Comment vérifier si une méthode d'authentification est activée sur Linux

Introduction

Dans ce laboratoire, vous apprendrez à vérifier quelles méthodes d'authentification sont activées sur un système Linux. Nous explorerons les fichiers de configuration clés qui régissent la manière dont les utilisateurs sont authentifiés et autorisés.

Vous commencerez par examiner les fichiers de configuration PAM (Pluggable Authentication Modules) situés dans /etc/pam.d/ pour comprendre le cadre de base de l'authentification. Ensuite, vous inspecterez le fichier de configuration SSSD (System Security Services Daemon) à l'emplacement /etc/sssd/sssd.conf pour voir s'il est configuré pour des sources d'identité distantes. Enfin, vous vérifierez la configuration NSS (Name Service Switch) dans /etc/nsswitch.conf pour déterminer l'ordre dans lequel le système recherche les informations sur les utilisateurs et les groupes. À la fin de ce laboratoire, vous aurez une compréhension de base de l'endroit où chercher pour identifier les méthodes d'authentification actives sur un système Linux.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL linux(("Linux")) -.-> linux/BasicFileOperationsGroup(["Basic File Operations"]) linux/BasicFileOperationsGroup -.-> linux/ls("Content Listing") linux/BasicFileOperationsGroup -.-> linux/cat("File Concatenating") subgraph Lab Skills linux/ls -.-> lab-558781{{"Comment vérifier si une méthode d'authentification est activée sur Linux"}} linux/cat -.-> lab-558781{{"Comment vérifier si une méthode d'authentification est activée sur Linux"}} end

Vérifier la configuration PAM avec ls /etc/pam.d

Dans cette étape, nous allons commencer à explorer la manière dont Linux gère l'authentification et l'autorisation des utilisateurs. Un composant clé est PAM, qui signifie Pluggable Authentication Modules (Modules d'authentification modulaires). PAM offre un moyen flexible de gérer la manière dont les utilisateurs se connectent, changent de mot de passe et accèdent aux ressources du système.

Imaginez PAM comme un ensemble de règles que les applications (comme l'écran de connexion ou sudo) consultent avant de permettre à un utilisateur d'effectuer une action. Ces règles sont définies dans des fichiers de configuration, principalement situés dans le répertoire /etc/pam.d/.

Regardons les fichiers de configuration PAM sur ce système. Nous allons utiliser la commande ls, qui liste le contenu d'un répertoire.

Ouvrez votre terminal s'il n'est pas déjà ouvert. N'oubliez pas que vous pouvez trouver l'icône Xfce Terminal sur le côté gauche de votre bureau.

Tapez la commande suivante et appuyez sur Entrée :

ls /etc/pam.d/

Vous verrez une liste de fichiers. Chaque fichier correspond généralement à un service ou à une application qui utilise PAM pour l'authentification. Par exemple, vous pourriez voir des fichiers tels que common-auth, login, sudo, sshd, etc.

atd
chfn
chsh
common-account
common-auth
common-password
common-session
common-session-noninteractive
cron
... (la sortie peut varier)

Ces fichiers contiennent les règles PAM spécifiques pour chaque service. Nous n'allons pas entrer dans les détails du contenu des fichiers pour l'instant, mais il est important de savoir où se trouvent ces configurations.

Comprendre PAM est crucial pour gérer l'accès des utilisateurs et la sécurité dans Linux. En listant le contenu de /etc/pam.d/, vous avez effectué la première étape pour voir comment l'authentification est configurée sur ce système.

Cliquez sur Continuer pour passer à l'étape suivante.

Vérifier la configuration SSSD avec cat /etc/sssd/sssd.conf

Dans cette étape, nous allons examiner un autre composant important lié à la gestion des utilisateurs et à l'authentification : SSSD. SSSD signifie System Security Services Daemon (Daemon des services de sécurité système). C'est un service qui permet d'accéder à des sources d'authentification et d'identité distantes telles que LDAP, Active Directory ou FreeIPA.

SSSD peut mettre en cache les informations d'identification et les données, ce qui améliore les performances et permet aux utilisateurs de s'authentifier même si la connexion réseau à la source distante est temporairement indisponible.

Le fichier de configuration principal de SSSD est généralement situé à l'emplacement /etc/sssd/sssd.conf. Nous allons utiliser la commande cat pour afficher le contenu de ce fichier. La commande cat est un utilitaire simple utilisé pour afficher le contenu des fichiers.

