Dans toute infrastructure Linux de taille moyenne à grande, la gestion des comptes utilisateurs et des permissions est un enjeu majeur.
Ce guide complet couvre l’installation, la configuration, la sécurisation et la maintenance d’une solution centralisée basée sur OpenLDAP, SSSD et sudo.
Plan de l’article
- Introduction et contexte
- Installation et configuration d’OpenLDAP
- Structuration de l’annuaire LDAP
- Déploiement de SSSD sur les clients Linux
- Intégration de LDAP dans SSSD
- Configuration de sudo centralisé
- Sécurisation : TLS, PAM, et bonnes pratiques
- Supervision et maintenance de l’annuaire
- Gestion des groupes et des rôles
- Haute disponibilité et réplication LDAP
- Sauvegarde et restauration
- Conclusion et perspectives
Introduction et contexte
La multiplication des serveurs Linux rend la gestion locale des utilisateurs fastidieuse et sujette aux erreurs. Une solution LDAP centralisée garantit :
- Un point unique de gestion des comptes
- Des permissions homogènes sur tous les nœuds
- Une traçabilité des accès avec sudo
Astuce : Planifiez la migration progressivement, en testant sur un groupe restreint avant déploiement global.
Installation et configuration d’OpenLDAP
1. Installation des paquets
sudo apt update
sudo apt install slapd ldap-utils
2. Configuration initiale
sudo dpkg-reconfigure slapd
- Domaine :
dc=example,dc=com - Mot de passe admin LDAP
Attention : Choisissez un mot de passe complexe pour l’administrateur LDAP.
Structuration de l’annuaire LDAP
1. Schéma d’exemple
dn: ou=users,dc=example,dc=com
objectClass: organizationalUnit
ou: users
dn: ou=groups,dc=example,dc=com
objectClass: organizationalUnit
ou: groups
2. Ajout d’utilisateurs
dn: uid=jdupont,ou=users,dc=example,dc=com
objectClass: inetOrgPerson
uid: jdupont
sn: Dupont
givenName: Jean
cn: Jean Dupont
userPassword: {SSHA}XXXXXXXXXXXXXX
Déploiement de SSSD sur les clients Linux
sudo apt install sssd libpam-sss libnss-sss
Configuration /etc/sssd/sssd.conf
[sssd]
domains = example.com
services = nss, pam
[domain/example.com]
id_provider = ldap
auth_provider = ldap
ldap_uri = ldap://ldap.example.com
ldap_search_base = dc=example,dc=com
sudo chmod 600 /etc/sssd/sssd.conf
sudo systemctl enable sssd --now
Intégration de LDAP dans SSSD
- Test de résolution d’utilisateur :
getent passwd jdupont - Test de group mapping :
getent group sudo
Astuce : Activez
enumerate = falsepour éviter la surcharge du serveur LDAP.
Configuration de sudo centralisé
1. Schéma LDAP pour sudo
sudo apt install ldap-schema sudo-ldap
2. Ajout de règles sudo
dn: cn=admins,ou=groups,dc=example,dc=com
objectClass: top
objectClass: sudoRole
cn: admins
sudoUser: %admins
sudoHost: ALL
sudoCommand: ALL
3. Configuration PAM
sudo apt install libpam-ldapd
Attention : Vérifiez que
/etc/nsswitch.confcontientsudoers: sss files.
Sécurisation : TLS, PAM et bonnes pratiques
- Génération d’un certificat TLS pour LDAP
- Configuration de
ldap_tls_cacertetldap_tls_reqcert - Durcissement PAM avec
pam_faillock
Supervision et maintenance de l’annuaire
- Surveillance des logs
/var/log/syslog - Utilisation de
ldapsearchpour vérifier l’intégrité - Mise en place d’un script de monitoring Nagios/Icinga
Gestion des groupes et des rôles
- Modélisation des groupes LDAP pour refléter la structure de l’entreprise
- Gestion dynamique via des scripts Ansible
Haute disponibilité et réplication LDAP
- Configuration de la réplication syncrepl
- Mise en place de deux serveurs LDAP en miroir
Sauvegarde et restauration
slapcat -b dc=example,dc=com > backup.ldif
sudo systemctl stop slapd
slapadd -l backup.ldif
Conclusion et perspectives
La centralisation LDAP couplée à SSSD et sudo offre une solution robuste pour gérer utilisateurs et permissions.
En suivant ce guide, vous disposerez d’une infrastructure sécurisée, facile à administrer et évolutive.
