Niveau :      
Résumé :

Gestion des connexions

Pam_ldap dispose d'options avancées pour gérer les connexion des utilisateurs et limiter leur accès.

  • Interdire certains utilisateurs sur la base d'un attribut avec pam_filter
  • Vérifier la politique de mot de passe avec pam_lookup_policy
  • Vérifier que l'utilisateur se connecte à une machine autorisée avec pam_check_host_attr
  • Vérifier que l'utilisateur est autorisé à se connecter sur le service pam donné (exemple ssh) avec pam_check_service_attr
  • Vérifier qu'un utilisateur appartient bien à un groupe pour avoir le droit de se connecter avec pam_groupdn
  • Vérifier que seuls les utilisateurs créés à la main peuvent se connacter avec pam_min_uid et pam_max_uid

LDAP est capable de gérer des politiques de mot de passe, ceci fera l'objet d'un article indépendant.

Connexion sécurisées

La configuration est très bien telle quelle pour un serveur LDAP local.

A partir du moment où le serveur LDAP est distant, il peut être bon de sécuriser un minimum les communication avec le serveur. Pensez à utiliser TLS ! Tant que vous y êtes, faites-vous un certificat client pour votre machine, ça ne coûte pas grand chose.

Cache local

Pour éviter les problèmes de coupure réseau avec le serveur ldap, vous avez deux solutions :

Réplication locale du serveur LDAP

Remplissage d'une base statique

Automount home

Puisque le LDAP se comporte de notre point de vue comme NIS, il semble logique d'avoir aussi des répertoire home communs. On va donc reprendre la technologie correspondante : NFS et faire en sorte que les répertoires homes soient disponibles automatiquement sur toutes les machines.

Politique de mot de passe Option de PAM