Re: Authentification PAM LDAP sur Active Directory

Top Page

Reply to this message
Author: Yves Martin
Date:  
To: guilde
Subject: Re: Authentification PAM LDAP sur Active Directory
Selon Yves Martin <ymartin59@???>:

> Pour ceux qui seraient intéressés, AD2003 ne supporte plus les requêtes
> anonymes - donc il faut s'authentifier pour ouvrir une connection.
> Mais n'essayer de vous authentifier avec CN=user,DC=example,DC=com
> car vous allez récupérer une erreur LDAP 49.
>
> Voici la configuration nécessaire /etc/pam_ldap.conf:
>
> host IP_de_votre_AD
> base DC=example,DC=com
> ldap_version 3
> ## Utilisateur pour ouvrir la connection
> binddn techuser@???
> bindpw techuserpassword
> ## Attribut que l'on doit comparer avec le uid pour authentifier
> pam_login_attribute sAMAccountName
> ## Format de mot de passe
> pam_password ad
>
> Pour la configuration des chaînes PAM, le package libpam-ldap
> est bien fourni en exemples, rien à signaler.
> Un conseil: activer SSL car tous les mots de passe circulent en clair !


Voilà un bien mauvais conseil... J'arrive pas activer le SSL avec libpam-ldap
de la Woody.
J'ai récupéré le source du pam_ldap en version 176 et on m'a donné un
certification PKCS#7 pour l'authentification SSL mais je n'obtiens que
l'erreur stupide:
pam_ldap: ldap_set_option(LDAP_OPT_X_TLS) Unknown error

Et lire les sources ne m'aident pas beaucoup. Voici la configuration courante:
base dc=X,dc=Y
uri ldaps://athens.X.Y/
ldap_version 3
binddn yma@???
bindpw XYZ
port 636
pam_filter objectclass=user
pam_login_attribute sAMAccountName
pam_password ad
ssl on
sslpath /etc/ssl/certs/athens_pkcs.cer.p7b

D'après le ./configure, ldap_ssl n'est pas disponible mais il utiliserait
start_tls. Quelle différence entre SSL et TLS ??

checking for security/pam_appl.h... (cached) yes
checking for security/pam_misc.h... (cached) yes
checking for security/pam_modules.h... (cached) yes
checking for pam/pam_appl.h... (cached) no
checking for pam/pam_misc.h... (cached) no
checking for pam/pam_modules.h... (cached) no
checking for des.h... (cached) no
checking for crypt.h... (cached) yes
checking for lber.h... (cached) yes
checking for ldap.h... (cached) yes
checking for ldap_ssl.h... (cached) no
checking for sasl/sasl.h... (cached) no
checking for sasl.h... (cached) no
checking for main in -ldl... (cached) yes
checking for main in -lpam... (cached) yes
checking for main in -lresolv... (cached) yes
checking for main in -lcrypt... (cached) yes
checking for main in -lnsl... (cached) yes
checking for gethostbyname... (cached) yes
checking for main in -llber... (cached) yes
checking for main in -lldap... (cached) yes
checking for ldap_init... (cached) yes
checking for ldap_get_lderrno... (cached) no
checking for ldap_set_lderrno... (cached) no
checking for ldap_parse_result... (cached) yes
checking for ldap_memfree... (cached) yes
checking for ldap_controls_free... (cached) yes
checking for ldap_set_option... (cached) yes
checking for ldap_get_option... (cached) yes
checking for ldapssl_init... (cached) no
checking for ldap_start_tls_s... (cached) yes
checking for ldap_pvt_tls_set_option... (cached) no
checking for ldap_initialize... (cached) yes
checking for ldap_sasl_bind... (cached) yes
checking for ldap_sasl_interactive_bind_s... (cached) yes

La documentation sur ce PAM LDAP est ridicule. C'est vraiment l'enfer à
mettre en place...

Toute idée est la bienvenue. Merci d'avance
--
Yves Martin