Authentification LDAP : customisation des clients

Une fois que les clients sont connectables au LDAP (cf.authentification LDAP), va falloir un peu les customiser

pas de cache du navigateur (Firefox3)

le cache est sur la home des utilisateurs sur un serveur NFS, on va pas le fatiguer ce pauvre serveur quand même … et puis faut rajouter le script d'autoconfig du proxy

⇒ édition du /etc/firefox-3.0/pref/firefox.js

// Vire le cache disque
pref("browser.cache.disk.capacity", 0);

// Autoconfiguration du cache
pref("network.proxy.autoconfig_url", "http://www/cache.pac");
pref("network.proxy.type", 2);
création de quelques alias

⇒ pour csh, tcsh : /etc/csh.cshrc

alias ll 'ls -l'
alias cp 'cp -i'
alias rm 'rm -i'
alias mv 'mv -i'

⇒ pour bash, sh & Co : /etc/profile

alias cp="cp -i"
alias rm="rm -i"
alias mv="mv -i"
alias ls="ls -a"
alias ll="ls -l"
déconnexion automatique des shells utilisateurs au bout de 60 minutes d'inactivité

/etc/environment (pour la Debian, on fait la partie “sh compatible” dans /etc/profile)

# pour bash & Co (en secondes)
TMOUT=3600

dans le /etc/csh.cshrc chez Debian

set autologout="XXX" dans le /etc/csh.cshrc chez Debian

le cache est sur la home des utilisateurs sur un serveur NFS, on va pas le fatiguer ce pauvre serveur quand même … et puis faut rajouter le script d'autoconfig du proxy

protection du bootloader

Mieux vaut pas trop laisser tout le monde s'amuser avec le bootloader et, ainsi, passer en root (le BIOS boote sur le DD système par défaut et locké bien sûr)

  • pense très fort à un bon mot de passe et hashe-le grâce à la commande grub-md5-crypt
  • récupère le mot de passe hashé et va le copier dans /boot/grub/menu.lst, du style :
password --md5 BlAbLAbla
  • les entrées du grub permettant de démarrer le système en mode mono-utilsateur devront être protégées par le même mot de passe :

/boot/grub/menu.lst

## should update-grub create alternative automagic boot options
# alternative=true

## should update-grub lock alternative automagic boot options
# lockalternative=true

:!: le dièse (#) ne correspond pas à un commentaire mais la ligne sera relue lors de la régénération d'un menu de démarrage

  • on met à jour le binz
update-grub
tous les utilisateurs doivent pouvoir monter une clef USB, écouter de la zik, utiliser virtualbox, ...

/etc/security/group.conf

*;*;*;Al0000-2400;floppy,audio,video,cdrom,plugdev,vboxusers

:!: et, bien sûr, ça ne marche pas pour virtualbox :-?

on verra ça un autre jour … de toutes façons, virtualbox mérite une page à lui tout seul pour le fonctionnement en environnement multi-utilisateurs.

⇒ Va falloir jouer avec /etc/udev/rules.d/40-permissions.rules je pense

Note : pour Debian Lenny, ça ne marche pas concernant les montages auto (ainsi que le reste) ⇒ j'ai modifié le deny de la ligne contenant org.freedesktop.Hal.Device.Volume en allow du fichier /etc/dbus-1/system.d/hal.conf.

Note 2 (bien + tard) : et pour cause que ça marchait pas ⇒ il faut jeter un oeil dans /etc/pam.d/common-auth et vérifier qu'il y a bien la ligne auth optional pam_group.so non commentée.

En passant, 2 liens intéressants (ils sont rares) sur HAL : chez freedesktop et Archlinux

Note 3 : concernant la Squeeze, je pense qu'il va falloir chercher du côté de ConsoleKit ou udisks

il faut restreindre un groupe au seul environnement xfce

C'est comme ça, on va restreindre un groupe d'utilisateurs (disons le groupe dont le gid est 1234) au seul environnement xfce.

  • On va donc rajouter quelques lignes dans :

/etc/X11/Xsession.d/50xorg-common_determine-startup

groupe_restreint="`id | grep -v gid=1234`"
if [ -z "$groupe_restreint" ]; then
STARTUP=/usr/bin/startxfce4
fi
  • Et on sélectionne xfwm4 par défaut à l'aide de la commande :
update-alternatives --config x-window-manager
le souci du jour (et une ébauche de solution)

Après avoir cloné ma machine (merci drbl + clonezilla, qui mériteront une doc à l'occasion), je me retrouve sans réseau au redémarrage. Il faut dire que j'ai désinstallé le NetworkManager et que je ne veux pas en entendre parler. Un extrait de mon /etc/network/interfaces :

auto eth0
iface eth0 inet dhcp

Bon, un ifconfig me confirmera que j'ai juste l'interface loopback d'activée.

Un petit ifconfig eth1 up va me permettre de “réveiller” l'interface, mais c'est pas cool : si je reclone encore une fois cette machine, je vais me retrouver avec un eth2 puis eth3

Le souci vient de udev. J'ai (au moins) 2 solutions pour corriger la chose :

⇒ je vire le /etc/udev/rules.d/75-persistent-net-generator.rules sur chaque nouveau clone (il sera régénéré au redémarrage du daemon ou au prochain redémarrage de la machine),

⇒ ou alors il me faut modifier le script /lib/udev/write_net_rules

encore un petit souci à régler

Bizarre, j'ai des processus appartenant aux utilisateurs qui restent en l'air après que ceux-ci se soient déconnectés (ssh-agent, bonobo-activation-server, dbus-daemon, gnome-keyring-daemon, artsd, …) en plus d'un certain nombre d'utilisateurs qui n'a toujours pas compris qu'on ferme sa session quand on a fini de bosser.

⇒ un script à 3 balles :

for pid in `ps naux|awk '$1 >=1000 && $1 <65536 {printf("%s\n"),$2}'` ; do kill -3 $pid ; done

que je vais mettre dans la crontab de root (crontab -e) ou celle du système (/etc/crontab) afin qu'il tourne toutes les nuits. J'ai pensé le mettre dans /etc/cron.daily/ mais un problème se pose avec anacron si la machine a été éteinte (l'utilisateur allume la machine le matin, se loggue, et se fait virer dans les 5 minutes … ça peut être marrant ;-))

to be continued …

 
Haut de page
docs_en_vrac/config_clients.txt · Dernière modification: 2011/02/10 15:05 par clarky
chimeric.de = chi`s home Creative Commons License Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0