De l’itinérance avec une authentification LDAP

Je suis un quasi inconditionnel de L.D.A.P.(rfc2307) pour obtenir une authentification unique et uniforme sur toutes mes machines et pour tous mes services.

Jusqu’à présent, j’utilisais pam_ldap et nss_ldap avec plus ou moins de succès, en particulier moins dès que le réseau s’avère défaillant. pam_ldap s’inscrit dans la lignée des outils Unix qui ne font qu’une seule chose (et qui essayent de le faire bien), ce qui justement constituait un problème : l’absence de cache. Cependant, la société PADL développe aussi pam_ccreds et nss_updatedb, un moyen de cacher de « credentials » dans une base de données. La série d’outils remplit son rôle, mais semble dépassé, de l’avis d’un certains nombres de projets.

Fedora a développé depuis quelques temps un démon système pour les services et la sécurité : sssd. Ce démon est organisé de façon modulaire et prends en charge une base de données local, kerberos ou encore LDAP, avec un mécanisme de cache. L’outil est organisé à l’aide de programmes fonctionnant de façon modulaire :

16127 ?        Ss     0:00 /usr/sbin/sssd -D
16134 ?        S      0:00  _ /usr/libexec/sssd/sssd_be --domain LDAP
16135 ?        S      0:00  _ /usr/libexec/sssd/sssd_nss
16136 ?        S      0:00  _ /usr/libexec/sssd/sssd_pam

On ssd réponds aux fonctions suivantes :

  • fournir les noms d’usagers depuis un anuaire
  • authentifier les noms depuis un annuaire
  • cacher ses informations
La distribution de sssd comprend un fichier d’exmple situé dans le répertoire `/etc/sssd/`.
De plus, sssd est un outil raisonnable : celui ne permet d’utiliser un annuaire LDAP que si la connection à celui-ci est sécurisée et permet d’authentifier cette connexion avec un certificat et non un mot de passe.

Tagcloud
Ubuntu automontage kernel authentification orgcamp NetworkManager Internet identification PSL Science-Fiction JDLL postfix Opinions Gentoo Éducation Iptables OSM rubber sympa GNU-Linux Educ Libre PlanetUbuntuFr PlanetUbuntu nfs UbuntuFr Mathématiques auto hébergement Python compilation dovecot Mozilla Mandriva Emacs Perso eCryptfs April Drupal beamer automatisation shell DNS Voile Mutt orgmode Société LDAP Réflexions SNCF configuration Épinay redmine sqlite php CAPES Spam OpenVPN CPL dotclear ISN vélo mail installation OpenSSL GCC X.org sudo ArchLinux fail vserver IPv6 Debian Coups de gueule LaTeX Admin Sys Free Parinux RaspberryPi Vie numérique Essai sieve gpg vim fun Randonnée SPF OpenStack Informatique Coup de gueule Lectures Paris Web imap RATP Technique CLI code KDE roundcube Munin