Apparence

Défaut

Gris

Blanc

Coloré

Sombre

Aucun CSS

Uubu.fr

Les systèmes Linux, l’open source, les réseaux, l’interopérabilité, etc.
« Il vaut mieux viser la perfection et la manquer que viser l’imperfection et l’atteindre. » (Bertrand Arthur William RUSSEL)
10 juillet 2014

htmlpdflatexmanmd




chsh.ldap

chsh.ldap

Change le login shell dans LDAP

   chsh.ldap peut être utilisé pour changer le login shell de l'utilisateur. Le changement actuel dans LDAP est effectué par nslcd et est sujet à ACL dans le serveur.

OPTIONS

-s, --shell SHELL Nom du shell. Si vide, le système sélectionne le shell par défaut.
-l, --list-shells Liste les shells trouvés dans /etc/shells
^
10 juillet 2014

htmlpdflatexmanmd




getent.ldap

getent.ldap

Demandes d'informations LDAP

   getent.ldap peut être utilisé pour rechercher ou énumérer les informations LDAP. À la différence de getent, cette commande bypass complètement les recherches configurées dans nsswitch.conf. et requête nslcd directement. getent.ldap tente de correspondre au fonctionnement et à la sortie de getent autant que possible, cependant il y a certaines différences. Si plusieurs entrées sont trouvées dans LDAP, plusieurs valeurs sont affichées. Certaines base ont des options supplémentaires.

bases

aliases Liste ou requête les alias mail
ethers Liste ou requête les adresses ethernet
group Liste ou requête les groupes. Il recherche les groupes par group id
group.member Si l'argument est un username, retourne les groupes dont l'utilisateur est membre.
hosts Liste ou requête nom d'hôte et adresses par nom d'hôte, ipv4 ou ipv6.
hostsv4 Idem mais ne retourne que les adresses ipv4
hostsv6 Idem mais ne retourne que les adresses ipv6
netgroup Liste les triplet netgroup
netgroup.norec Idem excepté qu'aucune autre recherche n'est faite pour étendre les netgroups qui sont membre du netgroup fournis.
networks Liste les noms et adresses de réseaux
networksv4 Idem mais retourne uniquement les adresses ipv4
networksv6 Idem mais retourne uniquement les adresses ipv6
passwd Liste ou recherche le compte utilisateur
protocols Énumère la base de protocoles internet
rpc Liste ou recherche les noms qui mappe les numéro RPC
services Liste ou recherche le mappage entre les noms pour les services internet et leur numéro de port correspondant
shadow Liste ou recherche les informations étendus de compte utilisateur.
^
10 juillet 2014

htmlpdflatexmanmd




nslcd

nslcd

Daemon de service de nom LDAP local

   nslcd est un service qui fait des requêtes LDAP pour NSS et PAM. Il est configuré via nslcd.conf

OPTIONS

-c, --check Vérifie si le service est lancé. 0 s'il fonctionne, 1 sinon
-d, --debug Mode débug, nslcd ne se place pas en tâche de fond et envoie ses logs sur stderr.
-n, --nofork Ne se fork pas et reste en foreground

Signaux

SIGTERM/SIGINT Annule toute requête en cours et se termine
SIGUSR1 Retente les connexions echouées, sans respecter reconnect_sleeptime et reconnect_retrytime

Fichiers

/etc/nslcd.conf Fichier de configuration de nslcd.
^
10 juillet 2014

htmlpdflatexmanmd




nslcd.conf

nslcd.conf

Fichier de configuration de nslcd

options runtimes

threads NUM Spécifie le nombre de threads. Défaut: 5
uid UID user id du service
gid GID Groupe du service
log SCHEME [LEVEL] Contrôle les logs. SCHEME peut être none ou syslog. (défaut: syslog info)

options de connexion

uri URI URI du serveur LDAP. La valeur alternative DNS peut être utilisée pour rechercher les DNS SRV avec la syntaxe DNS:DOMAIN.
ldap_version VERSION Spécifie la version du protocole LDAP à utiliser
binddn DN DN à utiliser pour le bind.
bindpw PASSWORD Mot de passe du binddn
rootpwmoddn DN Spécifie le DN à utiliser quand root tente de modifier le mot de passe d'un utilisateur en utilisant le module PAM.
rootpwmodpw PASSWORD Mot de passe de rootpwmoddn

options SASL

sasl_mech MECHANISM Spécifie le mécanisme SASL à utiliser pour l'authentification SASL
sasl_realm REALM Domaine SASL
sasl_authcid AUTHCID Identité d'authentification
sasl_authzid AUTHZID Identité d'authorisation (doit être spécifié au format dn:‹dn› ou u:‹username›)
sasl_secprops PROPERTIES Spécifie les propriétés de sécurité SASL de Cyrus. les valeurs permise sont décrites dans ldap.conf
sasl_canonicalize yes|no Détermine si le nom d'hôte du serveur LDAP devrait être canonisé ou non. À yes, effectue un reverse lookup.

options Kerberos

krb5_ccname NAME Nom pour le cache d'accréditations Kerberos

options de recherche et mappage

base [MAP] DN Base de recherche. Peut être spécifié plusieurs fois. Une base de recherche globale peut être spécifiée ou un map spécifique.
scope [MAP] sub[tree]|one[level]|base|children Spécifie le scope de recherche.
deref never|searching|finding|always Définis la stratégie de dé-référencement des alias.
referrals yes|no Spécifie si les référant doivent être suivis ou non.
filter MAP FILTER Filtre de recherche à utiliser pour un map spécifique.
map MAP ATTRIBUTE NEWATTRIBUTE Permet de définir d'autres attributs que ceux de la rfc2307.

