Intégration PAM pour client Linux

Il faut d'abord intégrer la machine linux au domaine Active Directory Samba4 en suivant la documentation SAMBA - Intégration Samba membre de domaine. Ensuite on effectue la configuration PAM comme ci-dessous.

Il faut d'abord faire les étapes ci-dessus pour intégrer la machine au domaine.

Installation du paquet

apt-get install  libpam-krb5 

Faire la même chose que pour srvfichiers avec la conf pam en plus :

Edition du fichier /etc/pam.d/common-account

account	[success=2 new_authtok_reqd=done default=ignore]    pam_unix.so 
account	required                                            pam_winbind.so 
account	requisite                                           pam_deny.so
account	required                                            pam_permit.so

Edition du fichier /etc/pam.d/common-auth

auth	 [success=2 default=ignore]           pam_unix.so nullok_secure try_first_pass
auth	 [success=1 default=ignore]           pam_winbind.so use_first_pass krb5_auth krb5_ccache_type=FILE
auth	 requisite                            pam_deny.so
auth	 required                             pam_permit.so

Edition du fichier /etc/pam.d/common-passwd

password [success=2 default=ignore]                       pam_unix.so obscure sha512
password requisite                                        pam_deny.so
password required                                         pam_permit.so

Edition du fichier /etc/pam.d/common-session

session	 [default=1]        pam_permit.so
session	 requisite          pam_deny.so
session	 required           pam_permit.so
session	 required           pam_unix.so 
session	 required           pam_mkhomedir.so silent skel=/etc/skel.empty
session  optional           pam_winbind.so krb5_auth krb5_ccache_type=FILE

Pour utiliser aussi l'authentification kerberos avec le ssh (note : c'est pas du SSO, sinon il faut kerberiser le ssh), vérifier que l'on a bien la ligne suivante dans /etc/ssh/sshd_config

UsePAM yes