Le blog de Jean David TECHER, un Réunionnais à Saint-Priest/Lyon

En se basant sur le lien ci-dessous, il est possible depuis un annuaire LDAP de s'authentifier auprès d'un serveur PostgreSQL

Le lien en question est http://itc.musc.edu/wiki/PostgreSQL. Par la suite, il suffit d'écrire un fichier /etc/pam.d/postgresql sur le serveur contenant ceci

auth    required        /lib/security/pam_ldap.so
account required        /lib/security/pam_ldap.so

Dans le fichier pg_hba.conf, on spécifiera la ligne suivante

host    all         all         192.168.2.0/24        pam postgresql

Depuis un poste client (mon portable) avec le programme suivant basé sur libpq, on pourra vérifier la connexion selon le principe suivant.

Principe

Supposons que j'ai un utilisateur david.techer référencé dans mon annuaire LDAP ayant le mot de passe empr888. Il a bien sur un mot de passe. Il faut commencer par créer un utilisateur dans PostgreSQL portant le même nom par exemple en faisant

createuser -s david.techer

On remarquera ici que l'utilisateur n'a pas de mot de passe dans PostgreSQL (l'option -P de createuser suffit pour lui en spécifier un mais ici je n'en ai pas besoin).

Exemple correct

david.techer@bremko:~$ ./pgsql2csv -h olivia -d testgis -u david.techer -p empr888
Tentative de la connexion.............................[ OK ]
hote..................................................olivia
base.................................................testgis
port....................................................5432
utilisateur.....................................david.techer
mot de passe.........................................empr888
options...............................................(null)
Connexion fermée......[OK]

Exemple incorrect (sur un mauvais mot de passe)

david.techer@bremko:~$ ./pgsql2csv -h olivia -d testgis -u david.techer -p empr88
Tentative de la connexion..........................[ ECHEC ]
[ERREUR]............................................FATAL:  authentification PAM échouée pour l'utilisateur « david.techer »

Connexion fermée......[OK]

Le programme en question

Il se compile en faisant comme toujours

gcc -Wall -g3 -o pgsql2csv -L`pg_config --libdir` -lpq -I`pg_config --includedir` main.c.c

Son contenu est

//* Created by Anjuta version 1.2.4a */
/*	This file will not be overwritten */
#include <stdio.h>
#include <stdlib.h>
#include <getopt.h>
#include <string.h> // util pour strdup
#include "libpq-fe.h"

#define MAX_SIZE 80
#define LLINE 60
#define NB_ARGS 9
#define NOM_PROGRAMME argv[0]
/*
   prototype des fonctions
*/
int CheckConnection(int);
int CheckNbArgs(int);
void ShowUsage(char *);
void PrintNoEnoughMem(char *);
char * Basename(char *);
static void GererAffichage(const char *,const char *);
static const char * check(const char *);
static void show_connection_attributes(const PGconn *);

char * Basename(char * chaine){
	char * pt;
	if ((chaine[0]=='/')*(chaine[1]=='\0')) return chaine;
    for(pt=chaine;*pt!='\0';pt++);
	while((pt>=chaine)*(*pt!='/'))pt--;
    return (pt+1);
}

static const char * check(const char * value){
  return (*value)?value:"(null)";	
}

static void show_connection_attributes(const PGconn * c){
     GererAffichage("hote",check(PQhost(c)));	
     GererAffichage("base",check(PQdb(c)));	
     GererAffichage("port",check(PQport(c)));	
     GererAffichage("utilisateur",check(PQuser(c)));
     GererAffichage("mot de passe",check(PQpass(c)));	
     GererAffichage("options",check(PQoptions(c)));	
}



void PrintNoEnoughMem(char * param)
{
  printf("Pas assez de mémoire disponible pour dupliquer l'argument \"%s\"\n",param);	
}

void ShowUsage(char * p){
	printf("Usage: %s -h hôte -d basededonees -u utilisateur -p motdepasse\n",Basename(p));
}

void PrintErrorConnexion(){
     printf("Erreur: impossible d'allouer une connexion\n");	
}	


int CheckNbArgs(int argc){
   return (argc==NB_ARGS);
}

static void GererAffichage(const char * attr,const char * value){
	int itersp=strlen(attr);
	int limit=LLINE-((LLINE>(strlen(value)+strlen(attr)))?strlen(value):strlen(attr));
	printf("%s",attr);
   while(itersp++<limit) printf(".");
   printf("%s\n",value);
}


int main(int argc,char * argv[]) 
{
	PGconn * connexion;
	char * arg_Host, * arg_DB, * arg_User, * arg_passwd;
	char option;
	extern char *optarg;
	
	if (!(CheckNbArgs(argc)))
	{
		ShowUsage(NOM_PROGRAMME);
		exit(EXIT_FAILURE);
	}	
	
	while( (option=getopt(argc,argv,"h:d:u:p:"))!=EOF)
	{
		switch (option)
		{
		  case 'h':	if ((arg_Host=strdup(optarg))==NULL)
			       {
			         PrintNoEnoughMem(arg_Host);
			         exit(EXIT_FAILURE);
		            }
			        break;
			  
		  case 'd': if ((arg_DB=strdup(optarg))==NULL)
			       {
			         PrintNoEnoughMem(arg_Host);
			         exit(EXIT_FAILURE);
		            }
			        break;
			  
