Linux Authentication Against Active Directory
on LDAP/SSL

Authentification Linux sur Active Directory (LDAP/SSL)

LAAAD
SYSTEME Linux / Windows 200X server
APPLICATION authentification Linux sur Active Directory LDAP/SSL
OBJECTIF permettre l'intégration de stations Linux sur un réseau Windows 200X (Active Directory) en utilisant des protocoles standards
SUJET authentification LDAP sur Active Directory
-authentification des utilisateurs sur des comptes Active Directory externes (aucun compte local Linux)
-sécurité SSL des requêtes
-création automatique du répertoire utilisateur
-connexion et déconnexion d'une session avec un serveur SMB contenant les répertoires utilisateurs, montage et démontage automatique du volume réseau
installation à distance possible sur un canal SSH
TECHNOLOGIES les technologies employées
- LDAP pour le recours à un annuaire LDAP centralisé
- cryptage SSL des requêtes avec soit
   -OpenLDAP+OpenSSL ou
   -OpenLDAP+stunnel comme service xinetd ou service autonome
- NSS (Name Service Switch) pour intégrer les comptes Active Directory dans Linux
- PAM pour l'ouverture et la fermeture automatiques d'une session SMB, le montage et le démontage automatique du volume (sans être root)
- PAM pour la création automatique du répertoire de base qui n'a pas à être préexistant
AUTEUR Bernard Bou bbou@ac-toulouse.fr
FEEDBACK Bernard Bou bbou@ac-toulouse.fr
DATE 20/12/2004
VERSION 2.0
REVISION 2
MOTS CLES Linux LDAP NSS SSL PAM Active Directory nss_ldap stunnel pam_mount pam_mkhomedir

A lire

A lire impérativement avant de commencer

Modules

LAAAD se situe dans la tradition Unix d'intégration de modules existants. L'intégration se fait par des scripts shell ou Python.  Voir le détail des modules et les fichiers installés ou modifiés

Ce que fait LAAAD


Active Directory
  • étendre le schéma Active Directory pour qu'il contienne les attributs Unix : on définit une classe posixAccount et posixGroup entre autres
  • renseigner ces attributs (choisir le shell, les répertoires de base, hasher le mot de passe) : ceci est automatisé par des scripts ou DB2DIR
  • installer une autorité de certification si l'on n'en a pas (nécessaire pour l'étape suivante)
  • certifier les serveurs d'annuaires du domaine (via les stratégies de groupe)

Linux

  • vérifier que les paquetages openldap, openssl, nss_ldap (et éventuellement python, tkinter) sont installés
  • configurer nss_ldap, NSS et LDAP
  • installer pam_mount et configurer
  • configurer pam_mkhomedir

La totalité de l'installation Linux est prise en charge par des scripts ce qui permet de monter un nombre important de stations Linux en un minimum de temps. L'installation à distance est de plus possible si un canal SSH est disponible.