Differences

This shows you the differences between two versions of the page.

--- ldap_over_tls [2015/08/02 15:16]
0.0.0.0 aangemaakt
+++ ldap_over_tls [2021/11/23 14:14] (current)
@@ Line 1: / Line 1: @@
-====== LDAP_Over_TLS ======
+====== LDAP Over TLS ======
-[[Category:Prutsen]]
+{{tag>"Prutsen" }}
 ===== Overzicht =====
@@ Line 17: / Line 17: @@
 <code>/etc/pam.d/common-auth</code>
-<code>0@@</code>
+<code>
+auth    [[success=1|default=ignore]]  pam_unix.so
+auth    required    pam_ldap.so use_first_pass
+auth    required    pam_permit.so
+</code>
 Wat doet dat? Eerst probeert hij in te loggen via pam_unix, wat eigenlijk inloggen is met gewoon lokaal passw/shadow file. Wanneer dat niet lukt negeert hij het resultaat en probeert pam_ldap die bij de ldap server zal checken. Als dat niet werkt hebben we failure. De pam_permit.so is nodig om remote als root in te kunnen loggen.
@@ Line 24: / Line 28: @@
 <code>/etc/pam.d/common-password</code>
-<code>1@@</code>
+<code>
+password sufficient pam_ldap.so
+</code>
 ==== Configureren LDAP en TLS ====
@@ Line 30: / Line 36: @@
 Een minimale file volgt, vul het gewoon het skelet dat al aanwezig is op dezelfde manier in, let op de lokatie van de .crt file die je zelf moet overkopiëren!
-<code>2@@</code>
+<code>
+  - The distinguished name of the search base.
+base dc=zeus,dc=ugent,dc=be
+  - Another way to specify your LDAP server is to provide an
+  - uri with the server name. This allows to use
+  - Unix Domain Sockets to connect to a local LDAP Server.
+uri ldap://cartman.sp/
+  - The LDAP version to use (defaults to 3
+  - if supported by client library)
+ldap_version 3
+  - The port.
+  - Optional: default is 389.
+port 389
+  - don't hash the password
+pam_password md5
+  - use tls
+ssl start_tls
+  - Require and verify server certificate (yes/no)
+tls_checkpeer yes
+  - CA certificates for server certificate verification
+tls_cacertfile /etc/ldap/zeus_ca.crt
+</code>
 ==== Aanpassen resolver ====
 Vinden van user enzo moet dan ook vanuit ldap. Pas gewoon /etc/nsswitch.conf aan waarbij de eerste drie lijnen zijn:
-<code>3@@</code>
+<code>
+passwd:         compat ldap
+group:          compat
+shadow:         compat ldap
+</code>
 ===== Enkele Gotcha's =====
   - De .crt file moet world readable zijn en in een world readable directory staan
@@ Line 41: / Line 80: @@
   - let erop dat de URI bovenaan expliciet cartman vermeldt. Het probleem is dat cartman.sp op het certificate staat als common name, en de libraries verwachten dat deze ook de host is met welke verbonden wordt. Als daar een IP zou staan zou het niet werken. Een oplossing? een nieuw certificaat maken waarbij de common name iets is als "ldapauth.sp" ofzo en dan ldapauth.sp toevoegen aan onze DNS.
   - Momenteel is nog een overgangsperiode. Plaintext authentication is dus nog altijd mogelijk. Ik zal nog eens een stuk toevoegen over hoe dat te disablen in de slapd.conf.