N'aimant pas trop les fichiers de confs à disséquer sans véritablement connaître l'environnement et les paquets présents, je vais te répondre de manière non exhaustive mais avec quelques pistes. Je te laisse faire les recherches sur chacun des points.
Concernant tes interrogations sur nscd dans un environnement Samba, il faut surtout faire attention aux interactions entre nscd et winbind. Ces deux là ne peuvent pas s'encadrer.
A propos de l'auth LDAP avec SSH, tu dois avoir correctement configuré pam_ldap et la bibliothèque NSS ldap qui va avec (sans oublier le nsswitch.conf). Ensuite, il faut que l'entrée correspondant à l'utilisateur qui s'authentifie soit "ressemblante" à un compte système standard (account, posixAccount, shadowAccount, etc... ), et surtout qu'elle dispose d'un shell.
Ensuite, pour le common-auth, je mettrais le 'sufficient ldap' avant le env. Un bon moyen de tester sa conf pam est de bosser en adaptant dans un premier temps la configuration pam pour 'su' et de changer d'utilisateur pour valider les tests.
Enfin, sur ta question à propos TLS, tu sais peut-être que OpenLDAP dispose, en plus de SASL, de deux manières (qui peuvent être utilisées en même temps) pour appréhender les échanges sécurisés: le StartTLS et le ldaps://. Grossièrement, la première négocie la sécurité tout en gardant la communication sur le port 389, et la deuxième, toujours grossièrement, travaille sur le port 636 et la communication est négociée à la manière d'un https.
# Et elle dape dape ....
Posté par arapaho . En réponse au message Quelques petits problèmes LDAP et autres considérations sans importance sauf pour moi.. Évalué à 2.
Concernant tes interrogations sur nscd dans un environnement Samba, il faut surtout faire attention aux interactions entre nscd et winbind. Ces deux là ne peuvent pas s'encadrer.
A propos de l'auth LDAP avec SSH, tu dois avoir correctement configuré pam_ldap et la bibliothèque NSS ldap qui va avec (sans oublier le nsswitch.conf). Ensuite, il faut que l'entrée correspondant à l'utilisateur qui s'authentifie soit "ressemblante" à un compte système standard (account, posixAccount, shadowAccount, etc... ), et surtout qu'elle dispose d'un shell.
Ensuite, pour le common-auth, je mettrais le 'sufficient ldap' avant le env. Un bon moyen de tester sa conf pam est de bosser en adaptant dans un premier temps la configuration pam pour 'su' et de changer d'utilisateur pour valider les tests.
Enfin, sur ta question à propos TLS, tu sais peut-être que OpenLDAP dispose, en plus de SASL, de deux manières (qui peuvent être utilisées en même temps) pour appréhender les échanges sécurisés: le StartTLS et le ldaps://. Grossièrement, la première négocie la sécurité tout en gardant la communication sur le port 389, et la deuxième, toujours grossièrement, travaille sur le port 636 et la communication est négociée à la manière d'un https.
Bon courage !