		  case 'u': if ((arg_User= strdup(optarg))==NULL)
			       {
			         PrintNoEnoughMem(arg_User);
			         exit(EXIT_FAILURE);
		            }
			        break;
			  
		  case 'p': if ((arg_passwd= strdup(optarg))==NULL)
			       {
			         PrintNoEnoughMem(arg_passwd);
			         exit(EXIT_FAILURE);
		            }
			        break;
			  
		 default: ShowUsage(NOM_PROGRAMME);
		         exit(EXIT_FAILURE);
		       break;
		}
	}
	char * lcpc=(char*)malloc(sizeof(char)*MAX_SIZE*NB_ARGS);
	sprintf(lcpc,"host=%s dbname=%s user=%s password=%s",arg_Host,arg_DB,arg_User,arg_passwd);

	if ((connexion=PQconnectdb(lcpc))==NULL)
	{
		PrintErrorConnexion();
	    exit(EXIT_FAILURE);
	}
    if (PQstatus(connexion)==CONNECTION_BAD)
	{
	  GererAffichage("Tentative de la connexion","[ ECHEC ]");
	  GererAffichage("[ERREUR]",PQerrorMessage(connexion));
	}
	else
	{
		GererAffichage("Tentative de la connexion","[ OK ]");
        show_connection_attributes(connexion);
	}
	PQfinish(connexion);
	printf("Connexion fermée......[OK]\n");
	free(lcpc);
	free(arg_Host);
	free(arg_DB);
	free(arg_User);
	free(arg_passwd);
	exit(EXIT_SUCCESS);
}

Il faut modifier le script horde/imp/config/mime_drivers.php en faisant

root@luxy:~# diff -Naur /var/www/horde/imp/config/mime_drivers.php.orig /var/www/horde/imp/config/mime_drivers.php
--- /var/www/horde/imp/config/mime_drivers.php.orig     2008-01-19 10:48:31.000000000 +0100
+++ /var/www/horde/imp/config/mime_drivers.php  2008-01-19 10:55:16.000000000 +0100
@@ -56,14 +56,14 @@
 /**
  * HTML driver settings
  */
-$mime_drivers['imp']['html']['inline'] = false;
+$mime_drivers['imp']['html']['inline'] = true;
 $mime_drivers['imp']['html']['handles'] = array(
     'text/html');
 $mime_drivers['imp']['html']['icons'] = array(
     'default' => 'html.png');
 /* If you don't want to display the link to open the HTML content in a
  * separate window, set the following to false. */
-$mime_drivers['imp']['html']['external'] = true;
+$mime_drivers['imp']['html']['external'] = false;

 /**
  * Image driver settings

Ah yé, j'aurais enfin parvenu à coupler FreeRadius avec OpenLDAP :). Ca m'aura pris du temps mais au moins maintenant, je peux lancer le wifi sur mon portable en utilisant wpa_supplicant. Je rédigerais une doc' la-dessus quand j'aurais du temps. Pour mémo, le contenu du script /etc/wpa_supplicant/wpa_supplicant.conf est

ctrl_interface=/var/run/wpa_supplicant
network={
        ssid="?????"
        scan_ssid=1
        key_mgmt=WPA-EAP
        phase2="auth=PAP"
        identity="USER_LDAP"
        password="PASSWORD_LDAP"
        ca_cert="/etc/wpa_supplicant/certs/root_maison_CA-cacert.pem"
}

L'ajout de phase2="auth=PAP" permet de préciser qu'il faut recourir à l'annuaire LDAP pour l'authentification. Pour automatiser le lancement de FreeRadius au démarrage du serveur, on précise dans le fichier /etc/rc.local

/usr/local/sbin/radiusd -fyzA &

Le fichier de log est /usr/local/var/log/radius/radius.log qui combiné à tail -f donne

tail -f /usr/local/var/log/radius/radius.log
..... ...... ....
..... ...... ....
Sat Jan 19 09:52:10 2008 : Auth: Login OK: [????/????] (from client 192.168.2.1 port 0)

Les fichiers de configuration localisés /usr/local/etc/raddb/ sont

• radiusd.conf
• eap.conf
• clients.conf
• ldap.attrmap
• users

Côté client en utilisant wpa_supplicant, dans /etc/network/interfaces, on met

iface eth1 inet dhcp
        wpa-ssid belkin54g
        wpa-conf /etc/wpa_supplicant/wpa_supplicant.conf
auto eth1

La semaine dernière j'avais installé une ancienne version de ingo qui me copiait les messages dans les différents répertoires attendus selon les règles de filtres que j'avais fournis. Ce matin, j'ai mis à jour ma version de Ingo et ca marche tranquil On se rend à http://www.horde.org/download/app/?app=ingo et on télécharge la version 1.1.4 et ensuite

cd /var/www/
tar xvzf ingo-h3-1.1.4.tar.gz
mv ingo-h3-1.1.4 horde/ingo
cd horde/ingo/config
for foo in *.dist; do cp $foo `basename $foo .dist`; done

Ensuite, il faut se logguer sous Horde en tant qu'administrateur et il faut configurer horde pour générer le fichier horde/ingo/conf.php. Par défaut, je n'ai rien touché quant à la configuration proposé et ça marche nickel!