Je suis un quasi inconditionnel de L.D.A.P. (rfc2307) pour obtenir une authentification unique et uniforme sur toutes mes machines et pour tous mes services.

Jusqu’à présent, j’utilisais pam_ldap et nss_ldap avec plus ou moins de succès, en particulier moins dès que le réseau s’avère défaillant. pam_ldap s’inscrit dans la lignée des outils Unix qui ne font qu’une seule chose (et qui essayent de le faire bien), ce qui justement constituait un problème : l’absence de cache. Cependant, la société PADL développe aussi pam_ccreds et nss_updatedb, un moyen de cacher de « credentials » dans une base de données. La série d’outils remplit son rôle, mais semble dépassé, de l’avis d’un certains nombres de projets.

Fedora a développé depuis quelques temps un démon système pour les services et la sécurité : sssd. Ce démon est organisé de façon modulaire et prends en charge une base de données local, kerberos ou encore LDAP, avec un mécanisme de cache. L’outil est organisé à l’aide de programmes fonctionnant de façon modulaire :

16127 ?        Ss     0:00 /usr/sbin/sssd -D
16134 ?        S      0:00  _ /usr/libexec/sssd/sssd_be --domain LDAP
16135 ?        S      0:00  _ /usr/libexec/sssd/sssd_nss
16136 ?        S      0:00  _ /usr/libexec/sssd/sssd_pam

On ssd réponds aux fonctions suivantes :

  • fournir les noms d’usagers depuis un anuaire
  • authentifier les noms depuis un annuaire
  • cacher ses informations
La distribution de sssd comprend un fichier d’exmple situé dans le répertoire /etc/sssd/.

De plus, sssd est un outil raisonnable : celui ne permet d’utiliser un annuaire LDAP que si la connection à celui-ci est sécurisée et permet d’authentifier cette connexion avec un certificat et non un mot de passe.