Print-friendly Version

Sun Java System Directory Server 6.0 comme service d'attribution de noms LDAP : partie 2 -- configurations client pour le système d'exploitation Solaris

Jonathan Gershater, Sun Microsystems, and Vineeth Katarki, Mascon Global Limited (MGL); octobre 2007 (mise à jour janvier 2008)

Contenu de l'article

Cet article contient quatre parties :

• Partie 1 -- Installation et configuration
• Partie 2 -- Configurations client pour le système d'exploitation Solaris
• Partie 3 -- Configurations client pour Red Hat Linux et AIX
• Partie 4 -- Tâches de post-configuration

Remarque : lorsque vous exécutez les commandes décrites dans les procédures de cet article, remplacez COMPANY par une valeur appropriée à votre environnement. 

Partie 2 -- Configurations client pour le système d'exploitation Solaris

La partie 2 contient les instructions de configuration des clients LDAP natifs UNIX exécutant le système d'exploitation Solaris 8, 9 ou 10. Vous pouvez donc déployer Sun Java System Directory Server 6.0 (appelé par la suite "Directory Server") comme un service d'attribution de noms.

Suivez la procédure appropriée sur chaque client Solaris en fonction de la version du système d'exploitation fonctionnant y fonctionnant.

Ces procédures permettent de configurer chaque client en tant que client LDAP pour l'authentification TLS:Simple qui est l'authentification SSL utilisant des certificats signés AC. Le certificat de signature AC racine doit exister dans chaque client LDAP natif pour que le client fasse confiance au certificat de serveur présenté Directory Server lors de l'authentification.

Remarque : reportez-vous à la section Configuration d'ACI pour un accès anonyme au cours de la configuration de client Solaris, dans la partie 4, pour de plus amples informations.

Partie 2 : Contenu

• L'application de patchs pour votre client Solaris
• Configuration des clients exécutant le SE Solaris 8
• Configuration des clients exécutant le SE Solaris 9
• Configuration des clients exécutant le SE Solaris 10

L'application de patchs pour votre client Solaris

Veuillez vous reporter aux tableaux du blog de l'auteur : http://blogs.sun.com/jo/entry/solaris_patches_required_to_enable. Les tableaux présentent les patchs requis pour autoriser les serveurs et les postes exécutant le système d'exploitation Solaris pour les plates-formes SPARC à migrer vers les clients LDAP.

La colonne des patchs dans les tableaux contient un nombre indiquant le patch à installer. Le nombre est lié au site http://sunsolve.sun.com pour vous permettre de télécharger des patchs. Les liens ont été mis à jour le 8 janvier 2008

Attention : les patchs Solaris ont été révisés et remplacés par de nouveaux patchs. Les liens de la colonne de patchs ne dirigent peut-être pas vers le dernier patch disponible. Veuillez lire attentivement les remarques concernant les patchs, faites attentions aux patchs obsolètes et ne téléchargez que les plus récents.

Remarque : les patchs doivent être installés dans l'ordre indiqué.

Configuration des clients exécutant le SE Solaris 8

1. Vérifiez si les packages suivants de clients LDAP natifs Solaris 8, phase II  sont installés sur le système client :

• SUNWnisu
• SUNWcsr
• SUNWcsu
• SUNWcsl

Remarque : les étapes suivantes permettent de configurer SSL pour la communication entre les clients Solaris 8 et les serveurs sur lesquels Directory Server est installé (appelé par la suite "serveurs de répertoire"). Ces étapes supposent que les serveurs de répertoire ont été configurés pour SSL en accord avec les instructions de la section Configuration de SSL de la partie 1.

2. Vérifiez que le nom du serveur dans l'attribut cn du certificat de serveur correspond au nom du serveur de répertoire auquel le client se connecte. Si ce n'est pas le cas, remplacez l'attribut defaultServerList oupreferredServerList pour le faire correspondre à l'attribut cn du certificat de serveur.

Remarque : les clients LDAP natifs Solaris 8 s'attendent à trouver les�bases de données de certificats Solaris 8 dans la base de données cert7.db. L' utilitaire certutil proposé avec le système d'exploitation Solaris 9 dans /usr/sfw/bin crée une base de données cert8.db. Pour créer un cert7.db base de données, procédez comme suit.

3. Si l'utilitaire certutil est disponible sur le système client, par exemple, dans /usr/local/bin, vérifiez qu'il peut créer une base de données cert7.db, et pas de base de données cert8.db.

