inetdoc.net

Question

Q18.

Quels sont les paquets de bibliothèques LDAP relatifs au mécanisme Name Service Switch et au gestionnaire d'authentification PAM ?

Rechercher la liste des paquets dont le nom débute par libnss et libpam.

Answer 1

Les deux paquets utiles sont : libnss-ldapd et libpam-ldapd. Le paquet nslcd est une dépendance importante de libnss-ldapd. Il assure le volet connexion et authentification à l'annuaire.

Answer 2

Voici un récapitulatif des réponses.

Pour le paquet libnss-ldapd, on donne la liste des services de nom à configurer :

passwd
group
shadow

Pour le paquet nslcd, on donne les paramètres pour contacter le serveur LDAP.

URI du serveur LDAP : ldap://192.0.2.12
Base de recherche du serveur LDAP : dc=lab,dc=stri
Authentification LDAP : aucune
La base LDAP demande-t-elle une identification ? non
Faut-il utiliser StartTLS ? non

Answer 3

On qualifie le mécanisme Name Service Switch à l'aide de la commande getent.

$ getent passwd
root:x:0:0:root:/root:/bin/bash
<snip>
nslcd:x:111:117:nslcd name service LDAP connection daemon,,,:/var/run/nslcd/:/bin/false
padme:x:10000:10000:Padme Amidala Skywalker:/ahome/padme:/bin/bash
anakin:x:10001:10001:Anakin Skywalker:/ahome/anakin:/bin/bash
leia:x:10002:10002:Leia Organa:/ahome/leia:/bin/bash
luke:x:10003:10003:Luke Skywalker:/ahome/luke:/bin/bash

On qualifie l'authentication PAM à l'aide de la commande su.

$ su - luke
Mot de passe : 
:/home/etu$

Answer 4

La syntaxe est la suivante.

$ echo -e "\nautomount:      ldap" | sudo tee -a /etc/nsswitch.conf

Answer 5

Il s'agit du fichier /etc/default/autofs.

Answer 6

$ sudo grep -v ^# /etc/default/autofs 
MASTER_MAP_NAME="ou=auto.master,ou=automount,dc=lab,dc=stri"
TIMEOUT=300
BROWSE_MODE="no"
LOGGING="verbose"
LDAP_URI="ldap://192.0.2.12"
SEARCH_BASE="ou=automount,dc=lab,dc=stri"

Answer 7

On affiche l'état du service à l'aide de la commande ci-dessous.

$ sudo systemctl status autofs
● autofs.service - Automounts filesystems on demand
   Loaded: loaded (/lib/systemd/system/autofs.service; enabled; vendor preset: enabled)
   Active: active (running) since Fri 2017-09-15 13:58:18 CEST; 15s ago
  Process: 19416 ExecStart=/usr/sbin/automount $OPTIONS 
                        --pid-file /var/run/autofs.pid (code=exited, status=0/SUCCESS)
 Main PID: 19417 (automount)
    Tasks: 4 (limit: 4915)
   CGroup: /system.slice/autofs.service
           └─19417 /usr/sbin/automount --pid-file /var/run/autofs.pid

systemd[1]: Starting Automounts filesystems on demand...
automount[19417]: Starting automounter version 5.1.2, 
                        master map ou=auto.master,ou=automount,dc=lab,dc=stri
automount[19417]: using kernel protocol version 5.02
automount[19417]: connected to uri ldap://192.0.2.12
automount[19417]: mounted indirect on /ahome with timeout 300, 
                        freq 75 seconds
systemd[1]: Started Automounts filesystems on demand.

Answer 8

Connexion SSH depuis un autre hôte
Changement d'identité sur le même hôte avec la commande su
Utilisation du gestionnaire de connexion graphique

Enfin, une fois la session d'un(e) utilisat(eur|rice) défini dans l'annuaire LDAP ouverte, il est important de vérifier que l'automontage du répertoire personnel à fonctionné. Il suffit d'utiliser la commande mount pour afficher la liste des montages actifs.

On retrouve la copie d'écran donnée en fin de section précédente.

$ mount | egrep '(ldap|nfs)'
ldap:ou=auto.home,ou=automount,dc=lab,dc=stri on /ahome type autofs \
                (rw,relatime,fd=7,pgrp=875,timeout=300,minproto=5,maxproto=5,
                indirect,pipe_ino=16519)
192.0.2.12:/home/padme on /ahome/padme type nfs4 \
                (rw,relatime,vers=4.2,rsize=131072,wsize=131072,namlen=255,
                hard,proto=tcp,timeo=600,
                retrans=2,sec=sys,clientaddr=192.0.2.25,local_lock=none,
                addr=192.0.2.12)

