j'ai une debian avec authentification ldap : pam_ldap, nss_ldap, autofs, nfs ...
 
tout marche bien.
 
 
sur mes clients, j'ai epluché pam_ldap.conf et j'ai trouvé:
 
# Group to enforce membership of
pam_groupdn cn=profs,ou=Groups,dc=shuttle,dc=com
 
# Group member attribute
pam_member_attribute uniquemember
 
donc normalement seuls gens du groupe profs peuvent de logguer:
 
pourant dans tous les cas j'ai ca kan je veux me logguer:
You must be a uniquemember of cn=profs,ou=Groups,dc=shuttle,dc=com to login.
 
et je suis loggué

personne vraiement ?

Si:
 

 
s'affiche, c'est que le test de ldap est bon. En revanche, si on te donne l'accès, c'est qu'il est validé par un autre module pam.
 
(Pas facile à expliquer, mais si tu vas lire les docs sur PAM, tu comprendras mieux).
 
En fait, pam est séquentiel, et vérifie le résultat pour différents groupes de modules: auth, account, password et session.
 
Si tu veux qu'il n'y ait pas d'accès, il te faut vérifier que dans le groupe "account", tu aies le module pour ldap à la valeur required, et dans le bon sens.
 
Exemple pour les machines que je gère dans un parc, avec auth kerberos (et unix pour le local), le pam.d/login ressemble à ca:
 

 
Edit: conseil, si tu vas trifouiller des règles pam, fait attention, y'a moyen de te couper ton accès si tu te plantes dans la config. Pour tester, je fais généralement des ssh en localhost, en modifiant le fichier /etc/pam.d/ssh.
 
NB: avec les règles pam ci dessus, ca fonctionne comme souhaité.

ouais je me disais bien que ca venait surement de mes directives pam.
 
sinon, je vois que tu as intégré kerberos, t'as un 2003 server avec AD ?
 
ou alors tu as une architecture full linux ?
 
tu peux m'en dire plus sur ta config kerberos et comment ca se met en place ?
 
pour le cas d'une archi full linux, comment ca s'integre dans LDAP ?  
on peut faire quoi concretement ?

 
Non j'ai un kerberos MIT, mais j'ai tout de même fait une étude d'intégration avec un AD + samba pour forward de tickets
 

 
Plus ou moins oui, les windows étant géré par un samba NT (mon établissement ayant refusé de payer une licence pour AD).
 

 
Je suis en train d'écrire une série d'article dessus, qui brosse tout le paquet installation/migration vers un kerberos (MIT ou Heimdal) + services associés, en environnement linux/windows.
 
Je pense que j'aurais terminé courant juillet, le temps de relire tout ca avec mon admin système principal et ca sera publié je pense.
 

 
Très bien, krb gère l'authentification et ldap tout ce qui est diffusion de données compte et système: mails, quotas, etc.
 
Edit: bien évidemment, ldap (openldap) utilise la gssapi si le slapd.conf est dûment configuré, donc les accès et les droits sont gérés par ldap suivant le ticket qui authentifie l'utilisateur au service.
 

 
En l'état actuel des choses, j'ai une salle info de 15 machines avec 350 comptes partagés sur des windows/linux, et tout le tralala possible:
- SSO sur le site intranet avec firefox/konqueror,
- profils itinérants,
- montages NFS des homes plus "sécurisés" (via NFS4 + gssapi),
- etc.
 
On peut faire quoi concrètement? Beaucoup de choses, en tout cas, bien plus que ne me le permettait la vieille combo NIS + samba NT. Mais techniquement, c'est un cran au dessus, ca ne se met pas aussi facilement en place qu'un NIS, et c'est bien moins documenté. D'ou mes articles, pour aider un chouia ceux qui voudraient franchir le pas

en tout cas ca me passionne, des que tu auras fini tes articles, fais le moi savoir

ok
 
Mes examens étant fini, ca devrait aller plus vite maintenant