Author: Yves Martin Date: To: guilde Subject: Re: Authentification PAM LDAP sur Active Directory
Selon Yves Martin <ymartin59@???>:
> Ma boîte est en train de passer les utilisateurs vers un contrôleur Active
> Directory et j'ai des difficultés à trouver de la documentation sur comment
> AD contruit son arborescence LDAP (dc, ou, ...),
> comment configurer libpam-ldap (Debian Woody) lorsque l'anonymous-query
> de AD est désactivé...
Bonjour,
J'ai finallement réussi à configurer ce PAM LDAP. Le gros problème vient
à mon avis de mon ignorance totale de LDAP, de messages d'erreurs non distincts
pour des problèmes de configuration distincts et de l'absence de documentation
simple/clair sur le schéma AD...
J'ai tout compris en jouant avec LDAP Browser et
en sniffant les paquets réseaux ;)
Pour ceux qui seraient intéressés, AD2003 ne supporte plus les requêtes
anonymes - donc il faut s'authentifier pour ouvrir une connection.
Mais n'essayer de vous authentifier avec CN=user,DC=example,DC=com
car vous allez récupérer une erreur LDAP 49.
Voici la configuration nécessaire /etc/pam_ldap.conf:
host IP_de_votre_AD
base DC=example,DC=com
ldap_version 3
## Utilisateur pour ouvrir la connection
binddn techuser@???
bindpw techuserpassword
## Attribut que l'on doit comparer avec le uid pour authentifier
pam_login_attribute sAMAccountName
## Format de mot de passe
pam_password ad
Pour la configuration des chaînes PAM, le package libpam-ldap
est bien fourni en exemples, rien à signaler.
Un conseil: activer SSL car tous les mots de passe circulent en clair !
Voilà le résultat de quelques heures difficiles... Je suppose que ce
sera profitable à d'autres.
Bonne journée
--
Yves Martin