Partenaires

CNRS

Rechercher

Sur ce site

Sur le Web du CNRS


Accueil du site > Expériences > CREMI > Postes de travails : LINUX

Postes de travails : LINUX

par Christophe Delmon - 3 février 2012

Toujours la même idée qui est d’utiliser les outils les plus standards, éviter les solutions un peu exotiques. De ce fait, les utilisateurs sont authentifiés/Identifiés via des mécaniques standardisées autrement dit : Kerberos/LDAP.

L’autre idée est d’essayer en premier le royaume BX1 puis le royaume local CREMI.EMI.U-BORDEAUX1.FR.

Ubuntu

- Les paquets : libpam-krb5 krb5-user libpam-ldap krb5-user
- les fichiers de configurations :

/etc/krb5.conf
/etc/ldap.conf
/etc/pam.d/common-account
/etc/pam.d/common-auth
/etc/pam.d/common-password
/etc/pam.d/common-session
/etc/nsswitch.conf

- krb5.conf : Il faut faire attention au timeout, en effet certain timeout de bibliothèques utilisées par pam-krb5 sont plus long que le timeout général du login. L’astuce et de ne pas utiliser krb5 pour certain utilisateur, exemple root. c’est le paramètre        minimum_uid=2000.

  • Attention au type de crytage utilisé : Windows XP ne supporte que arcfour-hmac-md5

- /etc/ldap.conf, sur la premiere ligne mettre tous les serveurs LDAP à utilisé. Il se trouve juste que ce sont des serveur AD qui ont un accès en lecture anonyme autorisé.

- /etc/pam.d/common-auth

- /etc/pam.d/common-password, le changement de mot de passe n’est pas permis.

- /etc/pam.d/common-account

- /etc/pam.d/common-session

- /etc/nsswitch.conf

- /etc/ssh/ssh_config, pour utiliser les tickets kerberos avec gssapi

Astuces

Avant de passer directement au authentification pam, il est possible, dès le moment ou un fichier krb5.conf existe de tester les tickets kerberos.
- kinit : Optenir un ticket sur le royaume par défaut

  • kinit user@REALM : Un ticket pour le royaume REALM.

- klist : lister les tickets.

  • klist -e : avec les cryptages utilisé.

- kdestroy : détruire tous ses tickets.
- exemples :