Activité d’apprentissage

Administration de réseaux
Module 21
informatiques

Précision D Implémenter un service d’annuaire

Code Activité A-D-001

Activité Implémentation d’une structure d’annuaire

Phase
Entraînement
d’apprentissage
Cette activité d’apprentissage doit vous permettre d’être
capable de :

Détails sur les  Configurer un service annuaire

objectifs visés par
l’activité

Description de l’activité

Résumé

Le but de ce TP est de découvrir une première mise en oeuvre du service d'annuaire

LDAP.

Vous allez avoir schématiquement 4 étapes :

1. Installer les packages nécessaires

2. configurer les fichiers de configuration

3. initialiser la base de données

4. configurer un client et tester le ou les services à partir d'un client

Document Millésime Page

OFPPT @ 382093822.doc janvier 08 1-4
 5. passer à l'administration

1.1. Installer les packages sur le serveur

Il va falloir installer les packages OpenLDAP. La procédure est standard à partir de
paquets (debian ou rpm), sinon à partir des sources.

tar xzvf openldap-x.y.z.tgz cd openldap.x.y.z

./configure
make
make depend
make test
make install

Installez également les packages perl, php et "dévelop" pour l'administration.

$> rpm -qa | grep ldap

mod_auth_ldap-1.6.0-7mdk
libldap2-devel-2.0.25-7mdk
libldap2-2.0.25-7mdk
openldap-2.0.25-7mdk
nss_ldap-194-3mdk
libldap2-devel-static-2.0.25-7mdk
openldap-back_ldap-2.0.25-7mdk
openldap-back_sql-2.0.25-7mdk
pam_ldap-148-3mdk
php-ldap-4.2.3-1mdk
perl-ldap-0.26-2mdk
openldap-clients-2.0.25-7mdk
openldap-servers-2.0.25-7mdk
openldap-migration-2.0.25-7mdk
openldap-back_passwd-2.0.25-7mdk
openldap-guide-2.0.25-7mdk
openldap-back_dnssrv-2.0.25-7mdk

Il est intéressant de prévoir aussi les bibliothèques de développement.

1.2. Les fichiers de configuration du serveur

Il faut bien identifier les objets à référencer et les objectifs de l'annuaire. Les
fichiers sont dans "/etc/openldap".

Le premier fichier est "sldapd.conf" qui décrit les principaux paramètres de votre
annuaire :

# $OpenLDAP: pkg/ldap/servers/slapd/slapd.conf,v 1.8.8.6 2001/04/20

23:32:43 kurt Exp $
#
# See slapd.conf(5) for details on configuration options.
# This file should NOT be world readable.

Document Millésime Page

OFPPT @ 382093822.doc janvier 08 2-4
 #
# Inclusion des schémas nécessaires
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/nis.schema

# Options que vous pouvez modifier

#pidfile //var/run/slapd.pid
#argsfile //var/run/slapd.args

###################################################################
####
# ldbm database definitions
###################################################################
####
# Choix du format de base de données pour le stockage des
informations.
database ldbm

# Configurer le suffixe (racine) de l'annuaire

# en fonction du domaine DNS
suffix "dc=my-domain,dc=com"
# ou d'une autre organisation
#suffix "o=My Organization Name,c=US"

# L'administrateur de l'annuaire
rootdn "cn=Manager,dc=my-domain,dc=com"

# Le mot de passe de l'administrateur, préférer une option cryptée

# La commande htpasswd peut très bien faire l'affaire pour
encrypter

# rootpw secret
# rootpw {crypt}ijFYNcSNctBYg

# Emplacement de la base de données

directory /var/lib/ldap

# Création des index.

# Comme pour une base de données, indexer les rubriques
# les plus utilisées.

index objectClass,uid,uidNumber,gidNumber,memberUid eq
index cn,mail,surname,givenname
eq,subinitial

# La réplication ne sera pas utilisée ici

# Vous pouvez répliquer tout ou partie d'un arbre
# activée par le daemon slurpd

# Directives de replication
# sinon les mettre dans un fichier à part et utiliser
# replogfile /chemincomplet/du/fichier

# Indiquer quels sont les serveurs réplicats

# et la méthode d'authentification
# Ici le serveur local, se répliquera sur ldap1

#replica host:ldap-1.example.com:389
# bindmethod=simple

Document Millésime Page

OFPPT @ 382093822.doc janvier 08 3-4
 # binddn="cn=replicat_slave1, dc=mydomain, dc=fr"
# credential=UnMotDePasse

# Accés par défaut sur la base

defaultaccess read

Protéger ensuite le fichier avec un "chmod 600 /etc/openldap/slapd.conf".

Les autorisations d'accès nécessitent une remarque.

Ici l'accès par défaut est "read", mais il est possible d'affiner. Par exemple avec des
règles d'écriture comme:

access to <what> [ by <who> <none | compare | search | read |

write>]
# Donne un accés en écriture pour le manager du domaine
access to * by dn="cn=Manager,dc=mydomain,dc=fr" write
# Donne un accés en lecture à tout le monde sur la base
access to * by * read
# Donne un accés en écriture sur un attribut pour le manager
# en lecture pour les autres.
access to attr=uid
by dn="manager,dc=mydomain,dc=fr" write
by * none

Pour configurer un réplicat, procédez comme suit :

# Configurez le fichier slrupd.conf du réplicat

# Ajoutez les options updatedn
# Le dn replicat_slave1 doit être identique à celui déclaré sur le
maître.
rootdn ="cn=replicat_slave1, dc=mydomain, dc=fr"
rootpw=UnMotDePasse
updatedn = "cn=replicat_slave1, dc=mydomain, dc=fr"

Le nombre d'options est très important, utilisez la commande "man slapd.conf".

Document Millésime Page

OFPPT @ 382093822.doc janvier 08 4-4