====== LDAP ====== ===== Serveur ===== ==== Installation ==== Les paquetages suivants doivent être installés : openldap openldap-servers openldap-clients ==== Configuration ==== === Configuration du démon === Editer le fichier ''/etc/openldap/slapd.conf'' en modifiant les lignes commenté ci-dessous : La ligne de suffix nomme le domaine pour lequel le serveur LDAP fournira les informations et devrait être changée comme suit : suffix "dc=my-domain,dc=com" L'entrée **rootdn** est le Nom distinct (ou DN selon l'acronyme anglais) pour un utilisateur dont l'activité n'est pas limitée par les paramètres de contrôle d'accès ou de limites administratives définis pour toute opération sur le répertoire LDAP. L'utilisateur **rootdn** peut être considéré comme le super-utilisateur pour le répertoire LDAP. Dans le fichier de configuration, modifiez la ligne **rootdn** pour changer la valeur par défaut comme dans l'exemple suivant : rootdn "cn=Manager,dc=my-domain,dc=com" Si vous avez l'intention de peupler le répertoire LDAP sur le réseau, modifiez la ligne **rootpw** — en remplaçant la valeur par défaut par une chaîne de mot de passe cryptée. Afin de créer une chaîne de mots de passe cryptée, tapez la commande suivante : slappasswd Lorsque le système vous le demandera, saisissez et confirmez un mot de passe. Le programme affiche alors à l'invite du shell, le mot de passe crypté résulant de la commande. Ensuite, copiez le mot de passe crypté que vous venez de créer dans **/etc/openldap/slapd.conf** sur une des lignes rootpw et supprimez le signe dièse (#). Une fois cette modification apportée, la ligne devrait ressembler à l'exemple reproduit ci-dessous : rootpw {SSHA}yF9+xm+RjPoETTMpf5ss1qyqD2XLH00 Avertissement :!: : Les mots de passe LDAP, y compris la directive **rootpw** spécifiée dans **/etc/openldap/slapd.conf**, sont envoyés sur le réseau en texte clair, à moins que le cryptage TLS ne soit activé. Pour permettre le cryptage **TLS**, passez en revue les commentaires figurant dans **/etc/openldap/slapd.conf** et consultez la page de manuel de **slapd.conf**. Pour une sécurité accrue, la directive rootpw devrait être désactivée après avoir peuplé le répertoire LDAP. Pour ce faire, ajoutez un signe dièse devant cette directive (#). Si vous utilisez l'outil de ligne de commande /usr/sbin/slapadd localement pour peupler le répertoire, il n'est pas nécessaire d'utiliser la directive rootpw. **Important **:!: : Seul le super-utilisateur peut utiliser **/usr/sbin/slapadd**. Toutefois, le serveur de répertoires tourne en tant que l'utilisateur ldap. Par conséquent, le serveur de répertoires ne peut modifier aucun fichier créé par slapadd. Pour résoudre ce problème, après avoir utilisé slapadd tapez la commande suivante : **chown -R ldap /var/lib/ldap** Démarrer le démon LDAP : /etc/init.d/ldap start Pour vérifier que le démon est bien lancé et qu'il est bien configurer, lancer : ldapsearch -x -b '' -s base '(objectclass=*)' namingContexts === Création de l'entrée initiale dans l'annuaire === Créer le fichier **new.ldif** avec par exemple le contenu suivant : dn: dc=my-domain,dc=com objectclass: dcObject objectclass: organization o: MonOrganisation dc: my-domain dn: cn=Manager,dc=my-domain,dc=com objectclass: organizationalRole cn: Manager Un fois le fichier enregistré lancer la commande : ldapadd -x -D "cn=Manager,dc=my-domain,dc=com" -W -f new.ldif ===== Client ===== ==== Installation ==== Les paquetages suivants doivent être installés : openldap openldap-clients NSS library and PAM module for LDAP nss_ldap ==== Configuration ==== Editer le fichier **/etc/openldap/ldap.conf ** et modifier par exemple les lignes ainsi : HOST rhel4-vm1 BASE dc=my-domain,dc=com ==== Ajouter/supprimer une entrée dans l'annuaire ==== Pour ajouter un contact internet dans l'annuaire : Il faut créer dans un premier temps un fichier **LDIF** avec par exemple le contenu suivant : dn: cn=Prénom NOM,dc=domaine,dc=com objectClass: top objectClass: person objectClass: organizationalPerson objectClass: inetOrgPerson cn: Prénom NOM sn: Surnom givenName: Prénom mail: prenom.nom@domaine.com userPassword: {SSHA}eaA4NZl5bd1dKKFK4DEQ18gvuXcYiy/P uid: pnom telephoneNumber: 430 Puis exécuter la commande suivante : ldapadd -x -D "cn=admin,dc=domaine,dc=com" -W -f fichier.ldif Un entrée doit respecter la structure du schéma, dans le cas présent, l'**objectClass: inetOrgPerson** permet de stocker l'adresse mail. C'est objet est utilisable uniquement si les **objectClass: organizationalPerson, person, top** sont déclarés. Pour supprimer un contact dans l'annuaire : ldapdelete -x -D "cn=admin,dc=domaine,dc=com" -W "cn=benoit,dc=domaine,dc=com" ==== Mozilla ThunderBird ==== Annuaire LDAP au format Mozilla ThunderBird : - Pour récupérer le schéma LDAP Mozilla aller [[https://wiki.mozilla.org/MailNews:Mozilla_LDAP_Address_Book_Schema]] - Copier le contenu du Schéma dans un nouveau fichier nommé : **/etc/ldap/schema/mozillaAbPersonAlpha.schema** - Editer le fichier **/etc/ldap/slapd.conf** et ajouter la ligne : **include /etc/ldap/schema/mozillaAbPersonAlpha.schema** - Redémarrer le serveur LDAP : **/etc/init.d/slapd restart** Pour ajouter une entrée format Mozilla dans l'annuaire LDAP, créer un fichier LDIF comme ci-dessous dn: cn=Prenom NOM,dc=domaine,dc=com objectclass: top objectclass: person objectclass: organizationalPerson objectclass: inetOrgPerson objectclass: mozillaAbPersonAlpha givenName: Prenom NOM sn: Nom cn: Prenom NOM mozillaNickname: Surnom mail: prenom.nom@domaine.com mozillaSecondEmail: prenom.nom@domaine2.com telephoneNumber: 0000 00 00 00 homePhone: 0111 11 11 11 facsimiletelephonenumber: 0222 22 22 22 pager: 0333 33 33 33 mobile: 0444 44 44 44 mozillaHomeStreet: 10 adresse perso mozillaHomeLocalityName: ville perso mozillaHomeState: etat perso mozillaHomePostalCode: 97400 mozillaHomeCountryName: FRANCE street: 10 adresse pro l: ville pro st: etat pro postalCode: 97490 c: FRANCE title: Chef de Projet ou: TECHNIQUE o: ENTREPRISE mozillaWorkUrl: http://www.domaine-pro.com mozillaHomeUrl: http://www.domaine.com ...et exécuter la commande **ldapadd** comme ci-dessus : Voir tutoriel pour la configuration du serveur LDAP dans Thunderbird : [[informatique:bureautique:mozilla:thunderbird#configuration_de_l_annuaire_ldap_sous_thunderbird]]