FLASH INFORMATIQUE FI



Authentification via le serveur LDAP




Claude LECOMMANDEUR


Je vais vous parler de la pluie et du bottin.

Traditionnellement, les serveurs LDAP (Lightweight Directory Access Protocol) étaient utilisés pour ce qu’ils sont, c’est à dire des annuaires électroniques.

Le protocole LDAP, descendant direct de X.500 (voir le flash info 8/97 pour quelques croustillants détails historiques) est très puissant pour la gestion des annuaires et il est maintenant universellement adopté pour cette tâche.

Depuis quelques temps, une autre utilisation commence à voir le jour : l’authentification en réseau. Depuis toujours les serveurs LDAP disposent d’un système d’authentification pour leurs besoins propres. Chaque entrée de l’annuaire peut être munie d’un mot de passe. Ce mot de passe permet de se faire reconnaître du serveur et donc de disposer de droits spécifiques, comme par exemple modifier un attribut de l’entrée correspondante.

Des tas d’autres serveurs possèdent cette faculté, mais les voies de l’histoire de l’informatique sont impénétrables et c’est LDAP qui fut l’élu pour cette tâche d’authentification distribuée.

Un serveur LDAP supportant le bottin téléphonique de l’EPFL existe depuis la nuit des temps (environ 8 ans), mais la faculté d’authentification était volontairement fermée. Depuis l’avènement de GASPAR, nous disposons d’une infrastructure d’identification et authentification fiable et il a été décidé d’ouvrir l’authentification du serveur LDAP. Le mot de passe GASPAR permet de s’authentifier auprès du serveur LDAP.

Toute application qui se targue d’utiliser LDAP pour sa sécurisation peut donc utiliser notre serveur (ldap.epfl.ch) pour cette tâche.

Voyons le cas particulier du login sur les machines Unix.

Le système PAM (Pluggable Authentication Modules) de l’OSF (maintenant Opengroup) est supporté par plusieurs Unix et permet de substituer un système d’authentification quelconque au traditionnel fichier /etc/passwd.

Cette information, ajoutée à celle qui précède ferait naître une idée dans la cervelle la plus poisseuse : existe-t-il un module PAM qui irait pêcher ses données d’authentification dans un serveur LDAP ? Malheureusement, la réponse est non... Je blague, ce module existe et s’appelle pam_ldap. Il est gracieusement mis à notre disposition par PADL software.

L’installation et la configuration de ce module est très simple, il faut, bien sûr, installer pam, puis pam_ldap, et ensuite configurer pam pour qu’il utilise pam_ldap
(/etc/pam.conf ou /etc/pam.d/, selon votre configuration).

A ma connaissance pam est utilisable sur Linux, Solaris et HP-UX/11. Je suis prêt à donner un coup de main aux hardis volontaires qui désireraient se lancer dans l’aventure.

L’intérêt de cette technique n’est pas évident dans le cas d’un poste de travail personnel. Par contre pour gérer une salle de stations, c’est très intéressant : plus de mot de passe à initialiser ou oublié, tout le monde sur Gaspar.

Saperlipopette, je m’aperçois que je n’ai pas encore parlé de la pluie et que je n’ai plus de place dans cette marge. Je le ferai donc dans un prochain article, promis.



Cherchez ...

- dans tous les Flash informatique
(entre 1986 et 2001: seulement sur les titres et auteurs)
- par mot-clé

Avertissement

Cette page est un article d'une publication de l'EPFL.
Le contenu et certains liens ne sont peut-être plus d'actualité.

Responsabilité

Les articles n'engagent que leurs auteurs, sauf ceux qui concernent de façon évidente des prestations officielles (sous la responsabilité du DIT ou d'autres entités). Toute reproduction, même partielle, n'est autorisée qu'avec l'accord de la rédaction et des auteurs.


Archives sur clé USB

Le Flash informatique ne paraîtra plus. Le dernier numéro est daté de décembre 2013.

Taguage des articles

Depuis 2010, pour aider le lecteur, les articles sont taggués:
  •   tout public
    que vous soyiez utilisateur occasionnel du PC familial, ou bien simplement propriétaire d'un iPhone, lisez l'article marqué tout public, vous y apprendrez plein de choses qui vous permettront de mieux appréhender ces technologies qui envahissent votre quotidien
  •   public averti
    l'article parle de concepts techniques, mais à la portée de toute personne intéressée par les dessous des nouvelles technologies
  •   expert
    le sujet abordé n'intéresse que peu de lecteurs, mais ceux-là seront ravis d'approfondir un thème, d'en savoir plus sur un nouveau langage.