| Sommaire |
|---|
Boot sur CD Fedora 10.
- FQDN : clinux.ifsic.univ-rennes1.fr
- IP : 148.60.10.52
Authentification
Configurer l'authentification des utilisateurs avec system-config-authentication :
- User information : Enable LDAP support, LDAP search base DN : ou=people,dc=univ-rennes1,dc=fr, LDAP server : ldap:ldapglobal.univ-rennes1.fr
- Authentication : Enable Kerberos support, Realm : UNIV-RENNES1.FR, KDCs : kerb.ifsic.univ-rennes1.fr:88, Admin servers : kerb.ifsic.univ-rennes1.fr:749
- sur les gentoo de l'IFSIC : il faut installer les paquets mit-krb5 et pam_krb5 et au final le fichier /etc/pam.d/system-auth doit avoir l'allure suivante :
Configuration Kerberos
Bloc de code auth required pam_env.so auth sufficient pam_unix.so likeauth nullok auth sufficient pam_krb5.so try_first_pass auth required pam_deny.so account required pam_unix.so broken_shadow account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid < 500 quiet account [default=bad success=ok user_unknown=ignore] pam_krb5.so account required pam_permit.so password required pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2 retry=3 password sufficient pam_unix.so nullok md5 shadow use_authtok password required pam_deny.so session optional pam_keyinit.so revoke session required pam_limits.so session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid session required pam_unix.so session optional pam_krb5.so
Configuration Kerberos
Vérifier le fichier Modification de /etc/krb5.conf :
| Bloc de code |
|---|
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = UNIV-RENNES1.FR
default_etypes = des3-hmac-sha1 des-cbc-crc
default_tkt_enctypes = des3-hmac-sha1 des-cbc-crc
default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc
permitted_enctypes = des3-hmac-sha1 des-cbc-crc rc4-hmac
ticket_lifetime = 24h
forwardable = yes
[realms]
UNIV-RENNES1.FR = {
kdc = kerb.ifsic.univ-rennes1.fr:88
admin_server = kerb.ifsic.univ-rennes1.fr:749
default_domain = univ-rennes1.fr
}
[domain_realm]
.univ-rennes1.fr = UNIV-RENNES1.FR
univ-rennes1.fr = UNIV-RENNES1.FR
[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
} |
...
Vérification de l'authentification des utilisateurs :
| Bloc de code |
|---|
\[root@clinux log\~]# su - paubry su: warning: cannot change directory to /private/staff/y/ry/paubry: No such file or directory id: cannot find name for group ID 20857 \su: /bin/csh: No such file or directory [paubry@clinux log\~]$ exit logout \[root@clinux log\]# |
Monter les homedirs des utilisateurs en ajoutant dans /etc/fstab les lignes suivantes :
| Bloc de code |
|---|
sf1ifsic:/vol/vol1/private/student /private/student nfs exec,nolock,dev,suid,rw,rsize=8192,wsize=8192 1 1 sf1ifsic:/vol/vol2/private/staff /private/staff nfs exec,nolock,dev,suid,rw,rsize=8192,wsize=8192 1 1 |
Créer puis monter les répertoires d'accueil :
| Bloc de code |
|---|
\[root@clinux \~\]# \[root@clinux \~\]# cd / \[root@clinux /\]# mkdir \-p /private/staff \[root@clinux /\]# mkdir \-p /private/student \[root@clinux /\]# mount \-a \[root@clinux /\]# mount \[...\] sf1ifsic:/vol/vol1/private/student on /private/student type nfs (rw,nolock,rsize=8192,wsize=8192,addr=148.60.4.42) sf1ifsic:/vol/vol2/private/staff on /private/staff type nfs (rw,nolock,rsize=8192,wsize=8192,addr=148.60.4.42) \[root@clinux /\]# |
Ajouter si nécessaire le groupe des utilisateurs en local en ajoutant dans le fichier /etc/group :
| Bloc de code |
|---|
staff:x:20857: |
Enfin vérifier à nouveau le login des utilisateurs :
| Bloc de code |
|---|
\[root@clinux \~\]# su - paubry \[paubry@clinux \~\]$ exit logout \[root@clinux \~\]# |
Configuration Firefox
Pour que l'authentification Kerberos soit propagée par Firefox, une petite configuration est nécessaire comme indiqué sur cette page : Configuration de Firefox (archive)A compléter