Pour comprendre le fonctionnement du module client LDAP de YaST, vous devez connaître les processus s'exécutant en arrière-plan sur votre machine cliente. Si vous activez LDAP pour l'authentification réseau pendant l'installation ou si vous appelez le module de YaST, les paquetages pam_ldap et nss_ldap sont installés et les deux fichiers de configuration correspondants sont modifiés. pam_ldap est le module PAM responsable de la communication entre les processus de connexion et l'annuaire LDAP utilisé comme source des données d'authentification. Le module dédié pam_ldap.so est installé et la configuration de PAM est modifiée (voir Exemple 29.11, « pam_unix2.conf modifié pour LDAP »).

auth:       use_ldap nullok account:    use_ldap password:
     use_ldap nullok session:    none

Si vous souhaitez configurer à la main des services supplémentaires pour les utiliser avec LDAP, ajoutez le module LDAP PAM au fichier de configuration de PAM dans /etc/pam.d/. Vous trouverez des fichiers de configuration déjà adaptés à différents services dans /usr/share/doc/packages/pam_ldap/pam.d/. Copiez les fichiers correspondants dans /etc/pam.d/.

Modifiez la résolution de noms de la bibliothèque glibc à l'aide du programme nss_ldap en utilisant le mécanisme nsswitch pour permettre l'utilisation de LDAP. En installant ce paquetage, un nouveau fichier nsswitch.conf modifié est enregistré dans /etc. Pour plus de précisions sur le fonctionnement de nsswitch.conf, reportez-vous à la section Section 22.5.1, « Fichiers de configuration ». Pour la gestion des utilisateurs ou leur authentification avec LDAP, votre fichier nsswitch.conf doit comporter les lignes suivantes. Voir Exemple 29.12, « Adaptations dans nsswitch.conf ».

passwd: compat group: compat passwd_compat: ldap group_compat: ldap
    

Ces lignes demandent à la bibliothèque de résolution de glibc d'évaluer dans un premier temps les fichiers correspondants dans le répertoire /etc et d'accéder ensuite au serveur LDAP. Vous pouvez tester ce mécanisme par exemple en lisant le contenu de la base de données d'utilisateurs à l'aide de de la commande getent passwd. Le résultat doit présenter aussi bien les utilisateurs locaux présents sur votre système que tous les utilisateurs présents sur le serveur LDAP.

Si vous voulez empêcher que les utilisateurs normaux administrés par LDAP ne puissent se connecter au serveur à l'aide de ssh ou de login, vous devez ajouter une ligne dans /etc/passwd et /etc/group : +::::::/sbin/nologin dans /etc/passwd et +::: dans /etc/group.

Une fois que nss_ldap, pam_ldap, /etc/passwd et /etc/groupont été convenablement modifiés par YaST, vous pouvez commencer les opérations de configuration à proprement parler dans la première boîte de dialogue de YaST. Reportez-vous à Figure 29.2, « YaST : Configuration du client LDAP ».

Figure 29.2. YaST : Configuration du client LDAP

Activez l'utilisation de LDAP pour l'authentification des utilisateurs dans la première boîte de dialogue. Saisissez la base de recherche dans laquelle toutes les données sont enregistrées dans le serveur LDAP dans ‘DN de base LDAP’. Saisissez l'adresse du serveur LDAP dans ‘Adresses des serveurs LDAP’. Pour monter automatiquement des répertoires sur des hôtes distants, choisissez ‘Démarrer Automounter’. Pour éditer des données sur le serveur en tant qu'administrateur, cliquez sur ‘Configuration avancée’. Reportez-vous à Figure 29.3, « YaST : Configuration avancée ».

Figure 29.3. YaST : Configuration avancée

La page suivante est divisé en deux : dans la partie supérieure, procédez à la configuration des paramètres généraux pour utilisateurs et groupes qui déterminent le comportement du module utilisateurs de YaST. Dans la partie inférieure, saisissez les données d'accès au serveur LDAP. Les paramètres relatifs aux utilisateurs et groupes se limitent aux entrées suivantes :

Pour modifier des configurations sur le serveur LDAP, saisissez dans cette boîte de dialogue les données d'accès requises (voir l'illustration Figure 29.3, « YaST : Configuration avancée »). Il s'agit de la zone d'édition ‘Configuration du DN de base’ (dans laquelle tous les objets de configuration sont enregistrés) et de la zone d'édition ‘DN d'administrateur’.

Pour éditer les enregistrements sur le serveur LDAP, cliquez sur le bouton ‘Configurer les paramètres de gestion des utilisateurs’. Une boîte de dialogue apparaît, dans laquelle vous êtes invité à saisir votre mot de passe LDAP pour vous authentifier sur le serveur. Les ACL ou ACI sur le serveur vous permettent ensuite d'accéder aux modules de configuration sur le serveur.

Mise en œuvre du client de YaST

Le client LDAP de YaST est utilisé pour ajuster, et le cas échéant agrandir, de manière appropriée les modules de YaST, en fonction de la gestion des utilisateurs et des groupes. Parallèlement à cela, vous avez la possibilité de définir des formulaires avec des valeurs par défaut pour les différents attributs, de manière à simplifier la saisie à proprement parler des données. Les valeurs par défaut créées ici sont elles-mêmes enregistrées dans l'annuaire LDAP sous forme d'objets LDAP. La saisie des données utilisateurs continue à être réalisé à l'aide des formulaires de modules de YaST normaux. Les informations saisies sont enregistrées sous forme d'objets dans l'annuaire LDAP.

