4 231
modifications
« Installation et configuration de OpenLDAP » : différence entre les versions
Aller à la navigation
Aller à la recherche
Installation et configuration de OpenLDAP (voir la source)
Version du 6 février 2011 à 00:03
, 6 février 2011aucun résumé des modifications
Aucun résumé des modifications |
Aucun résumé des modifications |
||
| Ligne 161 : | Ligne 161 : | ||
</pre> | </pre> | ||
== | ==Autres options== | ||
* <code>modulepath</code> : spécifie où sont stockés les modules. | * <code>modulepath</code> : spécifie où sont stockés les modules. | ||
* <code>moduleload</code> : spécifie les modules à loader. | * <code>moduleload</code> : spécifie les modules à loader. | ||
| Ligne 173 : | Ligne 173 : | ||
</pre> | </pre> | ||
== | ==SSL== | ||
slapd permet de sécuriser les transactions en SSL. Voici la configuration que j'utilise : | slapd permet de sécuriser les transactions en SSL. Voici la configuration que j'utilise : | ||
<pre> | <pre> | ||
| Ligne 201 : | Ligne 201 : | ||
</pre> | </pre> | ||
== | ==SASL== | ||
== | ==Autres options de sécurité== | ||
*<code>password-hash</code> : spécifie la méthode de cryptage des mots de passe par défaut. Les différentes options possible sont : | *<code>password-hash</code> : spécifie la méthode de cryptage des mots de passe par défaut. Les différentes options possible sont : | ||
** <code>{CRYPT}</code> : utilise la fonction crypt() de unix | ** <code>{CRYPT}</code> : utilise la fonction crypt() de unix | ||
| Ligne 220 : | Ligne 220 : | ||
</pre> | </pre> | ||
= | =Configuration de la base de donnée= | ||
== | ==Ajout d'une base== | ||
Dans mon exemple, j'ajoute les lignes suivantes au fichier <code>/etc/ldap/slapd.conf</code> : | Dans mon exemple, j'ajoute les lignes suivantes au fichier <code>/etc/ldap/slapd.conf</code> : | ||
| Ligne 254 : | Ligne 254 : | ||
* <code>replogfile</code> : spécifie le dossier où sont stockés les logs de réplication. C'est fonction est utile si vous faite de la réplication entre plusieurs serveurs ldap | * <code>replogfile</code> : spécifie le dossier où sont stockés les logs de réplication. C'est fonction est utile si vous faite de la réplication entre plusieurs serveurs ldap | ||
== | ==Configuration des ACLs de la base== | ||
Les ACLs définissent qui a accès à quoi dans la base de donnée. | Les ACLs définissent qui a accès à quoi dans la base de donnée. | ||
Tout d'abord, on va définir les accès aux mots-de-passes. | Tout d'abord, on va définir les accès aux mots-de-passes. | ||
| Ligne 311 : | Ligne 311 : | ||
En détail : | En détail : | ||
Le premier paragraphe défini les accès pour le ou pfoo, qui lui même se situe dans le ou addressbook, qui lui même se situe à la racine de la base. | Le premier paragraphe défini les accès pour le ou pfoo, qui lui même se situe dans le ou addressbook, qui lui même se situe à la racine de la base. | ||
* La directive <code>dn.subtree</code> permet de définir l'accès pour le <code>ou</code> pfoo et toute l'arborescence en dessou de ce <code>ou</code>. | * La directive <code>dn.subtree</code> permet de définir l'accès pour le <code>ou</code> pfoo et toute l'arborescence en dessou de ce <code>ou</code>. | ||
* On donne un accès en écriture à l'utilisateur pfoo (défini par la directive <code>cn</code> qui se situe dans le <code>ou>users</code>. | * On donne un accès en écriture à l'utilisateur pfoo (défini par la directive <code>cn</code> qui se situe dans le <code>ou>users</code>. | ||
| Ligne 326 : | Ligne 326 : | ||
* On ne donne un accès que au <code>cn</code> admin et on refuse l'accès à tous les autres | * On ne donne un accès que au <code>cn</code> admin et on refuse l'accès à tous les autres | ||
= | =Insertion de la structure dans la base= | ||
Bien que la base de donnée et ses accès soient configurés, elle reste pour l'instant vide. Nous allons la remplir en utilisant un fichier au format LDIF. | Bien que la base de donnée et ses accès soient configurés, elle reste pour l'instant vide. Nous allons la remplir en utilisant un fichier au format LDIF. | ||
Ouvrez votre éditeur de texte, collez les lignes suivantes dedans et enregistrez le nom avec le nom que vous voulez. | Ouvrez votre éditeur de texte, collez les lignes suivantes dedans et enregistrez le nom avec le nom que vous voulez. | ||
| Ligne 370 : | Ligne 370 : | ||
<pre>ldapadd -x -W -D "cn=admin,dc=csnu,dc=org" -f votre_fichier</pre> | <pre>ldapadd -x -W -D "cn=admin,dc=csnu,dc=org" -f votre_fichier</pre> | ||
= | =Modification du fichier /etc/default/slapd pour les ports à écouter= | ||
Une petite modification est nécessaire pour que slapd écoute bien le port par défaut pour les connexions SSLs. | Une petite modification est nécessaire pour que slapd écoute bien le port par défaut pour les connexions SSLs. | ||
| Ligne 380 : | Ligne 380 : | ||
Le démon slapd écoutera donc en local sur le port 389 (nécessaire pour utiliser une interface de gestion web comme <code>phpldapadmin</code>), ainsi que sur l'ip du serveur sur les ports 389 (connexions normales) et 636 (connexions SSLs) | Le démon slapd écoutera donc en local sur le port 389 (nécessaire pour utiliser une interface de gestion web comme <code>phpldapadmin</code>), ainsi que sur l'ip du serveur sur les ports 389 (connexions normales) et 636 (connexions SSLs) | ||
= | =Lancement= | ||
Il ne reste plus qu'à lancer le serveur : | Il ne reste plus qu'à lancer le serveur : | ||
| Ligne 390 : | Ligne 390 : | ||
* <code>User DN</code> est le chemin complet de votre utilisateur (cn=pfoo,ou=users,dc=csnu,dc=org dans mon cas) | * <code>User DN</code> est le chemin complet de votre utilisateur (cn=pfoo,ou=users,dc=csnu,dc=org dans mon cas) | ||
= | =thunderbird= | ||
J'utilise thunderbird en tant que client mail. | J'utilise thunderbird en tant que client mail. | ||