4. Si certutil n'est pas disponible ou ne crée qu'une base de données cert8.dbs, effectuez les sous-étapes suivantes :

a. Téléchargez Directory Server Resource Kit 5.2.1, qui a un utilitaire certutil intégré.

b. En tant qu'utilisateur racine, installez le Directory Server Resource Kit 5.2.1 sur le système client à l'aide des commandes suivantes :

# mkdir /tmp/sunone
# unzip dsrk52-SunOS5.8_OPT.zip
# java DSRK

Remarque : vous pouvez installer le kit dans le répertoire de votre choix. Dans les étapes suivantes, on suppose que celui-ci est installé dans le répertoire /opt/dsrk directory.

5. Ajoutez /opt/dsrk/lib à LD_LIBRARY_PATH

6. Créez la base de données de certificats et ajoutez les certificats en exécutant les commandes suivantes\~:

# cd /opt/dsrk/lib/nss/bin
# ./certutil -N -d /var/ldap
# chmod 644 /var/ldap/*.db

7. Importer les certificats d'AC racines et l'AC subalterne certificat de signature (le cas échéant) dans la base de données de certificats :

Remarque : les commandes suivantes supposent que le fichier de certificat est au format ASCII. S'il est au format binaire, supprimez l'option -a des commandes.

# ./certutil -A -a -i <path to root CA cert> -n "RootCA"
  -t "CT" -d /var/ldap
# ./certutil -A -a -i <path to sub CA cert> -n "SubCA"
  -t "CT" -d /var/ldap

8. Configurer le client à l'aide de l'utilitaire ldapclient :

a. Sauvegardez le fichier /etc/pam.conf et /etc/nsswitch.conf :

# ldapclient -P COMPANYprofile -d "COMPANY.com" -D
  "cn=proxyagent,ou=profile,dc=COMPANY,dc=com"
  -w "<proxy_password>"  <primary directory server IP address>

Remarque : Si ldapclient échoue, comparez les ACI de Directory Server. Pour que la commande ldapclient réussisse, des listes devraient permettre un accès anonyme. Consultez  Recommandations pour le contrôle d'accès de Directory Server dans la partie 4 pour plus d'informations sur la configuration des ACI.

B. Vérifiez la configuration sur le client:

# ldapclient -l

C. L'initialisation de ldapclient modifie la ligne des hôtes /etc/nsswitch.conf pour qu'elle pointe vers les clients LDAP. Modifiez la ligne des hôtes comme suit avant de poursuivre :

hosts:  files dns

9. Configurer /etc/pam.conf comme suit :

# Not complete. All services have not been defined. Only changes are
# documented.
login   auth requisite      pam_authtok_get.so.1
login   auth required       pam_dhkeys.so.1
login   auth required       pam_dial_auth.so.1
login   auth binding        pam_unix_auth.so.1 server_policy
login   auth required       pam_ldap.so.1 use_first_pass

other   auth requisite      pam_authtok_get.so.1
other   auth required       pam_dhkeys.so.1
other   auth binding        pam_unix_auth.so.1 server_policy
other   auth required       pam_ldap.so.1 use_first_pass

passwd  auth binding        pam_passwd_auth.so.1 server_policy
passwd  auth required       pam_ldap.so.1 use_first_pass

other   account requisite   pam_roles.so.1
other   account required    pam_projects.so.1
other   account binding     pam_unix_account.so.1 server_policy
other   account required    pam_ldap.so.1

other   password required   pam_dhkeys.so.1
other   password requisite  pam_authtok_get.so.1
other   password requisite  pam_authtok_check.so.1
other   password required   pam_authtok_store.so.1 server_policy

10. Si vous prévoyez d'utiliser des groupes de réseau pour limiter l'accès à des systèmes, vous devez configurer /etc/nsswitch.conf comme suit.

passwd:     	compat
shadow:      	compat
passwd_compat: 	ldap
shadow_compat:	ldap
group:          files ldap
netgroup:       ldap

11. Pour utiliser les groupes de réseau pour restreindre l'accès aux systèmes, procédez comme suit :

Remarque : cette étape décrit comment configurer un serveur. Apportez des modifications semblables aux autres serveurs, en fonction de vos besoins.

a. Ajoutez un groupe de réseau pour Directory Server, comme décrit dans la section Ajout de groupes de réseau à l'aide de la console de la partie 1.

b. Ajoutez la ligne suivante à la fin du fichier /etc/password sur le client Solaris :

+@<netgroup>

c. Ajoutez la ligne suivante à la fin du fichier /etc/shadow sur le client Solaris :

+@<netgroup>

Remarque : en raison d'une limitation dans le module pam_ldap, assurez-vous qu'il n'y a pas les deux-points (:) sur la ligne que vous ajoutez au fichier /etc/mot de passe et /etc/shadow fichiers.

d. Modifiez le fichier /etc/nsswitch.conf comme décrit dans l'étape 10

12. Si vous utilisez Ouvrir SSH sur le système d'exploitation Solaris 8, assurez-vous que Ouvrir SSH a été compilée avec prise en charge des modules PAM :

a. Configurez Ouvrir SSH de manière à utiliser PAM en garantissant que la ligne suivante se trouve dans le fichier de configuration /etc/local/etc/sshd_config :

UsePAM 	yes

ChallengeResponseAuthentication n'est pas défini sur Aucun.