Q18.	Quels sont les paquets de bibliothèques LDAP relatifs au mécanisme Name Service Switch et au gestionnaire d'authentification PAM ? Rechercher la liste des paquets dont le nom débute par `libnss` et `libpam`.
	Les deux paquets utiles sont : `libnss-ldapd` et `libpam-ldapd`. Le paquet `nslcd` est une dépendance importante de `libnss-ldapd`. Il assure le volet connexion et authentification à l'annuaire.
Q19.	Quelles sont les étapes de la configuration des paquets de bibliothèques NSS et PAM ? Lors de l'installation des deux paquets, on passe par une série de menus debconf.
	Voici un récapitulatif des réponses. Pour le paquet `libnss-ldapd`, on donne la liste des services de nom à configurer : `passwd` `group` `shadow` Pour le paquet `nslcd`, on donne les paramètres pour contacter le serveur LDAP. URI du serveur LDAP : ldap://192.0.2.12 Base de recherche du serveur LDAP : dc=lab,dc=stri Authentification LDAP : aucune La base LDAP demande-t-elle une identification ? non Faut-il utiliser StartTLS ? non
Q20.	Comment valider la configuration de l'accès à l'annuaire LDAP ? Rechercher une commande permettant d'effectuer un appel système aux bibliothèques standard `libc`.
	On qualifie le mécanisme Name Service Switch à l'aide de la commande getent. `$` getent passwd root:x:0:0:root:/root:/bin/bash <snip> nslcd:x:111:117:nslcd name service LDAP connection daemon,,,:/var/run/nslcd/:/bin/false padme:x:10000:10000:Padme Amidala Skywalker:/ahome/padme:/bin/bash anakin:x:10001:10001:Anakin Skywalker:/ahome/anakin:/bin/bash leia:x:10002:10002:Leia Organa:/ahome/leia:/bin/bash luke:x:10003:10003:Luke Skywalker:/ahome/luke:/bin/bash On qualifie l'authentication PAM à l'aide de la commande su. `$` su - luke Mot de passe : :/home/etu$

Q21.	Quelle est la modification à apporter au fichier de configuration /etc/nsswitch.conf pour que le démon automount accède aux ressources de l'annuaire LDAP ? Il faut ajouter une directive supplémentaire qui spécifie l'ordre de recherche des informations pour le démon `automount`.
	La syntaxe est la suivante. `$` echo -e "\nautomount: ldap" \| sudo tee -a /etc/nsswitch.conf
Q22.	Quel est le fichier de configuration du service d'automontage dans lequel sont définis ses paramètres globaux ? Rechercher le répertoire dans lequel sont placés les fichiers de paramétrage de tous les services.
	Il s'agit du fichier `/etc/default/autofs`.
Q23.	Quelles sont les modifications à apporter à ce fichier pour que le démon accède à l'annuaire LDAP et que la journalisation soit active ? Il faut éditer le fichier avec les éléments suivants. Désigner l'unité organisationnelle qui contient les entrées de configuration de l'automontage Faire apparaître les évènements du service d'automontage dans les journaux système Désigner le serveur LDAP à contacter Spécifier le point d'entrée pour les recherches dans l'annuaire
	`$` sudo grep -v ^# /etc/default/autofs MASTER_MAP_NAME="ou=auto.master,ou=automount,dc=lab,dc=stri" TIMEOUT=300 BROWSE_MODE="no" LOGGING="verbose" LDAP_URI="ldap://192.0.2.12" SEARCH_BASE="ou=automount,dc=lab,dc=stri"
Q24.	Comment vérifier que le service `autofs` a bien pris la nouvelle configuration en charge et fait appel aux ressources de l'annuaire LDAP ? Rechercher dans les informations relatives au statut du service `autofs` les paramètres de configuration LDAP.
	On affiche l'état du service à l'aide de la commande ci-dessous. `$` sudo systemctl status autofs ● autofs.service - Automounts filesystems on demand Loaded: loaded (/lib/systemd/system/autofs.service; enabled; vendor preset: enabled) Active: active (running) since Fri 2017-09-15 13:58:18 CEST; 15s ago Process: 19416 ExecStart=/usr/sbin/automount $OPTIONS --pid-file /var/run/autofs.pid (code=exited, status=0/SUCCESS) Main PID: 19417 (automount) Tasks: 4 (limit: 4915) CGroup: /system.slice/autofs.service └─19417 /usr/sbin/automount --pid-file /var/run/autofs.pid systemd[1]: Starting Automounts filesystems on demand... automount[19417]: Starting automounter version 5.1.2, master map ou=auto.master,ou=automount,dc=lab,dc=stri automount[19417]: using kernel protocol version 5.02 automount[19417]: connected to uri ldap://192.0.2.12 automount[19417]: mounted indirect on /ahome with timeout 300, freq 75 seconds systemd[1]: Started Automounts filesystems on demand.
Q25.	Quelles sont les méthodes qui permettent de valider le fonctionnement du service d'automontage ? Donner deux moyens d'acquérir l'identité d'un utilisateur ou d'une utilisatrice défini(e) dans l'annuaire LDAP uniquement. ne pas oublier le consulter les journaux système pour observer les étapes de ces connexions utilisateur.
	Connexion SSH depuis un autre hôte Changement d'identité sur le même hôte avec la commande su Utilisation du gestionnaire de connexion graphique Enfin, une fois la session d'un(e) utilisat(eur\|rice) défini dans l'annuaire LDAP ouverte, il est important de vérifier que l'automontage du répertoire personnel à fonctionné. Il suffit d'utiliser la commande mount pour afficher la liste des montages actifs. On retrouve la copie d'écran donnée en fin de section précédente. `$` mount \| egrep '(ldap\|nfs)' ldap:ou=auto.home,ou=automount,dc=lab,dc=stri on /ahome type autofs \ (rw,relatime,fd=7,pgrp=875,timeout=300,minproto=5,maxproto=5, indirect,pipe_ino=16519) 192.0.2.12:/home/padme on /ahome/padme type nfs4 \ (rw,relatime,vers=4.2,rsize=131072,wsize=131072,namlen=255, hard,proto=tcp,timeo=600, retrans=2,sec=sys,clientaddr=192.0.2.25,local_lock=none, addr=192.0.2.12)

inetdoc.net

5. Accès aux ressources LDAP & NFS depuis le client

5.1. Configuration LDAP

5.2. Configuration NFS avec automontage