Archives par mot-clé : openldap

overlay « memberof » avec Openldap

En effet, dans un annuaire openldap, il n’existe pas pour un objet de classe posixAccount d’attribut listant les groupes auxquels il appartient. Ce sont les objets de type posixGroup qui eux, par l’intermédiaire de l’attribut memberUid, listent leurs membres. Il n’est par conséquent pas possible de lister les groupes auxquels appartient un utilisateur directement et en une seule requête à partir de son objet dans l’annuaire. On peut corriger ça avec le fait d’implémenter l’overlay « memberof » avec Openldap.

Continuer la lecture de overlay « memberof » avec Openldap

remettre l’authentification zabbix par défaut en local

Imaginons la scène : avec un utilisateur zabbix local, ayant des privilèges administratifs, nous avons configuré la liaison à un annuaire ldap, et fait un test de bind, avec succès. Ensuite, nous avons modifié la configuration de l’authentification pour qu’elle attaque la liaison ldap par défaut, mais nous n’avons pas encore créé d’utilisateur provenant de l’annuaire ldap.

Puis nous avons cliqué sur Sign out

Continuer la lecture de remettre l’authentification zabbix par défaut en local

MAC Authentication Bypass avec freeradius et openldap, avec assignation automatique de VLAN (mac to vlan)

Il est courant d’utiliser un serveur radius en coordination avec le protocole 802.1x pour sécuriser l’accès à un réseau. Ici, le but n’est pas du tout de sécuriser l’accès au réseau, mais de s’épargner de configurer le port du switch sur lequel on branche un bidule pour le mettre dans le bon VLAN, en utilisant le mac authentication bypass.

Ainsi, avec des ports banalisés, la vie est plus gaie.

Continuer la lecture de MAC Authentication Bypass avec freeradius et openldap, avec assignation automatique de VLAN (mac to vlan)

Modification de la configuration d’openldap pour autoriser les utilisateurs à modifier leur mot de passe samba

En effet par défaut un objet de classe posixAccount a bien les autorisations de modifier son attribut « userPassword ». Mais quand on lui ajoute la classe sambaSamAccount, il semble que par défaut le compte ne peut pas modifier son attribut sambaNTPassword. C’est contrariant, en particulier quand on veut pouvoir donner la possibilité à l’utilisateur de changer son mot de passe par l’intermédiaire d’un script ou d’une page web. Voyons comment modifier la configuration d’openldap pour autoriser les utilisateurs à modifier leur mot de passe samba.

Continuer la lecture de Modification de la configuration d’openldap pour autoriser les utilisateurs à modifier leur mot de passe samba