Scénario #28777
Étudier la délégation d'authentification OpenLDAP (Pass-Trough) avec SASL
Statut:
Terminé (Sprint)
Priorité:
Normal
Assigné à:
Version cible:
Début:
10/10/2019
Echéance:
11/10/2019
% réalisé:
100%
Points de scénarios:
6.0
Restant à faire (heures):
0.00 heure
Estimation basée sur la vélocité:
Release:
Liens avec la release:
Auto
Description
Cf. https://ltb-project.org/documentation/general/sasl_delegation
- utiliser une version d'OpenLDAP compilée avec l'option
--enable-passwd
(https://ltb-project.org/documentation/openldap-deb ?) - configurer le service saslauthd (paquets sasl2-bin)
- modifier l'attribut userPassword d'un ou plusieurs utilisateurs
Sous-tâches
Demandes liées
Historique
#1 Mis à jour par Gilles Grandgérard il y a plus de 4 ans
- Echéance mis à 20/09/2019
- Version cible mis à sprint 2019 36-38 Equipe MENSR
- Début mis à 20/08/2019
#2 Mis à jour par Joël Cuissinat il y a plus de 4 ans
- Points de scénarios mis à 6.0
#3 Mis à jour par Joël Cuissinat il y a plus de 4 ans
- Version cible changé de sprint 2019 36-38 Equipe MENSR à sprint 2019 39-41 Equipe MENSR
#4 Mis à jour par Daniel Dehennin il y a plus de 4 ans
Le paquet openldap
utilisé sur Bionic utilise bien les options --enable-spasswd
et --with-cyrus-sasl
.
#5 Mis à jour par Daniel Dehennin il y a plus de 4 ans
Test réalisé¶
etb1.amon-2.7.1.1-instance-default
etb1.scribe-2.7.1.1-instance-AvecImport
etb1.pcprofs-10
intégré au domaine
Installation et paramétrage de saslauthd
¶
- Installation du paquet
apt install sasl2-bin
- Configuration de la connexion LDAP sur ADDC
cat > /etc/saslauthd.conf <<EOF ldap_servers: ldaps://addc.dompedago.etb1.lan ldap_search_base: DC=dompedago,DC=etb1,DC=lan ldap_auth_method: bind ldap_bind_dn: CN=Administrator,CN=Users,DC=dompedago,DC=etb1,DC=lan ldap_password: Eole12345! ldap_filter: (userPrincipalName=%u) ldap_deref: never ldap_tls_cacert_file: /var/lib/lxc/addc/rootfs/var/lib/samba/private/tls/ca.pem EOF
- Configuration du service
sed -i -e 's,^START=.*,START=yes,' \ -e 's,^MECHANISMS=.*,MECHANISMS="ldap",' \ -e 's,^OPTIONS=",OPTIONS="-r ,' /etc/default/saslauthd
- Démarrer le service
systemctl start saslauthd.service
- Test SASL avec le compte admin
testsaslauthd -u admin@dompedago.etb1.lan -p eole 0: OK "Success."
Adaptation de la configuration OpenLDAP¶
- Configuration SASL
cat > /etc/ldap/sasl2/slapd.conf <<EOF pwcheck_method: saslauthd saslauthd_path: /var/run/saslauthd/mux EOF
- L’utilisateur
openldap
doit faire partie du groupesasl
adduser openldap sasl
- Configurer apparmor pour l’accès
slapd
au socketsaslauthd
cat > /etc/apparmor.d/local/usr.sbin.slapd <<EOF /{,var/}run/saslauthd/mux rw, EOF
- Redémarrer le service
apparmor
systemctl restart apparmor.service
- Redémarrer le service
slapd
systemctl restart slapd.service
Vérifier le fonctionnement¶
- Créer un LDIF pour modifier le mot de passe de l’utilisateur
admin
cat > admin.ldif <<EOF dn: uid=admin,ou=local,ou=personnels,ou=utilisateurs,ou=00000001,ou=ac-test,ou=education,o=gouv,c=fr changetype: modify replace: userPassword userPassword: {SASL}admin@dompedago.etb1.lan - EOF
- Appliquer la modification
ldapmodify -Dcn=admin,o=gouv,c=fr -w $(awk -F'=' '/^masterPw/ {print $2}' /etc/smbldap-tools/smbldap_bind.conf | tr -d '"') -f admin.ldif
Vérifier que nous pouvons faire une recherche authentifié sur l’annuaire :
ldapsearch -LLL -x -D uid=admin,ou=local,ou=personnels,ou=utilisateurs,ou=00000001,ou=ac-test,ou=education,o=gouv,c=fr -w eole '(uid=admin)' userPassword | awk '/^userPassword/ {print $2}' | base64 -d; echo
ce qui doit renvoyer :
{SASL}admin@dompedago.etb1.lan
Nous pouvons mainenant modifier le mot de passe de l’utilisateur admin
depuis un poste windows intégré au domaine et refaire la requête précédente en modifier le mot de passe (-w eole
).
#6 Mis à jour par Joël Cuissinat il y a plus de 4 ans
- Statut changé de Nouveau à En cours
- Assigné à mis à Daniel Dehennin
#7 Mis à jour par Joël Cuissinat il y a plus de 4 ans
- Statut changé de En cours à Terminé (Sprint)
#8 Mis à jour par Joël Cuissinat il y a environ 4 ans
- Sujet changé de Étudier la délégation d'autentification OpenLDAP (Pass-Trough) avec SASL à Étudier la délégation d'authentification OpenLDAP (Pass-Trough) avec SASL
#9 Mis à jour par Joël Cuissinat il y a environ 4 ans
- Lié à Scénario #29695: Scribe 2.8 devrait proposer nativement la délégation d'authentification OpenLDAP avec SASL ajouté
#10 Mis à jour par Joël Cuissinat il y a environ 4 ans
- Projet changé de Distribution EOLE à eole-saslauthd