Configuration des clients qui exécutent Solaris 9 OS

1. Vérifiez si les packages de bibliothèque LDAP Solaris 9 sont installés sur le système client :

• SUNWnisu
• SUNWcsr
• SUNWcsu
• SUNWcsl

Remarque : les étapes suivantes configure SSL pour la communication entre le Solaris 9 clients et les serveurs de répertoire. Ces étapes supposent que les serveurs de répertoire ont été configurés pour SSL en fonction de la configuration de SSL section dans la partie 1

2. Vérifiez que le nom du serveur dans l'attribut cn du certificat de serveur correspondant au nom indiqué dans le serveur d'annuaire que le client se connecte à. Si ce n'est pas le cas, remplacez la defaultServerList ou le preferredServerList attribut de faire correspondre l'attribut cn du certificat de serveur.

Remarque : les clients LDAP natif Solaris 9 Solaris 9 attendent certificat bases de données pour qu'elles soient dans un cert7.db base de données. L' utilitaire certutil proposée avec le système d'exploitation Solaris 9 dans /usr/sfw/bin crée un cert8.db base de données. Pour créer un cert7.db base de données, procédez comme suit.

3. Si l'utilitaire certutil est disponible sur le système client, par exemple, dans /usr/local/bin, vérifiez que l'utilitaire permet de créer un cert7.db base de données, pas un cert8.db base de données.

4. Si le certutil n'est pas disponible ou ne crée qu'un cert8.db base de données, effectuez les sous-étapes suivantes :

a. Téléchargez le Directory Server Resource Kit 5.2.1, qui a un utilitaire certutil intégré.

b. En tant qu'utilisateur racine, installez le Directory Server Resource Kit 5.2.1 sur le système client à l'aide des commandes suivantes\~:

# mkdir /tmp/sunone
# unzip dsrk52-SunOS5.8_OPT.zip
# java DSRK

Remarque : Vous pouvez installer le kit dans le répertoire de votre choix. Dans les étapes suivantes, on suppose que celui-ci est installé dans le répertoire /opt/dsrk directory.

5. Ajoutez /opt/dsrk/lib à LD_LIBRARY_PATH

6. Créez la base de données de certificats et ajoutez les certificats en exécutant les commandes suivantes\~:

# cd /opt/dsrk/lib/nss/bin
# ./certutil -N -d /var/ldap
# chmod 644 /var/ldap/*.db

7. Importez les certificats d'AC racines et l'AC subalterne certificat de signature (le cas échéant) dans la base de données de certificats :

Remarque : les commandes suivantes supposent que le fichier de certificat est au format ASCII. S'il est au format binaire, supprimez l'option -a des commandes.

# ./certutil -A -a -i <path to root CA cert> -n "RootCA"
  -t "CT" -d /var/ldap
# ./certutil -A -a -i <path to sub CA cert> -n "SubCA"
  -t "CT" -d /var/ldap

8. Configurer le client à l'aide de l'utilitaire ldapclient :

Un. Sauvegardez le fichier /etc/pam.conf et /etc/nsswitch.conf :

# ldapclient init -a profileName=COMPANYprofile -a
    proxyDN=cn=proxyagent,ou=profile,dc=COMPANY,dc=com
    -a domainName=COMPANY.com -a proxyPassword=<password>
    <primary directory server IP address>

Remarque : si ldapclient échoue, comparez les ACI de Directory Server. Pour que la commande ldapclient réussisse, des listes devraient permettre pour un accès anonyme. Consultez la section Recommandations pour le contrôle d'accès de Directory Server de la partie 4 pour plus d'informations sur la configuration des ACI.

