Outils pour utilisateurs

Outils du site


informatique:linux:ldap

LDAP

Serveur

Installation

Les paquetages suivants doivent être installés :

openldap
openldap-servers
openldap-clients

Configuration

Configuration du démon

Editer le fichier /etc/openldap/slapd.conf en modifiant les lignes commenté ci-dessous :

La ligne de suffix nomme le domaine pour lequel le serveur LDAP fournira les informations et devrait être changée comme suit :

suffix          "dc=my-domain,dc=com"

L'entrée rootdn est le Nom distinct (ou DN selon l'acronyme anglais) pour un utilisateur dont l'activité n'est pas limitée par les paramètres de contrôle d'accès ou de limites administratives définis pour toute opération sur le répertoire LDAP. L'utilisateur rootdn peut être considéré comme le super-utilisateur pour le répertoire LDAP. Dans le fichier de configuration, modifiez la ligne rootdn pour changer la valeur par défaut comme dans l'exemple suivant :

rootdn          "cn=Manager,dc=my-domain,dc=com"

Si vous avez l'intention de peupler le répertoire LDAP sur le réseau, modifiez la ligne rootpw — en remplaçant la valeur par défaut par une chaîne de mot de passe cryptée. Afin de créer une chaîne de mots de passe cryptée, tapez la commande suivante :

slappasswd

Lorsque le système vous le demandera, saisissez et confirmez un mot de passe. Le programme affiche alors à l'invite du shell, le mot de passe crypté résulant de la commande.

Ensuite, copiez le mot de passe crypté que vous venez de créer dans /etc/openldap/slapd.conf sur une des lignes rootpw et supprimez le signe dièse (#).

Une fois cette modification apportée, la ligne devrait ressembler à l'exemple reproduit ci-dessous :

rootpw                  {SSHA}yF9+xm+RjPoETTMpf5ss1qyqD2XLH00

Avertissement :!: : Les mots de passe LDAP, y compris la directive rootpw spécifiée dans /etc/openldap/slapd.conf, sont envoyés sur le réseau en texte clair, à moins que le cryptage TLS ne soit activé. Pour permettre le cryptage TLS, passez en revue les commentaires figurant dans /etc/openldap/slapd.conf et consultez la page de manuel de slapd.conf. Pour une sécurité accrue, la directive rootpw devrait être désactivée après avoir peuplé le répertoire LDAP. Pour ce faire, ajoutez un signe dièse devant cette directive (#).

Si vous utilisez l'outil de ligne de commande /usr/sbin/slapadd localement pour peupler le répertoire, il n'est pas nécessaire d'utiliser la directive rootpw.

Important :!: : Seul le super-utilisateur peut utiliser /usr/sbin/slapadd. Toutefois, le serveur de répertoires tourne en tant que l'utilisateur ldap. Par conséquent, le serveur de répertoires ne peut modifier aucun fichier créé par slapadd. Pour résoudre ce problème, après avoir utilisé slapadd tapez la commande suivante : chown -R ldap /var/lib/ldap

Démarrer le démon LDAP :

/etc/init.d/ldap start

Pour vérifier que le démon est bien lancé et qu'il est bien configurer, lancer :

ldapsearch -x -b '' -s base '(objectclass=*)' namingContexts

Création de l'entrée initiale dans l'annuaire

Créer le fichier new.ldif avec par exemple le contenu suivant :

dn: dc=my-domain,dc=com
objectclass: dcObject
objectclass: organization
o: MonOrganisation
dc: my-domain

dn: cn=Manager,dc=my-domain,dc=com
objectclass: organizationalRole
cn: Manager

Un fois le fichier enregistré lancer la commande :

ldapadd -x -D "cn=Manager,dc=my-domain,dc=com" -W -f new.ldif

Client

Installation

Les paquetages suivants doivent être installés :

openldap
openldap-clients

NSS library and PAM module for LDAP

nss_ldap

Configuration

Editer le fichier /etc/openldap/ldap.conf et modifier par exemple les lignes ainsi :

HOST rhel4-vm1
BASE dc=my-domain,dc=com

Ajouter/supprimer une entrée dans l'annuaire

Pour ajouter un contact internet dans l'annuaire :

Il faut créer dans un premier temps un fichier LDIF avec par exemple le contenu suivant :

dn: cn=Prénom NOM,dc=domaine,dc=com
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
cn: Prénom NOM
sn: Surnom
givenName: Prénom
mail: prenom.nom@domaine.com
userPassword: {SSHA}eaA4NZl5bd1dKKFK4DEQ18gvuXcYiy/P
uid: pnom
telephoneNumber: 430

Puis exécuter la commande suivante :

ldapadd -x -D "cn=admin,dc=domaine,dc=com" -W -f fichier.ldif

Un entrée doit respecter la structure du schéma, dans le cas présent, l'objectClass: inetOrgPerson permet de stocker l'adresse mail. C'est objet est utilisable uniquement si les objectClass: organizationalPerson, person, top sont déclarés.

Pour supprimer un contact dans l'annuaire :

ldapdelete -x -D "cn=admin,dc=domaine,dc=com" -W "cn=benoit,dc=domaine,dc=com"

Mozilla ThunderBird

Annuaire LDAP au format Mozilla ThunderBird :

  1. Pour récupérer le schéma LDAP Mozilla aller https://wiki.mozilla.org/MailNews:Mozilla_LDAP_Address_Book_Schema
  2. Copier le contenu du Schéma dans un nouveau fichier nommé : /etc/ldap/schema/mozillaAbPersonAlpha.schema
  3. Editer le fichier /etc/ldap/slapd.conf et ajouter la ligne : include /etc/ldap/schema/mozillaAbPersonAlpha.schema
  4. Redémarrer le serveur LDAP : /etc/init.d/slapd restart

Pour ajouter une entrée format Mozilla dans l'annuaire LDAP, créer un fichier LDIF comme ci-dessous

dn: cn=Prenom NOM,dc=domaine,dc=com
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
objectclass: mozillaAbPersonAlpha
givenName: Prenom NOM
sn: Nom
cn: Prenom NOM
mozillaNickname: Surnom
mail: prenom.nom@domaine.com
mozillaSecondEmail: prenom.nom@domaine2.com
telephoneNumber: 0000 00 00 00
homePhone: 0111 11 11 11
facsimiletelephonenumber: 0222 22 22 22
pager: 0333 33 33 33
mobile: 0444 44 44 44
mozillaHomeStreet: 10 adresse perso
mozillaHomeLocalityName: ville perso
mozillaHomeState: etat perso
mozillaHomePostalCode: 97400
mozillaHomeCountryName: FRANCE
street: 10 adresse pro
l: ville pro
st: etat pro
postalCode: 97490
c: FRANCE
title: Chef de Projet
ou: TECHNIQUE
o: ENTREPRISE
mozillaWorkUrl: http://www.domaine-pro.com
mozillaHomeUrl: http://www.domaine.com

…et exécuter la commande ldapadd comme ci-dessus :

Voir tutoriel pour la configuration du serveur LDAP dans Thunderbird : configuration_de_l_annuaire_ldap_sous_thunderbird

informatique/linux/ldap.txt · Dernière modification: 2018/09/06 19:10 (modification externe)