Re: [assoce magnum] [Admin] Script de création de compte sur le serveur

Re: [assoce magnum] [Admin] Script de création de compte sur le serveur + paramètrage LDAP + sécurité

[ Thread Index | Date Index | More magnum.tuxfamily.org/association Archives ]

To: association@xxxxxxxxxxxxxxxxxxxx
Subject: Re: [assoce magnum] [Admin] Script de création de compte sur le serveur + paramètrage LDAP + sécurité
From: Olivier FAURAX <olivier.faurax@xxxxxxxxxxx>
Date: Mon, 19 May 2008 21:18:05 +0200

Nicolas JEUDY a écrit :
> Olivier: tu peux me dire ce que tu fais quant tu créer un nouveau compte 
> actuellement ?

Il y a un fichier user.ldif dans ~root
Je mets les bonnes valeurs, et je fais :
ldapadd -v -f user.ldif -x -D '[chemin ldap vers le compte admin]' -W

Après, pour un compte admin, j'ajoute le schéma posixAccount et je mets
le shell à /bin/bash.
Je finis par créer le /home/user par un lien symbolique sur la partition
dédiée.

> - modification du pam.d pour ajouter le module pam_ccreds et nss_updatedb, 
> pour pouvoir quant mm se connecter en cas de crash de la base LDAP + un cache 
> local ne fait pas de mal

J'y comprends pas grand chose à PAM, tu as carte blanche.
Cependant, le serveur ldap est sur la même machine donc je suis pas sûr
qu'on ait besoin d'un cache pour une requête locale....

> - ajout de fail2ban car d'après les log de auth.log, on se fait pas mal testé 
> sur ssh 

Si tu veux. C'est à partir de combien d'essais manqués qu'on est refoulée ?

> Ca prends de ressource, car ca fait des requete ldap à chaque fois :)

La requête est faite en local, c'est pas grave.
Avec fail2ban, on pompe aussi de la ressource pour voir si on doit
refuser ou pas la connexion.

> - ajout de la MMC et de python-agent pour simplifier la création des comptes 
> LDAP (formulaire web en HTTPS) -> ca c'est un confort personnel, mais pas 
> obligatoire.

On a phpldapadmin pour gérer ldap de façon sympathique (même si je
préfère le faire en ssh).
Il faut juste rajouter ton IP dans les ip autorisés à se connecter.

Est-ce qu'on a vraiment besoin de MMC ?
Ça fait toujours un service en plus, utilisé peu souvent, puisqu'il est
pas prévu de comptes mails, de la gestion DNS, des comptes proxy web ou
samba.

Mais si tu veux l'utiliser dessus, mets-le, en faisant attention de ne
pas casser le ldap existant, sinon on perds tous nos comptes.....

@+
-- 
Olivier FAURAX, http://ofaurax.free.fr/

---
http://magnum.tuxfamily.org - http://wiki.mandriva.com/fr/Association_des_utilisateurs_de_Mandriva

Follow-Ups:
- Re: [assoce magnum] [Admin] Script de création de compte sur le serveur + paramètrage LDAP + sécurité
  - From: Nicolas JEUDY

References:
- [assoce magnum] [Admin] Script de création de compte sur le serveur + paramètrage LDAP + sécurité
  - From: Nicolas JEUDY

Messages sorted by: [ date | thread ]
Prev by Date: [assoce magnum] Re: [assoce magnum] Re: [assoce magnum] [Admin] Script de création de compte sur le serveur + paramètrage LDAP + sécurité
Next by Date: Re: [assoce magnum] Montant cotisation
Previous by thread: [assoce magnum] Re: [assoce magnum] Re: [assoce magnum] [Admin] Script de création de compte sur le serveur + paramètrage LDAP + sécurité
Next by thread: Re: [assoce magnum] [Admin] Script de création de compte sur le serveur + paramètrage LDAP + sécurité

Mail converted by MHonArc 2.6.19+

http://listengine.tuxfamily.org/