B. Vérifiez la configuration sur le client:

# ldapclient list

C. L'initialisation de dapclient modifie la ligne des hôtes de /etc/nsswitch.conf pour les faire pointer vers LDAP. Modifiez la ligne des hôtes comme suit avant de poursuivre :

hosts:  files dns

9. Configurez /etc/pam.conf comme suit :

# Not complete. All services have not been defined. Only changes are
# documented.
login   auth requisite      pam_authtok_get.so.1
login   auth required       pam_dhkeys.so.1
login   auth required       pam_dial_auth.so.1
login   auth binding        pam_unix_auth.so.1 server_policy
login   auth required       pam_ldap.so.1 use_first_pass

other   auth requisite      pam_authtok_get.so.1
other   auth required       pam_dhkeys.so.1
other   auth binding        pam_unix_auth.so.1 server_policy
other   auth required       pam_ldap.so.1 use_first_pass

passwd  auth binding        pam_passwd_auth.so.1 server_policy
passwd  auth required       pam_ldap.so.1 use_first_pass

other   account requisite   pam_roles.so.1
other   account required    pam_projects.so.1
other   account binding     pam_unix_account.so.1 server_policy
other   account required    pam_ldap.so.1

other   password required   pam_dhkeys.so.1
other   password requisite  pam_authtok_get.so.1
other   password requisite  pam_authtok_check.so.1
other   password required   pam_authtok_store.so.1 server_policy

10. Pour utiliser les groupes réseau pour restreindre l'accès au systems, do les éléments suivants :

Remarque : cette étape décrit comment configurer un serveur. Apportez des modifications semblables aux autres serveurs, en fonction de vos besoins.

a. Ajoutez un groupe de réseau pour Directory Server, comme décrit dans la section Ajout de groupes de réseau à l'aide de la console de la partie 1

b. Ajoutez la ligne suivante à la fin du fichier /etc/password sur le client Solaris :

+@<netgroup>

c. Ajoutez la ligne suivante à la fin du fichier /etc/shadow sur le client Solaris :

+@<netgroup>

Remarque : en raison d'une limitation dans le module pam_ldap, assurez-vous qu'il n'y a pas les deux-points (:) sur la ligne que vous ajoutez aux fichiers /etc/password et /etc/shadow.

11. Modifiez le fichier /etc/nsswitch.conf comme suit.

passwd:     	compat
shadow:      	compat
passwd_compat: 	ldap
shadow_compat:	ldap
group:          files ldap
netgroup:       ldap

12. Assurez-vous que la ligne suivante figure dans le fichier de configuration sshd /etc/ssh/sshd_config

PAMAuthenticationViaKBDInt	yes

13. Si vous utilisez Solaris SSH, utilisez les sous-étapes suivantes (des alertes de mise à jour Sun ID 102451) en tant que solution pour le bogue SSL de Solaris 9.

Remarque : ce problème est résolu dans les versions suivantes pour les plates-formes SPARC : >

• Solaris 9 avec patch 114356-08 ou ultérieur (bogue 6402708)
• Solaris 9 avec patch 112908-29 ou ultérieur (bogue 5020096)
• Solaris 9 avec patch 113273-13 ou ultérieur et 114356-09 ou ultérieur (bogue 6410762)

a. Désactivez la GSS-API prise en charge par l'ajout les entrées suivantes pour sshd_config(4) /etc/ssh/sshd_config

GSSAPIAuthentication no
GSSAPIKeyExchange no
GSSAPIStoreDelegatedCredentials no

b. En outre, ajoutez les entrées suivantes au ssh_config(4) /etc/ssh/ssh_config

GSSAPIAuthentication no
GSSAPIKeyExchange no

c. Redémarrez ensuite le service SSH en exécutant la commande suivante en tant que root :

# /etc/init.d/sshd restart

Configuration des clients fonctionnant sous Solaris 10

1. Vérifiez que le Solaris 10 suivante protocole LDAP natif, phase II packages sont installés sur le système client :

• SUNWnisu
• SUNWcsr
• SUNWcsu
• SUNWcsl

Remarque : les étapes suivantes configure SSL pour la communication entre le Solaris 10 les clients et les serveurs d'annuaire. Ces étapes supposent que les serveurs d'annuaire ont été configurés pour SSL en fonction de la configuration de SSL section dans la partie 1

2. Vérifiez que le nom du serveur dans l'attribut cn du certificat de serveur correspondant au nom indiqué dans le serveur d'annuaire que le client se connecte à. Si ce n'est pas le cas, remplacez la defaultServerList ou le preferredServerList attribut de faire correspondre l'attribut cn du certificat de serveur.

Remarque : le SE Solaris 10 est livré avec un intégré utilitaire certutil dans le répertoire /usr/sfw/bin. Contrairement aux clients Solaris 8 et 9, Solaris 10 clients attendent une cert8.db base de données.

