« Installation et configuration de OpenLDAP » : différence entre les versions

=Installation=

Pour installer OpenLDAP :

database        bdb

rootpw {SSHA}HJsgK682kFZk

#cache de 2MB

dbconfig set_cachesize 0 2097152 0  

# These access lines apply to database #1 only

access to attrs=userPassword,shadowLastChange

         by anonymous auth

         by self write

#access to dn.base="" by * read

         by * none

         by * none

         by * none

         by * none

access to *

         by * none

</pre>

* <code>modulepath</code> : spécifie où sont stockés les modules.

* <code>moduleload</code> : spécifie les modules à loader.

</pre>

slapd permet de sécuriser les transactions en SSL. Voici la configuration que j'utilise :

<pre>

</pre>

*<code>password-hash</code> : spécifie la méthode de cryptage des mots de passe par défaut. Les différentes options possible sont :

** <code>{CRYPT}</code> : utilise la fonction crypt() de unix

</pre>

Dans mon exemple, j'ajoute les lignes suivantes au fichier <code>/etc/ldap/slapd.conf</code> :

<pre>

database        bdb

rootpw          {SSHA}Xe7Lb0SZi8B7F4CiqwRV8t3cm0R2XdYc

directory      "/srv/ldap"

* <code>replogfile</code> : spécifie le dossier où sont stockés les logs de réplication. C'est fonction est utile si vous faite de la réplication entre plusieurs serveurs ldap

Les ACLs définissent qui a accès à quoi dans la base de donnée.

Tout d'abord, on va définir les accès aux mots-de-passes.

# These access lines apply to database #1 only

access to attrs=userPassword,shadowLastChange

         by anonymous auth

         by self write

Petite explication :

* <code>access to</code> : spécifie pour quoi on défini des accès. Dans le cas présent, c'est l'accès aux mots-de-passes

* <code>by anonymous auth</code> : autorise aux utilisateurs anonymes de se loguer

* <code>by self write</code> : autorise l'utilisateur à changer son propre mot-de-passe

Voici les permissions correspondantes pour cette structure :

<pre>

         by * none

         by * none

         by * none

         by * none

access to *

         by * none

</pre>

En détail :

* La directive <code>dn.subtree</code> permet de définir l'accès pour le <code>ou</code> pfoo et toute l'arborescence en dessou de ce <code>ou</code>.

* On donne un accès en écriture à l'utilisateur pfoo (défini par la directive <code>cn</code> qui se situe dans le <code>ou>users</code>.

* On ne donne un accès que au <code>cn</code> admin et on refuse l'accès à tous les autres

Bien que la base de donnée et ses accès soient configurés, elle reste pour l'instant vide. Nous allons la remplir en utilisant un fichier au format LDIF.

Ouvrez votre éditeur de texte, collez les lignes suivantes dedans et enregistrez le nom avec le nom que vous voulez.

<pre>

#Racine de la base

objectClass:    top

objectClass:    dcObject

objectClass:    organization

# ou des utilisateurs de la base

objectClass: top

objectClass: organizationalunit

# utilisateur pfoo de la base

cn: pfoo

objectClass: top

# ou du carnet d'adresse global

objectClass:    top

objectClass:    organizationalUnit

# ou du carnet d'adresse de pfoo

objectClass:    top

objectClass:    organizationalUnit

Une fois le fichié créé et enregistré, il ne reste plus qu'à l'ajouter à la base de donnée:

Une petite modification est nécessaire pour que slapd écoute bien le port par défaut pour les connexions SSLs.

SLAPD_SERVICES="ldap://127.0.0.1:389/ ldap://213.186.47.110:389/ ldaps://213.186.47.110:636/"

</pre>

Le démon slapd écoutera donc en local sur le port 389 (nécessaire pour utiliser une interface de gestion web comme <code>phpldapadmin</code>), ainsi que sur l'ip du serveur sur les ports 389 (connexions normales) et 636 (connexions SSLs)

Il ne reste plus qu'à lancer le serveur :

Vous pouvez tester votre configuration en utilisant un client ldap. Pour ma part, j'ai fait mes tests avec le client <code>ldapbrowser</code>.

Pour vous connecter :

J'utilise thunderbird en tant que client mail.