Configuration du serveur d'annuaire pour activer la gestion des comptes
La gestion des comptes peut être implémentée pour les clients qui utilisent pam_ldap et pour les clients qui utilisent les modules pam_unix_*.
 | Mise en garde - N'utilisez pas les modules pam_ldap et pam_unix_* dans le même domaine de noms LDAP. Soit les clients utilisent tous pam_ldap, soit ils utilisent tous les modules pam_unix_*. Cette limitation peut indiquer que vous avez besoin d'un serveur LDAP dédié. |
Gestion des comptes pour les clients qui utilisent le module pam_ldap
Pour que pam_ldap fonctionne correctement, la stratégie de mot de passe et de verrouillage de compte doit être correctement configurée sur le serveur. Vous pouvez utiliser la Directory Server Console ou ldapmodify pour configurer la stratégie de gestion des comptes pour l'annuaire LDAP. Pour connaître les procédures et obtenir plus d'informations, reportez-vous au chapitre relatif à la gestion des comptes utilisateur du guide d'administration de la version d'Oracle Directory Server Enterprise Edition que vous utilisez.
Remarque - Auparavant, avec la gestion des comptes pam_ldap, tous les utilisateurs devaient fournir un mot de passe de connexion pour l'authentification à chaque fois qu'ils se connectaient au système. Par conséquent, les types de connexion ne nécessitant pas la saisie du mot de passe, tels que ssh, échouent.
Vous pouvez maintenant effectuer la gestion des comptes et récupérer le statut du compte des utilisateurs sans authentification au serveur d'annuaire au moment de la connexion.
Le nouveau contrôle sur le serveur d'annuaire est 1.3.6.1.4.1.42.2.27.9.5.8 . Ce contrôle est activé par défaut. Pour modifier la configuration du contrôle par défaut, ajoutez les instructions de contrôles d'accès (ACI) sur le serveur d'annuaire. Par exemple :
dn: oid=1.3.6.1.4.1.42.2.27.9.5.8,cn=features,cn=config objectClass: top objectClass: directoryServerFeature oid:1.3.6.1.4.1.42.2.27.9.5.8 cn:Password Policy Account Usable Request Control aci: (targetattr != "aci")(version 3.0; acl "Account Usable"; allow (read, search, compare, proxy) (groupdn = "ldap:///cn=Administrators,cn=config");) creatorsName: cn=server,cn=plugins,cn=config modifiersName: cn=server,cn=plugins,cn=config
Les mots de passe pour les utilisateurs proxy ne doivent jamais expirer. Si c'est le cas, les clients utilisant le niveau d'identification proxy ne peuvent pas récupérer les informations sur le service de noms à partir du serveur. Pour vous assurer que les utilisateurs proxy ont des mots de passe qui n'expirent pas, modifiez les comptes proxy à l'aide du script suivant.
# ldapmodify -h ldapserver -D administrator_DN \ -w administrator-password <<EOF dn: proxy-user-DN DNchangetype: modify replace: passwordexpirationtime passwordexpirationtime: 20380119031407Z EOF
Remarque - La gestion des comptes pam_ldap s'appuie sur Oracle Directory Server Enterprise Edition pour maintenir et fournir des informations aux utilisateurs sur la durée de vie des mots de passe et l'expiration des comptes. Le serveur d'annuaire n'interprète pas les données correspondantes des entrées shadow pour valider les comptes utilisateur. Néanmoins, les modules pam_unix_* examinent les données shadow afin de déterminer si des comptes sont verrouillés ou si des mots de passe sont anciens. Etant donné que les données en double ne sont pas mises à jour par le service de noms LDAP ou le serveur d'annuaire, les modules ne doivent pas autoriser l'accès en fonction de ces données shadow. Celles-ci sont extraites à l'aide de l'identité proxy. Par conséquent, n'autorisez pas les utilisateurs proxy à disposer d'un accès en lecture à l'attribut userPassword. Le refus de l'accès en lecture des utilisateurs proxy à userPassword empêche le service PAM d'effectuer une validation de compte non valide.