options de timing et reconnexion

bind_timelimit SECONDS limite de temps pour la connexion au serveur. Défaut: 10 secondes
timelimit SECONDS Spécifie la limite de temps pour une réponse du serveur. 0 pour une attente infinie.
idle_timelimit SECONDS Période d'inactivité avant de fermer la connexion au serveur. Défaut: pas de limite
reconnect_sleeptime SECONDS Temps au delà duquel un serveur ldap est considéré indisponible. Une fois ce temps atteins, les tentatives seront faites une fois par cette tranche de temps. défaut: 10 secondes.

options SSL/TLS

ssl on|off|start_tls Spécifie le mode à utiliser
tls_reqcert never|allow|try|demand|hard Spécifie quelles vérifications effectuer sur le certificat du serveur. Les valeurs sont décrites dans ldap.conf.
tls_cacertdir PATH Répertoire contenant les certificats X.509 pour l'authentification du paire. Ignoré avec GnuTLS.
tls_cacertfile PATH Spécifie le chemin du certificat X.509 pour l'authentification du paire.
tls_randfile PATH Chemin de la source d'entropie. Ignoré avec GnuTLS
tls_ciphers CIPHERS Chiffrement à utiliser pour TLS.
tls_cert PATH Chemin du certificat du client
tls_key PATH Chemin du fichier contenant la clé privé du client.

autres options

pagesize NUMBER › 0, définis le nombre de résultat pour une recherche paginés. Défaut: 0.
nss_initgroups_ignoreusers user1,user2,... Empêche la recherche du groupe membership dans ldap pour les utilisateurs spécifiés. Peut être spécifié plusieurs fois.
nss_min_uid UID uid minimum pour les recherches dans ldap
nss_nested_groups yes|no Si l'attribut member pointe vers un autre groupe, les membres imbriqués sont retournés. Défaut: no.
validnames REGEX pattern pour déterminer les noms d'utilisateurs et de groupes valides.
ignorecase yes|no Prend en compte ou non la casse. yes peut exposer le système à des vulnérabilités.
pam_authz_search FILTER Permet de paramétrer la vérification d'authorisation. Le filtre spécifié est exécuté et si une entrée matche, l'accès est donné. Le filtre peut contenir les variables suivantes: $username, $service, $ruser, $rhost, $tty, $hostname, $fqdn, $dn, $uid. Peut être spécifié plusieurs fois.
pam_password_prohibit_message "MESSAGE" Refuse la modification de mot de passe avec pam_ldap et affiche le message spécifié. Peut être utilisé pour rediriger l'utilisateur vers un autre moyen de changer son mot de passe.
reconnect_invalidate DB,DB,... Si définis, vide les caches spécifiés au démarrage et lors des reconnexions au serveur. db est une des maps nsswitch.
cache CACHE TIME [TIME] Durée de rétentions des entrées dans le cache interne.

Expressions de mappage d'attributs

   Pour certains attributs, une expression de mappage peut être utilisé pour construire la valeur résultante. C'est actuellement seulement possible pour les attributs qui n'ont pas besoin d'être utilisés dans les filtres de recherche. Les expressions sont un sous-jeu d'expressions shell. Au lieu de substitution de variable, la recherche d'attribut est faite sur l'entrée courante et la valeur d'attribut est substituée. Les expressions suivantes sont supportés:

${attr}, $attr Substitue la valeur de l'attribut
${attr:-word} Substitue la valeur de l'attribut ou, si l'attribut n'est pas définis ou vide, substitue le mot.
${attr:+word} Substitue le mot si l'attribut si l'attribut est mis, sinon substitue une chaîne vide.
${attr#word} Supprime le match le plus court possible de la gauche de la valeur de l'attribut
${attr##word} Supprime le match le plus long possible de la gauche de la valeur de l'attribut
${attr%word} Supprime le match le plus long possible de la droite de la valeur de l'attribut
${attr%%word} Supprime le match le plus court possible de la droite de la valeur de l'attribut

   Seul la version '#' est supportée par nslcd, les autres sont supportés par pynslcd. Également, le seul wilcard supporté par nslcd est ?. Les caractères ", $ et \ doivent être échappés.

Exemples

Utilise l'attribut shadowFlag, avec la valeur 0 par défaut:
"${shadowFlag:-0}"
Utilise uid pour construire homeDirectory si cette attribut est manquant:
"${homeDirectory:-/home/$uid}"
Si isDisabled est mis, retourne 100:
"${isDisabled:+100}"
Enlève le préfixe {crypt} de userPassword:
"${userPassword#{crypt\}}"
^
10 juillet 2014

htmlpdflatexmanmd




pynslcd

pynslcd

Daemon de service de nom LDAP

   pynslcd est un service qui fait des requêtes LDAP pour NSS et PAM. Il est configuré via nslcd.conf

OPTIONS

-c, --check Vérifie si le service est lancé. 0 s'il fonctionne, 1 sinon
-d, --debug Mode débug, pynslcd ne se place pas en tâche de fond et envoie ses logs sur stderr.
-n, --nofork Ne se fork pas et reste en foreground