3. Créer la base de données de certificats et ajoutez les certificats :

an. Exécutez les commandes suivantes :

# /usr/sfw/bin/certutil -N -d /var/ldap
# chmod 644 /var/ldap/*.db

Remarque : les commandes suivantes supposent que les certificats sont dans la PEM ou DER format. Si le certificat n'a été intégré dans un fichier PKCS n°_BOÎTIER 12 fichier, utilisez l'importer des instructions de la section "Exportation et Importation d'un certificat de serveur signé AC" du manuel d'administration.

b. Importez à la fois le certificat de signature AC racine et AC subalterne dans la base de données de certificats :

Remarque : les commandes suivantes supposent que le fichier de certificat est au format ASCII. Si elle est au format binaire, supprimez l'option -a des commandes.

# /usr/sfw/bin/certutil -A -a -i <path to root CA cert>
  -n "RootCA" -t "CT" -d /var/ldap
# /usr/sfw/bin/certutil -A -a -i <path to sub CA cert>
  -n "SubCA" -t "CT" -d /var/ldap

4. Configurer le client à l'aide de l'utilitaire ldapclient :

an. Sauvegardez le fichier /etc/pam.conf et /etc/nsswitch.conf :

# ldapclient init -a profileName=COMPANYprofile -a
  domainName="COMPANY.com" -a proxyDN="cn=proxyagent,ou=profile,
  dc=COMPANY,dc=com" -a proxyPassword=<proxy_password>
  <primary directory server IP address>

Remarque : Si ldapclient échoue, comparez les ACI de Directory Server. Pour que la commande ldapclient réussisse, des listes devraient permettre pour un accès anonyme. Recommandations pour Directory Server reportez-vous à Contrôle d'accès à la partie 4 pour plus d'informations sur la configuration du ACI.

b. Vérifiez la configuration sur le client:

# ldapclient list

c. L'initialisation de ldapclient la ligne des hôtes du fichier /etc/nsswitch.conf pour les faire pointer vers LDAP. Modifiez la ligne des hôtes comme suit avant de poursuivre :

hosts:  files dns

5. Configurer /etc/pam.conf comme suit :

# Not complete. All services have not been defined. Only changes are
# documented here.
#
login   auth requisite      pam_authtok_get.so.1
login   auth required       pam_dhkeys.so.1
login   auth required       pam_unix_cred.so.1
login   auth required       pam_dial_auth.so.1
login   auth binding        pam_unix_auth.so.1 server_policy
login   auth required       pam_ldap.so.1

other   auth requisite      pam_authtok_get.so.1
other   auth required       pam_dhkeys.so.1
other   auth required       pam_unix_cred.so.1
other   auth binding        pam_unix_auth.so.1 server_policy
other   auth required       pam_ldap.so.1

passwd  auth binding        pam_passwd_auth.so.1 server_policy
passwd  auth required       pam_ldap.so.1

other   account requisite   pam_roles.so.1
other   account required    pam_projects.so.1
other   account binding     pam_unix_account.so.1 server_policy
other   account required    pam_ldap.so.1

other   password required   pam_dhkeys.so.1
other   password requisite  pam_authtok_get.so.1
other   password requisite  pam_authtok_check.so.1
other   password required   pam_authtok_store.so.1 server_policy

6. Pour utiliser les groupes réseau pour restreindre l'accès au systems, do les éléments suivants :

Remarque : cette étape décrit comment configurer un serveur. Apportez des modifications semblables aux autres serveurs, en fonction de vos besoins.

a. Ajouter un groupe de réseau pour Directory Server, comme décrit dans la section Ajout de groupes de réseau à l'aide de la console de la partie 1

b. Ajoutez la ligne suivante à la fin du fichier /etc/fichier de mot de passe sur le client Solaris :

+@<netgroup>

c. Ajoutez la ligne suivante à la fin du fichier /etc/Fichier en double sur le client Solaris :

+@<netgroup>

Remarque : en raison d'une limitation dans le module pam_ldap, assurez-vous qu'il n'y a pas les deux-points (:) sur la ligne que vous ajoutez au fichier /etc/mot de passe et /etc/shadow fichiers.

d. Modifiez le fichier /etc/nsswitch.conf comme décrit dans l'étape 10

7. Si vous prévoyez d'utiliser des groupes de réseau pour limiter l'accès aux systèmes, vous devez configurer /etc/nsswitch.conf comme suit.

passwd:     	compat
shadow:      	compat
passwd_compat: 	ldap
shadow_compat:	ldap
group:          files ldap
netgroup:       ldap

8. Assurez-vous que la ligne suivante figure dans le fichier de configuration sshd /etc/ssh/sshd_config

PAMAuthenticationViaKBDInt	yes

Unless otherwise licensed, code in all technical manuals herein (including articles, FAQs, samples) is provided under this License.