Les paquetages suivants doivent être installés :
openldap openldap-servers openldap-clients
Editer le fichier /etc/openldap/slapd.conf
en modifiant les lignes commenté ci-dessous :
La ligne de suffix nomme le domaine pour lequel le serveur LDAP fournira les informations et devrait être changée comme suit :
suffix "dc=my-domain,dc=com"
L'entrée rootdn est le Nom distinct (ou DN selon l'acronyme anglais) pour un utilisateur dont l'activité n'est pas limitée par les paramètres de contrôle d'accès ou de limites administratives définis pour toute opération sur le répertoire LDAP. L'utilisateur rootdn peut être considéré comme le super-utilisateur pour le répertoire LDAP. Dans le fichier de configuration, modifiez la ligne rootdn pour changer la valeur par défaut comme dans l'exemple suivant :
rootdn "cn=Manager,dc=my-domain,dc=com"
Si vous avez l'intention de peupler le répertoire LDAP sur le réseau, modifiez la ligne rootpw — en remplaçant la valeur par défaut par une chaîne de mot de passe cryptée. Afin de créer une chaîne de mots de passe cryptée, tapez la commande suivante :
slappasswd
Lorsque le système vous le demandera, saisissez et confirmez un mot de passe. Le programme affiche alors à l'invite du shell, le mot de passe crypté résulant de la commande.
Ensuite, copiez le mot de passe crypté que vous venez de créer dans /etc/openldap/slapd.conf sur une des lignes rootpw et supprimez le signe dièse (#).
Une fois cette modification apportée, la ligne devrait ressembler à l'exemple reproduit ci-dessous :
rootpw {SSHA}yF9+xm+RjPoETTMpf5ss1qyqD2XLH00
Avertissement : Les mots de passe LDAP, y compris la directive rootpw spécifiée dans /etc/openldap/slapd.conf, sont envoyés sur le réseau en texte clair, à moins que le cryptage TLS ne soit activé. Pour permettre le cryptage TLS, passez en revue les commentaires figurant dans /etc/openldap/slapd.conf et consultez la page de manuel de slapd.conf. Pour une sécurité accrue, la directive rootpw devrait être désactivée après avoir peuplé le répertoire LDAP. Pour ce faire, ajoutez un signe dièse devant cette directive (#).
Si vous utilisez l'outil de ligne de commande /usr/sbin/slapadd localement pour peupler le répertoire, il n'est pas nécessaire d'utiliser la directive rootpw.
Important : Seul le super-utilisateur peut utiliser /usr/sbin/slapadd. Toutefois, le serveur de répertoires tourne en tant que l'utilisateur ldap. Par conséquent, le serveur de répertoires ne peut modifier aucun fichier créé par slapadd. Pour résoudre ce problème, après avoir utilisé slapadd tapez la commande suivante : chown -R ldap /var/lib/ldap
Démarrer le démon LDAP :
/etc/init.d/ldap start
Pour vérifier que le démon est bien lancé et qu'il est bien configurer, lancer :
ldapsearch -x -b '' -s base '(objectclass=*)' namingContexts
Créer le fichier new.ldif avec par exemple le contenu suivant :
dn: dc=my-domain,dc=com objectclass: dcObject objectclass: organization o: MonOrganisation dc: my-domain dn: cn=Manager,dc=my-domain,dc=com objectclass: organizationalRole cn: Manager
Un fois le fichier enregistré lancer la commande :
ldapadd -x -D "cn=Manager,dc=my-domain,dc=com" -W -f new.ldif
Les paquetages suivants doivent être installés :
openldap openldap-clients
NSS library and PAM module for LDAP
nss_ldap
Editer le fichier /etc/openldap/ldap.conf et modifier par exemple les lignes ainsi :
HOST rhel4-vm1 BASE dc=my-domain,dc=com
Pour ajouter un contact internet dans l'annuaire :
Il faut créer dans un premier temps un fichier LDIF avec par exemple le contenu suivant :
dn: cn=Prénom NOM,dc=domaine,dc=com objectClass: top objectClass: person objectClass: organizationalPerson objectClass: inetOrgPerson cn: Prénom NOM sn: Surnom givenName: Prénom mail: prenom.nom@domaine.com userPassword: {SSHA}eaA4NZl5bd1dKKFK4DEQ18gvuXcYiy/P uid: pnom telephoneNumber: 430
Puis exécuter la commande suivante :
ldapadd -x -D "cn=admin,dc=domaine,dc=com" -W -f fichier.ldif
Un entrée doit respecter la structure du schéma, dans le cas présent, l'objectClass: inetOrgPerson permet de stocker l'adresse mail. C'est objet est utilisable uniquement si les objectClass: organizationalPerson, person, top sont déclarés.
Pour supprimer un contact dans l'annuaire :
ldapdelete -x -D "cn=admin,dc=domaine,dc=com" -W "cn=benoit,dc=domaine,dc=com"
Annuaire LDAP au format Mozilla ThunderBird :
Pour ajouter une entrée format Mozilla dans l'annuaire LDAP, créer un fichier LDIF comme ci-dessous
dn: cn=Prenom NOM,dc=domaine,dc=com objectclass: top objectclass: person objectclass: organizationalPerson objectclass: inetOrgPerson objectclass: mozillaAbPersonAlpha givenName: Prenom NOM sn: Nom cn: Prenom NOM mozillaNickname: Surnom mail: prenom.nom@domaine.com mozillaSecondEmail: prenom.nom@domaine2.com telephoneNumber: 0000 00 00 00 homePhone: 0111 11 11 11 facsimiletelephonenumber: 0222 22 22 22 pager: 0333 33 33 33 mobile: 0444 44 44 44 mozillaHomeStreet: 10 adresse perso mozillaHomeLocalityName: ville perso mozillaHomeState: etat perso mozillaHomePostalCode: 97400 mozillaHomeCountryName: FRANCE street: 10 adresse pro l: ville pro st: etat pro postalCode: 97490 c: FRANCE title: Chef de Projet ou: TECHNIQUE o: ENTREPRISE mozillaWorkUrl: http://www.domaine-pro.com mozillaHomeUrl: http://www.domaine.com
…et exécuter la commande ldapadd comme ci-dessus :
Voir tutoriel pour la configuration du serveur LDAP dans Thunderbird : configuration_de_l_annuaire_ldap_sous_thunderbird