Figure 29.4. YaST : configuration du module

La boîte de dialogue de configuration du module (Figure 29.4, « YaST : configuration du module », vous permet de choisir et de modifier des modules de configuration existants, d'en créer de nouveaux ou de créer et modifier des modèles (en anglais templates) pour ces modules. Pour modifier une valeur dans un module de configuration ou pour renommer un module, choisissez le type de module au-dessus du sommaire du module courant. Une liste sous forme de table apparaît alors dans la vue de détail avec l'ensemble des attributs et des valeurs associées autorisés dans ce module. En plus des attributs définis, la liste contient aussi tous les autres attributs autorisés par le schéma utilisé mais qui ne sont pas utilisés actuellement.

Si vous voulez copier un module, il suffit de modifier cn. Pour modifier individuellement des valeurs d'attributs, choisissez-les dans la liste de contenu et cliquez sur le bouton ‘Modifier’. Une boîte de dialogue s'ouvre alors à partir de laquelle vous pouvez modifier tous les paramètres de l'attribut. Validez vos modifications en cliquant sur le bouton ‘OK’.

Si vous souhaitez compléter les modules existants par l'ajout d'un nouveau module, cliquez sur le bouton ‘Nouveau’ au-dessus du sommaire. Saisissez dans la boîte de dialogue qui s'ouvre alors le nom et la classe d'objet du nouveau module (soit suseuserconfiguration soit susegroupconfiguration). Lorsque vous sortez de cette boîte de dialogue en cliquant sur le bouton ‘OK’, le nouveau module est ajouté à la liste de sélection des modules présents et peut être sélectionné ou désélectionné à l'aide de la liste déroulante. Pour supprimer le module choisi, cliquez sur le bouton ‘Supprimer’.

Les modules de YaST pour la gestion des utilisateurs et des groupes intègrent des modèles utilisant des valeurs par défaut appropriées si vous les avez précédemment définies à l'aide des clients LDAP de YaST. Pour éditer un modèle à votre convenance, cliquez sur le bouton ‘Configurer le modèle’. Le menu déroulant affiche des modèles existants modifiables ou un enregistrement vide. Choisissez l'un de ces modèles et configurez dans le formulaire suivant ‘Configuration modèle de l'objet’ les propriétés de ce modèle (voir Figure 29.5, « YaST : Configuration d'un modèle d'objet »). Ce formulaire est composé de deux volets sous forme de table. Le volet supérieur comporte tous les attributs généraux du modèle. Définissez leurs valeurs conformément à vos besoins ou laissez-les vides. Les attributs vides sont supprimés du serveur LDAP.

Figure 29.5. YaST : Configuration d'un modèle d'objet

La deuxième liste (‘Valeurs par défaut pour les nouveaux objets’) énumère tous les attributs de l'objet LDAP correspondant (ici : la configuration des groupes ou des utilisateurs), pour lesquels vous définissez une valeur par défaut. Vous pouvez ajouter d'autres attributs et leurs valeurs par défaut ainsi que supprimer des attributs. Un modèle peut être simplement copié, à la manière d'un module, en modifiant l'enregistrement cn, afin de créer un nouveau modèle. Reliez le modèle au module associé en fixant la valeur d'attribut de susedefaulttemplate du module au DN du modèle modifié, conformément à la procédure indiquée précédemment.

	Astuce
Vous pouvez créer des valeurs par défaut pour un attribut formé à partir d'autres attributs, en utilisant une syntaxe avec des variables plutôt qu'une valeur absolue. Ainsi, cn=%sn %givenName est automatiquement créé lors de la création d'utilisateur à partir des valeurs d'attribut de sn et de givenName.

Lorsque tous les modules et modèles sont convenablement configurés et qu'ils sont opérationnels, créez à l'aide de YaST de nouveaux groupes et utilisateurs, en suivant la procédure habituelle.

Après avoir configuré des modules et des modèles pour le réseau, la saisie des données relatives aux utilisateurs et aux groupes diffère très légèrement de la procédure n'utilisant pas LDAP. Les instructions sommaires suivantes concernent la gestion des utilisateurs, la procédure appliquée à la gestion des groupes étant analogue.

Vous pouvez accéder à la gestion des utilisateurs de YaST grâce à ‘Sécurité et Utilisateurs’+‘Modifier et créer des utilisateurs’. Pour ajouter un nouvel utilisateur, cliquez sur le bouton ‘Ajouter’. Un formulaire s'ouvre alors pour saisir des principales données utilisateurs comme le nom, l'identifiant de connexion et le mot de passe. Le bouton ‘Détails’ vous permet d'accéder à un formulaire pour configurer configurer l'appartenance à d'autres groupes, l'interpréteur de commande utilisé à la connexion et le répertoire personnel. Les valeurs par défaut des zones de saisie ont été définies selon la procédure décrite dans Section 29.5.2, « Configuration du client LDAP ». Si vous utilisez LDAP, ce formulaire mène à un autre formulaire de saisie des attributs LDAP. Ce formulaire est illustré dans Figure 29.6, « YaST : Paramètres LDAP supplémentaires ») . Choisissez tous les attributs dont vous souhaitez modifier la valeur et cliquez sur le bouton ‘Modifier’ pour ouvrir la fenêtre d'édition correspondante. Sortez ensuite de ce formulaire en cliquant sur le bouton ‘Suivant’, ce qui vous fait revenir au formulaire initial de la gestion des utilisateurs.

Figure 29.6. YaST : Paramètres LDAP supplémentaires

Vous pouvez accéder à des ‘Options LDAP’ à partir du formulaire initial de gestion des utilisateurs. Ceci vous permet d'appliquer des filtres de recherche LDAP à l'ensemble des utilisateurs disponibles ou d'entrer dans le module de configuration des utilisateurs et groupes LDAP en choisissant ‘Configuration des utilisateurs et groupes LDAP’.