Projet

Général

Profil

Scénario #28777

Étudier la délégation d'authentification OpenLDAP (Pass-Trough) avec SASL

Ajouté par Joël Cuissinat il y a presque 5 ans. Mis à jour il y a environ 4 ans.

Statut:
Terminé (Sprint)
Priorité:
Normal
Assigné à:
Daniel Dehennin
Version cible:
Distribution EOLE - sprint 2019 39-41 Equipe MENSR
Début:
10/10/2019
Echéance:
11/10/2019
% réalisé:

100%

Points de scénarios:
6.0
Restant à faire (heures):
0.00 heure
Estimation basée sur la vélocité:
Release:
EOLE 2.7.1.1
Liens avec la release:
Auto

Description

Cf. https://ltb-project.org/documentation/general/sasl_delegation

Sous-tâches

Tâche #29092: Reproduire les étapes décrites dans le scénarioFerméJoël Cuissinat

Demandes liées

Lié à eole-saslauthd - Scénario #29695: Scribe 2.8 devrait proposer nativement la délégation d'authentification OpenLDAP avec SASL Terminé (Sprint) 14/04/2020 30/04/2020

Historique

#1 Mis à jour par Gilles Grandgérard il y a plus de 4 ans

  • Echéance mis à 20/09/2019
  • Version cible mis à sprint 2019 36-38 Equipe MENSR
  • Début mis à 20/08/2019

#2 Mis à jour par Joël Cuissinat il y a plus de 4 ans

  • Points de scénarios mis à 6.0

#3 Mis à jour par Joël Cuissinat il y a plus de 4 ans

  • Version cible changé de sprint 2019 36-38 Equipe MENSR à sprint 2019 39-41 Equipe MENSR

#4 Mis à jour par Daniel Dehennin il y a plus de 4 ans

Le paquet openldap utilisé sur Bionic utilise bien les options --enable-spasswd et --with-cyrus-sasl.

#5 Mis à jour par Daniel Dehennin il y a plus de 4 ans

Test réalisé

  • etb1.amon-2.7.1.1-instance-default
  • etb1.scribe-2.7.1.1-instance-AvecImport
  • etb1.pcprofs-10 intégré au domaine

Installation et paramétrage de saslauthd

  • Installation du paquet
    apt install sasl2-bin
  • Configuration de la connexion LDAP sur ADDC
    cat > /etc/saslauthd.conf <<EOF
ldap_servers: ldaps://addc.dompedago.etb1.lan
ldap_search_base: DC=dompedago,DC=etb1,DC=lan
ldap_auth_method: bind
ldap_bind_dn: CN=Administrator,CN=Users,DC=dompedago,DC=etb1,DC=lan
ldap_password: Eole12345!
ldap_filter: (userPrincipalName=%u)
ldap_deref: never
ldap_tls_cacert_file: /var/lib/lxc/addc/rootfs/var/lib/samba/private/tls/ca.pem
EOF
  • Configuration du service
    sed -i -e 's,^START=.*,START=yes,' \
       -e 's,^MECHANISMS=.*,MECHANISMS="ldap",' \
       -e 's,^OPTIONS=",OPTIONS="-r ,' /etc/default/saslauthd
  • Démarrer le service
    systemctl start saslauthd.service
  • Test SASL avec le compte admin
    testsaslauthd -u admin@dompedago.etb1.lan -p eole
0: OK "Success."

Adaptation de la configuration OpenLDAP

  • Configuration SASL
    cat > /etc/ldap/sasl2/slapd.conf <<EOF
pwcheck_method: saslauthd
saslauthd_path: /var/run/saslauthd/mux
EOF
  • L’utilisateur openldap doit faire partie du groupe sasl
    adduser openldap sasl
  • Configurer apparmor pour l’accès slapd au socket saslauthd
    cat > /etc/apparmor.d/local/usr.sbin.slapd <<EOF
/{,var/}run/saslauthd/mux rw,
EOF
  • Redémarrer le service apparmor
    systemctl restart apparmor.service
  • Redémarrer le service slapd
    systemctl restart slapd.service

Vérifier le fonctionnement

  • Créer un LDIF pour modifier le mot de passe de l’utilisateur admin
    cat > admin.ldif <<EOF
dn: uid=admin,ou=local,ou=personnels,ou=utilisateurs,ou=00000001,ou=ac-test,ou=education,o=gouv,c=fr
changetype: modify
replace: userPassword
userPassword: {SASL}admin@dompedago.etb1.lan
-
EOF
  • Appliquer la modification
    ldapmodify -Dcn=admin,o=gouv,c=fr -w $(awk -F'=' '/^masterPw/ {print $2}' /etc/smbldap-tools/smbldap_bind.conf | tr -d '"') -f admin.ldif

Vérifier que nous pouvons faire une recherche authentifié sur l’annuaire :

ldapsearch -LLL -x -D uid=admin,ou=local,ou=personnels,ou=utilisateurs,ou=00000001,ou=ac-test,ou=education,o=gouv,c=fr -w eole '(uid=admin)' userPassword | awk '/^userPassword/ {print $2}' | base64 -d; echo

ce qui doit renvoyer :

{SASL}admin@dompedago.etb1.lan

Nous pouvons mainenant modifier le mot de passe de l’utilisateur admin depuis un poste windows intégré au domaine et refaire la requête précédente en modifier le mot de passe (-w eole).

#6 Mis à jour par Joël Cuissinat il y a plus de 4 ans

  • Statut changé de Nouveau à En cours
  • Assigné à mis à Daniel Dehennin

#7 Mis à jour par Joël Cuissinat il y a plus de 4 ans

  • Statut changé de En cours à Terminé (Sprint)

#8 Mis à jour par Joël Cuissinat il y a environ 4 ans

  • Sujet changé de Étudier la délégation d'autentification OpenLDAP (Pass-Trough) avec SASL à Étudier la délégation d'authentification OpenLDAP (Pass-Trough) avec SASL

#9 Mis à jour par Joël Cuissinat il y a environ 4 ans

  • Lié à Scénario #29695: Scribe 2.8 devrait proposer nativement la délégation d'authentification OpenLDAP avec SASL ajouté

#10 Mis à jour par Joël Cuissinat il y a environ 4 ans

  • Projet changé de Distribution EOLE à eole-saslauthd

Formats disponibles : Atom PDF