Nous arrivons à la fin de notre série d’articles sur l’authentification centralisée sous Linux. Maintenant que nous avons abordé toutes les briques logicielles nécessaires pour une telle configuration, ce n’est peut-être pas une mauvaise idée de donner une vue d’ensemble qui vous permettra de mettre en place vos propres profils itinérants.
Voici toute la procédure à suivre, pas à pas.
- Installez et configurez un serveur CentOS 7.
- Configurez un serveur NFS sur cette machine.
- Exportez le répertoire
/homepour les postes clients du réseau local. - Installez 389 Directory Server sur le serveur.
- Définissez les utilisateurs.
- Mettez en place une autorité de certification TLS.
- Sécurisez les connexions à l’annuaire.
- Installez vos postes clients sous OpenSUSE Leap 15.1 KDE.
- Peaufinez la configuration des postes clients.
- Configurez le répertoire
/homepartagé sur les postes clients. - Authentifiez les postes clients sur le serveur.
Étant donné que vous n’aurez plus accès à vos comptes utilisateurs locaux une fois que vous aurez configuré l’accès au partage NFS, vous devrez lancer YaST en ligne de commande pour définir l’accès à l’annuaire.
# yast
Si l’on a opté pour la création automatique des répertoires utilisateur au moment de la première connexion, il faut impérativement modifier la configuration du serveur NFS comme ceci.
# /etc/exports
/home 192.168.2.0/24(rw,async,no_subtree_check,no_root_squash) \
*.microlinux.lan(rw,async,no_subtree_check,no_root_squash)
Dans la configuration par défaut, les répertoires utilisateur sont créés avec des permissions réglées à 0755 (drwxr-xr-x), ce qui est aberrant en termes de confidentialité. Pour définir des permissions saines comme 0700 (drwx------), on peut s’y prendre de plusieurs manières.
Soit on ajoute la ligne suivante à /etc/profile, ce qui est un peu sale.
chmod 700 /home/$(whoami) >> /dev/null 2>&1
Soit on fait les choses proprement.
# pam-config --add --mkhomedir-umask=0077
Vérifier si la configuration s’inscrit bien dans le fichier /etc/pam.d/common-session-pc.
# grep mkhomedir /etc/pam.d/common-session-pc session optional pam_mkhomedir.so umask=0077
À partir de là, les répertoires utilisateur sont créés avec les droits d’accès qui vont bien.
# ls -l /home/ total 24 drwx------ 18 adebuf users 4096 29 avril 17:34 adebuf drwx------ 18 fbanester users 4096 29 avril 17:34 fbanester drwx------ 18 fteyssier users 4096 29 avril 16:00 fteyssier drwx------ 18 jmortreux users 4096 29 avril 17:10 jmortreux drwx------ 18 nkovacs users 4096 29 avril 17:34 nkovacs
Il ne reste plus qu’à rebasculer les clients en mode graphique.
# systemctl set-default graphical.target
La rédaction de cette documentation demande du temps et des quantités significatives de café espresso. Vous appréciez ce blog ? Offrez un café au rédacteur en cliquant sur la tasse.
