Alors, le topic prise de tête du mois, le voici.
Objectif : Un utilisateur lambda (géré par un serveur LDAP) qui se connecte sur un poste de travail doit appartenir au groupe "epoptes", groupe local du poste de travail.
Le poste de travail : Il est sous image (donc toute modification est écrasée à chaque redémarrage), il est le poste "maître" d'une salle pupitre de 24 postes "élèves".
(Debian Jessie, LXDE, 32 bits)
La connexion : L'utilisateur entre "id" et "mdp", son /home est créé à la connexion, il n'appartient pas aux groupes de la machine locale.
L'utilisateur (du groupe "profs" sur le serveur LDAP) doit appartenir au groupe "epoptes" pour pouvoir utiliser epoptes, logiciel de contrôle d'ordinateurs à distance.
Des essais :
- J'ai modifié le groupe d'epoptes par défaut dans /etc/default/epoptes, et j'ai mis le groupe "profs"... ça ne fonctionne pas, puisque le groupe "profs" local, n'est pas le groupe "profs" du LDAP.
- J'ai voulu mettre le groupe "users" dans epoptes, mais un gars de l'équipe d'epoptes (sur IRC) m'a dit que ça ne fonctionnerait pas.
- Je devrais donc gérer ça avec ma configuration de pam.... Et ça, c'est coton.... Voici mes quelques essais:
- En suivant : https://help.ubuntu.com/community/LDAPC ... s_to_users,
J'ai mis ça dans /etc/security/group.conf :
Code : Tout sélectionner
*;*;*;Al0000-2400;audio,cdrom,dialout,floppy,epoptes- J'ai vérifié mes fichiers de conf de pam, ils semblent correspondre à ce qu'il faudrait.
On y va :
/etc/nsswith.conf
Code : Tout sélectionner
# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.
passwd: files ldap
group: files ldap
shadow: files ldap
hosts: files mdns4_minimal [NOTFOUND=return] dns mdns4
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: nisCode : Tout sélectionner
account sufficient pam_unix.so
account required pam_ldap.so use_first_pass
account required pam_mount.so use_first_passCode : Tout sélectionner
session sufficient pam_unix.so
session optional pam_mkhomedir.so umask=0022 skel=/etc/skel/ silent
session optional pam_mount.so use_first_passCode : Tout sélectionner
auth sufficient pam_unix.so
auth required pam_group.so use_first_pass
auth required pam_mount.so use_first_pass
auth required pam_ldap.so use_first_passCode : Tout sélectionner
password sufficient pam_unix.so nullok obscure md5
password required pam_mount.so use_first_pass
password required pam_ldap.so use_first_passCode : Tout sélectionner
#%PAM-1.0
auth required pam_mount.so
auth required pam_group.so use_first_pass
auth sufficient pam_ldap.so use_first_pass
auth required pam_unix.so use_first_pass
auth required pam_env.so
account sufficient pam_ldap.so
account sufficient pam_unix.so
password required pam_unix.so nullok obscure min=4 max=8 md5
session required pam_unix.so
session optional pam_mkhomedir.so umask=0022 skel=/etc/skel/ silent
session optional pam_mount.soCode : Tout sélectionner
#%PAM-1.0
auth required pam_mount.so
auth required pam_group.so use_first_pass
auth sufficient pam_ldap.so use_first_pass
auth required pam_unix.so use_first_pass
auth required pam_env.so
account sufficient pam_ldap.so
account sufficient pam_unix.so
password required pam_unix.so nullok obscure min=4 max=8 md5
session required pam_unix.so
session optional pam_mkhomedir.so umask=0022 skel=/etc/skel/ silent
session optional pam_mount.soMax