Gestion des comptes pour les clients qui utilisent les modules pam_unix_*
Pour activer les clients LDAP afin qu'ils utilisent les modules pam_unix_* pour la gestion des comptes, le serveur doit être configuré de manière à permettre la mise à jour des données shadow. Contrairement à la gestion des comptes pam_ldap, les modules pam_unix_* ne nécessitent pas d'étapes de configuration supplémentaires. Toutes les opérations de configuration peuvent être effectuées en exécutant l'utilitaire idsconfig.
L'exemple ci-dessous illustre la sortie de deux exécutions de la commande idsconfig.
La première exécution idconfig utilise un profil client.
# /usr/lib/ldap/idsconfig It is strongly recommended that you BACKUP the directory server before running idsconfig. Hit Ctrl-C at any time before the final confirmation to exit. Do you wish to continue with server setup (y/n/h)? [n] y Enter the JES Directory Server's hostname to setup: myserver Enter the port number for DSEE (h=help): [389] Enter the directory manager DN: [cn=Directory Manager] Enter passwd for cn=Directory Manager : Enter the domainname to be served (h=help): [west.example.com] Enter LDAP Base DN (h=help): [dc=west,dc=example,dc=com] Checking LDAP Base DN ... Validating LDAP Base DN and Suffix ... sasl/GSSAPI is not supported by this LDAP server Enter the profile name (h=help): [default] WestUserProfile Profile 'WestUserProfile' already exists, it is possible to enable shadow update now. idsconfig will exit after shadow update is enabled. You can also continue to overwrite the profile or create a new one and be given the chance to enable shadow update later.
Just enable shadow update (y/n/h)? [n] y Add the administrator identity (y/n/h)? [y] Enter DN for the administrator: [cn=admin,ou=profile,dc=west,dc=example,dc=com] Enter passwd for the administrator: Re-enter passwd: ADDED: Administrator identity cn=admin,ou=profile,dc=west,dc=example,dc=com. Proxy ACI LDAP_Naming_Services_proxy_password_read does not exist for dc=west,dc=example,dc=com. ACI SET: Give cn=admin,ou=profile,dc=west,dc=example,dc=com read/write access to shadow data. ACI SET: Non-Admin access to shadow data denied. Shadow update has been enabled.
La deuxième exécution idsconfig crée un nouveau profil pour une utilisation ultérieure. Seule la sortie partielle s'affiche.
# /usr/lib/ldap/idsconfig It is strongly recommended that you BACKUP the directory server before running idsconfig. Hit Ctrl-C at any time before the final confirmation to exit. Do you wish to continue with server setup (y/n/h)? [n] y Enter the JES Directory Server's hostname to setup: myserver Enter the port number for DSEE (h=help): [389] Enter the directory manager DN: [cn=Directory Manager] Enter passwd for cn=Directory Manager : Enter the domainname to be served (h=help): [west.example.com] Enter LDAP Base DN (h=help): [dc=west,dc=example,dc=com] Checking LDAP Base DN ... Validating LDAP Base DN and Suffix ... sasl/GSSAPI is not supported by this LDAP server Enter the profile name (h=help): [default] WestUserProfile-new Default server list (h=help): [192.168.0.1] . . . Do you want to enable shadow update (y/n/h)? [n] y
Summary of Configuration 1 Domain to serve : west.example.com 2 Base DN to setup : dc=west,dc=example,dc=com Suffix to create : dc=west,dc=example,dc=com 3 Profile name to create : WestUserProfile-new . . . 19 Enable shadow update : TRUE . . . Enter DN for the administrator: [cn=admin,ou=profile,dc=west,dc=example,dc=com] Enter passwd for the administrator: Re-enter passwd: WARNING: About to start committing changes. (y=continue, n=EXIT) y 1. Changed timelimit to -1 in cn=config. 2. Changed sizelimit to -1 in cn=config. . . . 11. ACI for dc=test1,dc=mpklab,dc=sfbay,dc=sun,dc=com modified to disable self modify. . . . 15. Give cn=admin,ou=profile,dc=west,dc=example,dc=com write permission for shadow. ...