Si tu souhaites tout de même utiliser NFS, il n'y a pas besoin d'avoir une authentification unifiée, l'important étant que les uids des utilisateurs sur les deux machines correspondent. Pour ca, tu peux simplement copier a la main /etc/passwd et /etc/shadow d'une machine a l'autre, mais en omettant l'entrée root.
Tu peux aussi passer par NIS, qui n'est pas moins sécure que NFS en soi, et qui permet de regrouper toutes les informations d'authentification sur une seule machine. Il suffit de configurer les entrées adéquates dans /etc/nsswitch.conf
Dernier recours, tu peux aussi passer par un serveur d'authentification LDAP. D'expérience, je peux te dire que ca ne vaut pas la peine en dessous d'une poignée de machines et/ou d'une vingtaine d'utilisateurs. La configuration manuelle d'OpenLDAP est assez horrible, et je ne parle même pas de la gestion du contenu de la base. Il te faudra une connaissance de base de la structure de LDAP, des types d'entités utilisés, et te trouver une bonne GUI pour travailler dessus, ou passer un certain temps a scripter, si tu veux éviter d'avoir a écrire un fichier ldif complet a chaque fois que tu veux rajouter un utilisateur. Le changement de mot de passe est encore pire...
Si tout ceci ne t'as pas découragé, la configuration d'une authentification centralisée via LDAP se fait côté client toujours via /etc/nsswitch.conf, pour que ca fonctionne au niveau système, mais aussi via PAM, qui la dernière fois que j'ai touché ca nécessitait un module tierce-partie a la documentation vraiment pourrie...
En revanche, si c'est juste pour l'authentification, et que le nombre d'utilisateurs est contrôlable, tu peux utiliser le protocole RADIUS, qui sera plus simple a mettre en place que LDAP. Il faudra toujours trouver un moyen tiers (NIS ou copie manuelle) de récupérer les infos administratives de passwd et shadow, mais au moins un attaquant qui prend le controle du client ne pourra pas faire d'attaque offline sur les mots de passe. Scénario hautement improbable de toute façon.
Si tu ne fais pas confiance au réseau local, il te faudra te tourner vers d'autres solutions. Samba et sshfs/FUSE sont deux alternatives tout a fait valables si tu acceptes de ne pas avoir d'authentification unifiée.
Si tu ne fais pas confiance au réseau, mais désire tout de même avoir une authentification solide, tu peux regarder du côté de Kerberos V5, que les versions récentes de NFS peuvent utiliser via les Secure RPC. Tu peux utiliser le serveur Kerberos du MIT ou l'alternative GPL, Heimdal. Il existe d'autres implémentations en cours de développement.
Hors ligne