Configuration du serveur d'annuaire pour activer la gestion des comptes

La gestion des comptes peut être implémentée pour les clients utilisant pam_ldap et pour ceux utilisant les modules pam_unix_* .

Attention - N'utilisez pas les modules pam_ldap et pam_unix_* dans le même domaine de noms LDAP. Soit les clients utilisent tous pam_ldap, soit ils utilisent tous les modules pam_unix_*. Cette limitation peut indiquer que vous avez besoin d'un serveur LDAP dédié.

Pour les clients qui utilisent le module `pam_ldap`

Pour que pam_ldap fonctionne correctement, la stratégie de mot de passe et de verrouillage de compte doit être correctement configurée sur le serveur. Vous pouvez utiliser la console du serveur d'annuaire ou ldapmodify pour configurer la stratégie de gestion des comptes pour l'annuaire LDAP. Pour connaître les procédures et obtenir plus d'informations, reportez-vous au chapitre “Gestion des comptes utilisateur” du Guide d'administration pour la version d'Oracle Directory Server Enterprise Edition dont vous disposez.

Remarque - Auparavant, si vous activiez la gestion des comptes pam_ldap, tous les utilisateurs devaient fournir un mot de passe de connexion pour s'authentifier à chaque fois qu'ils se connectaient au système. Par conséquent, les connexions qui ne reposent pas sur des mots de passe à l'aide des outils tels que ssh échoueraient.

Effectuez la gestion des comptes et récupérez le statut du compte des utilisateurs sans authentification au serveur d'annuaire au moment de la connexion. Le nouveau contrôle sur le serveur d'annuaire est 1.3.6.1.4.1.42.2.27.9.5.8 ; il est activé par défaut.

Pour définir ce contrôle sur une autre valeur que celle par défaut, ajoutez des instructions de contrôle d'accès (ACI) sur le serveur d'annuaire :

dn: oid=1.3.6.1.4.1.42.2.27.9.5.8,cn=features,cn=config
objectClass: top
objectClass: directoryServerFeature
oid:1.3.6.1.4.1.42.2.27.9.5.8
cn:Password Policy Account Usable Request Control
aci: (targetattr != "aci")(version 3.0; acl "Account Usable"; 
     allow (read, search, compare, proxy)
     (groupdn = "ldap:///cn=Administrators,cn=config");)
creatorsName: cn=server,cn=plugins,cn=config
modifiersName: cn=server,cn=plugins,cn=config

Les mots de passe des utilisateurs proxy ne doivent jamais expirer. Si c'est le cas, les clients utilisant le niveau d'identification proxy ne peuvent pas récupérer les informations sur le service de noms à partir du serveur. Pour vous assurer que les utilisateurs proxy ont des mots de passe qui n'expirent pas, modifiez les comptes proxy à l'aide du script suivant.

# ldapmodify -h ldapserver -D administrator DN \
-w administrator password <<EOF
dn: proxy user DN
DNchangetype: modify
replace: passwordexpirationtime
passwordexpirationtime: 20380119031407Z
EOF

Remarque - La gestion des comptes pam_ldap s'appuie sur Oracle Directory Server Enterprise Edition pour maintenir et fournir des informations aux utilisateurs sur la durée de vie des mots de passe et l'expiration des comptes. Le serveur d'annuaire n'interprète pas les données correspondantes des entrées shadow pour valider les comptes utilisateur. Néanmoins, les modules pam_unix_* examinent les données shadow afin de déterminer si des comptes sont verrouillés ou si des mots de passe sont anciens. Etant donné que les données shadow ne sont pas mises à jour par les services de noms LDAP ou le serveur d'annuaire, les modules ne doivent pas autoriser l'accès en fonction de ces données shadow. Celles-ci sont extraites à l'aide de l'identité proxy. Par conséquent, n'autorisez pas les utilisateurs proxy à disposer d'un accès en lecture à l'attribut userPassword. Le refus de l'accès en lecture des utilisateurs proxy à userPassword empêche le service PAM d'effectuer une validation de compte non valide.

