Single Sign-OnNous arrivons à la fin de notre série d’articles sur l’authentification centralisée sous Linux. Maintenant que nous avons abordé toutes les briques logicielles nécessaires pour une telle configuration, ce n’est peut-être pas une mauvaise idée de donner une vue d’ensemble qui vous permettra de mettre en place vos propres profils itinérants.

Voici toute la procédure à suivre, pas à pas.

  1. Installez et configurez un serveur CentOS 7.
  2. Configurez un serveur NFS sur cette machine.
  3. Exportez le répertoire /home pour les postes clients du réseau local.
  4. Installez 389 Directory Server sur le serveur.
  5. Définissez les utilisateurs.
  6. Mettez en place une autorité de certification TLS.
  7. Sécurisez les connexions à l’annuaire.
  8. Installez vos postes clients sous OpenSUSE Leap 15.1 KDE.
  9. Peaufinez la configuration des postes clients.
  10. Configurez le répertoire /home partagé sur les postes clients.
  11. Authentifiez les postes clients sur le serveur.

ImportantÉtant donné que vous n’aurez plus accès à vos comptes utilisateurs locaux une fois que vous aurez configuré l’accès au partage NFS, vous devrez lancer YaST en ligne de commande pour définir l’accès à l’annuaire.

# yast

YaST LDAP

Si l’on a opté pour la création automatique des répertoires utilisateur au moment de la première connexion, il faut impérativement modifier la configuration du serveur NFS comme ceci.

# /etc/exports
/home  192.168.2.0/24(rw,async,no_subtree_check,no_root_squash) \
         *.microlinux.lan(rw,async,no_subtree_check,no_root_squash)

Dans la configuration par défaut, les répertoires utilisateur sont créés avec des permissions réglées à 0755 (drwxr-xr-x), ce qui est aberrant en termes de confidentialité. Pour définir des permissions saines comme 0700 (drwx------), on peut s’y prendre de plusieurs manières.

Soit on ajoute la ligne suivante à /etc/profile, ce qui est un peu sale.

chmod 700 /home/$(whoami) >> /dev/null 2>&1

Soit on fait les choses proprement.

# pam-config --add --mkhomedir-umask=0077

Vérifier si la configuration s’inscrit bien dans le fichier /etc/pam.d/common-session-pc.

# grep mkhomedir /etc/pam.d/common-session-pc
session optional pam_mkhomedir.so umask=0077

À partir de là, les répertoires utilisateur sont créés avec les droits d’accès qui vont bien.

# ls -l /home/
total 24
drwx------ 18 adebuf    users 4096 29 avril 17:34 adebuf
drwx------ 18 fbanester users 4096 29 avril 17:34 fbanester
drwx------ 18 fteyssier users 4096 29 avril 16:00 fteyssier
drwx------ 18 jmortreux users 4096 29 avril 17:10 jmortreux
drwx------ 18 nkovacs   users 4096 29 avril 17:34 nkovacs

Il ne reste plus qu’à rebasculer les clients en mode graphique.

# systemctl set-default graphical.target

La rédaction de cette documentation demande du temps et des quantités significatives de café espresso. Vous appréciez ce blog ? Offrez un café au rédacteur en cliquant sur la tasse.