ldap_client

Comptes UNIX via LDAP (nslcd) (Debian, FreeBSD)

Variables (par défaut)

Obligatoires

• ldap_base ('') ex : 'dc=univ,dc=fr'
• ldap_uri ('') ex : 'ldaps://ldapr.univ.fr/ ldaps://ldap.univ.fr/'

Vérifiez les valeurs par défaut :

• ldap_force_shell ('/usr/sbin/nologin') définissez-le comme vide pour autoriser le shell depuis ldap, ou forcez un autre (la valeur par défaut est bonne si vous n’avez besoin que de comptes sans permettre aux utilisateurs de se connecter)
• ldap_binddn ('')
• ldap_bindpw ('')
• ldap_tls_cacert ('')
• ldap_passwd_ou ('ou=People')
• ldap_group_ou ('ou=Group')
• ldap_passwd_filter ('(objectClass=posixAccount)')
• ldap_authz_filter (ldap_passwd_filter)
• ldap_group_filter ('(objectClass=posixGroup)')
• ldap_min_uid (1000)
• ldap_nss (true)
• ldap_starttls (false)

Options

• pam_ldap_services ([]) - Uniquement pour FreeBSD - ne fait rien si vide vous pouvez avoir besoin de 'login', peut-être 'sshd', 'imap', … quel que soit le service pam dont vous avez besoin
• ldap_validnames ('') voir man nslcd.conf
• ldap_autofs (False) autoriser l'automontage nss dans nslcd.conf

Exemple de playbook

• Pour une machine de connexion :

- hosts: mymachines
  roles:
    - criecm.ldap_client
  vars:
    ldap_base: dc=univ,dc=fr
    ldap_uri: 'ldaps://myldap.mydomain ldaps://myldapbackup.mydomain'

    x509_ca_path: /etc/ssl/myca.crt
    x509_ca_file: files/ca.crt
    ldap_tls_cacert: '{{x509_ca_path}}'
    ldap_tls_reqcert: 'demand'

    ldap_force_shell: /bin/bash

• Pour un serveur de messagerie :

- hosts: mailsrv
  roles:
    - criecm.ldap_client
    - un rôle de serveur de messagerie
  vars:
    ldap_base: dc=univ,dc=fr
    ldap_uri: 'ldaps://myldap.mydomain ldaps://myldapbackup.mydomain'

    x509_ca_path: /etc/ssl/myca.crt
    x509_ca_file: files/ca.crt
    ldap_tls_cacert: '{{x509_ca_path}}'
    ldap_tls_reqcert: 'demand'

    ldap_passwd_filter: ('(&(objectClass=inetMailRecipient)(mail=*@mydomain))')
    pam_ldap_services: [ dovecot, imap, submission ]