Tapez la commande suivante dans votre terminal et appuyez sur Entrée :

cat /etc/sssd/sssd.conf

Vous verrez les détails de configuration de SSSD. Le contenu de ce fichier dépendra de savoir si SSSD est configuré pour se connecter à des sources d'identité externes. Sur un système de base, le fichier peut être minimal ou contenir des paramètres par défaut.

[sssd]
domains =
config_file_version = 2
services = nss, pam

[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3

[pam]
reconnection_retries = 3

Cette sortie montre la structure de base du fichier sssd.conf. La section [sssd] contient les paramètres globaux, et la ligne services indique que SSSD fournit des services pour nss (Name Service Switch) et pam. Les sections [nss] et [pam] contiennent des paramètres spécifiques à ces services.

Même si SSSD n'est pas entièrement configuré pour une source distante, sa présence et sa configuration de base dans sssd.conf indiquent que le système est configuré pour potentiellement l'utiliser pour l'authentification et la recherche d'identités.

L'examen de ce fichier vous aide à comprendre si votre système est configuré pour utiliser SSSD et avec quels services il est intégré.

Cliquez sur Continuer pour passer à l'étape suivante.

Inspecter la configuration NSS avec cat /etc/nsswitch.conf

Dans cette étape finale de ce laboratoire introductif, nous allons examiner la configuration du Name Service Switch (NSS). Le NSS est une partie cruciale de la manière dont les systèmes Linux déterminent où chercher des informations sur les utilisateurs, les groupes, les noms d'hôtes et d'autres données liées au réseau.

Quand un programme doit rechercher les informations d'un utilisateur (comme son identifiant utilisateur ou son répertoire personnel), il consulte la configuration NSS pour savoir quelles sources vérifier et dans quel ordre. Ces sources peuvent inclure des fichiers locaux (comme /etc/passwd et /etc/group), le DNS, LDAP ou des services tels que SSSD (que nous venons d'examiner).

Le fichier de configuration du NSS est /etc/nsswitch.conf. Nous allons de nouveau utiliser la commande cat pour afficher son contenu.

Tapez la commande suivante dans votre terminal et appuyez sur Entrée :

cat /etc/nsswitch.conf

Vous verrez des lignes spécifiant quelles sources utiliser pour différents types d'informations. Chaque ligne commence par le type d'information (par exemple, passwd, group, hosts), suivi d'un deux-points et d'une liste de sources à vérifier.

## /etc/nsswitch.conf
#
## Example configuration of GNU Name Service Switch functionality.
## If you have the `glibc-doc-reference' and `info' packages installed, try:
## `info libc "Name Service Switch"' for information.

passwd:         compat systemd
group:          compat systemd
shadow:         compat

hosts:          files dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

Dans cet exemple de sortie :

passwd: compat systemd signifie que lors de la recherche d'informations sur les utilisateurs, le système doit d'abord vérifier les sources configurées par compat (souvent des fichiers traditionnels comme /etc/passwd) puis systemd.
hosts: files dns signifie que lors de la résolution des noms d'hôtes, le système doit d'abord vérifier le fichier local /etc/hosts (files) puis utiliser le DNS.

L'ordre des sources sur chaque ligne est important, car le système les vérifie séquentiellement jusqu'à ce qu'il trouve les informations demandées.

Comprendre nsswitch.conf vous aide à résoudre les problèmes liés aux connexions d'utilisateurs, à la résolution des noms d'hôtes et à d'autres problèmes liés à l'identité en vous montrant l'ordre dans lequel votre système recherche ces informations.

Vous avez maintenant eu un bref aperçu de trois domaines clés liés à la gestion des utilisateurs et à l'authentification dans Linux : PAM, SSSD et NSS. C'est une étape fondamentale pour comprendre la manière dont votre système gère les identités et l'accès.

Cliquez sur Continuer pour terminer ce laboratoire.

Résumé

Dans ce laboratoire, nous avons commencé à explorer la manière dont Linux gère l'authentification des utilisateurs en examinant des fichiers de configuration clés. Nous avons d'abord utilisé ls /etc/pam.d/ pour lister les fichiers de configuration des Pluggable Authentication Modules (PAM), qui définissent les règles d'authentification pour divers services et applications. Cela nous a montré où sont stockées les politiques d'authentification de base sur le système.

Ensuite, nous avons commencé à étudier le System Security Services Daemon (SSSD) en essayant d'afficher son fichier de configuration situé à /etc/sssd/sssd.conf à l'aide de la commande cat. Le SSSD est un service crucial pour l'intégration avec des sources d'identité et d'authentification distantes, et l'examen de sa configuration permet de déterminer si le système est configuré pour s'authentifier auprès de répertoires externes et comment.