Pour les clients qui utilisent les modules `pam_unix_*`

Pour activer les clients LDAP afin qu'ils utilisent les modules pam_unix_* pour la gestion des comptes, le serveur doit être configuré de manière à permettre la mise à jour des données shadow. Contrairement à la gestion des comptes pam_ldap, les modules pam_unix_* ne nécessitent pas d'étapes de configuration supplémentaires. Toutes les opérations de configuration peuvent être effectuées en exécutant l'utilitaire idsconfig. Pour une exécution idsconfig de base, reportez-vous à l'Exemple 11-1.

L'exemple ci-dessous illustre la sortie de deux exécutions idsconfig.

La première exécution idconfig utilise un profil client.

# /usr/lib/ldap/idsconfig

It is strongly recommended that you BACKUP the directory server
before running idsconfig.

Hit Ctrl-C at any time before the final confirmation to exit.

Do you wish to continue with server setup (y/n/h)? [n] y
Enter the JES Directory Server's  hostname to setup: myserver
Enter the port number for DSEE (h=help): [389]
Enter the directory manager DN: [cn=Directory Manager]
Enter passwd for cn=Directory Manager :
Enter the domainname to be served (h=help): [west.example.com]
Enter LDAP Base DN (h=help): [dc=west,dc=example,dc=com]
  Checking LDAP Base DN ...
  Validating LDAP Base DN and Suffix ...
  sasl/GSSAPI is not supported by this LDAP server

Enter the profile name (h=help): [default] WestUserProfile

Profile 'WestUserProfile' already exists, it is possible to enable
shadow update now. idsconfig will exit after shadow update
is enabled. You can also continue to overwrite the profile
or create a new one and be given the chance to enable
shadow update later.

Just enable shadow update (y/n/h)? [n] y
Add the administrator identity (y/n/h)? [y]
Enter DN for the administrator: [cn=admin,ou=profile,dc=west,dc=example,dc=com]
Enter passwd for the administrator: 
Re-enter passwd: 
  ADDED: Administrator identity cn=admin,ou=profile,dc=west,dc=example,dc=com.
         Proxy ACI LDAP_Naming_Services_proxy_password_read does not 
         exist for dc=west,dc=example,dc=com.
  ACI SET: Give cn=admin,ou=profile,dc=west,dc=example,dc=com read/write access 
           to shadow data.
  ACI SET: Non-Admin access to shadow data denied.

  Shadow update has been enabled.

La deuxième exécution idsconfig crée un nouveau profil pour une utilisation ultérieure. Seule la sortie partielle s'affiche.

# /usr/lib/ldap/idsconfig

It is strongly recommended that you BACKUP the directory server
before running idsconfig.

Hit Ctrl-C at any time before the final confirmation to exit.

Do you wish to continue with server setup (y/n/h)? [n] y
Enter the JES Directory Server's  hostname to setup: myserver
Enter the port number for DSEE (h=help): [389]
Enter the directory manager DN: [cn=Directory Manager]
Enter passwd for cn=Directory Manager :
Enter the domainname to be served (h=help): [west.example.com]
Enter LDAP Base DN (h=help): [dc=west,dc=example,dc=com]
  Checking LDAP Base DN ...
  Validating LDAP Base DN and Suffix ...
  sasl/GSSAPI is not supported by this LDAP server

Enter the profile name (h=help): [default] WestUserProfile-new
Default server list (h=help): [192.168.0.1]
.
.
.
Do you want to enable shadow update (y/n/h)? [n] y

              Summary of Configuration

  1  Domain to serve               : west.example.com
  2  Base DN to setup              : dc=west,dc=example,dc=com
         Suffix to create          : dc=west,dc=example,dc=com
  3  Profile name to create        : WestUserProfile-new
.
.
.
 19  Enable shadow update          : TRUE
.
.
.
Enter DN for the administrator: [cn=admin,ou=profile,dc=west,dc=example,dc=com]
Enter passwd for the administrator:
Re-enter passwd:


WARNING: About to start committing changes. (y=continue, n=EXIT) y

  1. Changed timelimit to -1 in cn=config.
  2. Changed sizelimit to -1 in cn=config.
.
.
.
  11. ACI for dc=test1,dc=mpklab,dc=sfbay,dc=sun,dc=com modified to 
      disable self modify.
.
.
.
  15. Give cn=admin,ou=profile,dc=west,dc=example,dc=com write permission for shadow.
...

Ignorer les liens de navigation
Quitter l'aperu
	Utilisation des services de noms et d'annuaire dans Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Français)