mise en place d’un gestionnaire d’annuaire
TRANSCRIPT
NOMS DES EXPOSANTS :
ELA ABA JEFF HERMANN
WAFO VALERE
NOM DE L’ENSEIGNANT
M. Brice YAMENI
1
Table des matières INTRODUCTION GENERALE ............................................................................................................................. 2
Chapitre 1 : LE PROTOCOLE LDAP ................................................................................................................... 3
I. Généralités sur les annuaires .............................................................................................................. 3
II. Le protocole LDAP ............................................................................................................................... 3
Conclusion ................................................................................................................................................... 8
CHAPITRE II : PRESENTATION DU SERVEUR LDAP : OpenLDAP ....................................................................... 9
I. Définition ............................................................................................................................................ 9
II. Concept ............................................................................................................................................... 9
III. Histoire ................................................................................................................................................ 9
IV. Aspect techniques .......................................................................................................................... 9
CHAPITRE III : INSTALLATION ET CONFIGURATION D’OpenLDAP ................................................................. 11
I. INSTALLATION ................................................................................................................................... 11
II. CONFIGURATIONS ............................................................................................................................. 12
III. Administration du serveur ................................................................................................................ 15
Conclusion ..................................................................................................................................................... 20
Références ..................................................................................................................................................... 21
Annexe........................................................................................................................................................... 22
Configuration de slapd en images ............................................................................................................. 22
2
INTRODUCTION GENERALE Dans l'entreprise, les applications et les serveurs ont besoin des données pour
l'authentification, les droits d'accès... autant d'informations difficiles à maîtriser car très
volatiles et éparses. Ceci entraîne une obsolescence rapide, voire une incohérence des
données stockées.
Les annuaires LDAP offrent une réponse à ce problème en proposant de centraliser les
informations et, par le biais d'un protocole standardisé, d'y connecter des applications
clientes.
Le but de ce travail est de mettre en place un gestionnaire d’annuaire, du nom d’OpenLDAP.
Pour parvenir à cette mise en place, nous allons tout d’abord dans une première partie
présenter le protocole LDAP, dans une seconde présenter la solution OpenLDAP, dans une
autre configurer cette solution (configuration coté administrateur et configuration coté client)
et enfin nous effectuerons des tests de fonctionnement (création d’une arborescence
contenant groupes et utilisateur, connexion à partir d’un machine cliente, utilisation d’un
fichier ldif pour approvisionnement du carnet d’adresse de Mozilla Thunderbird).
3
Chapitre 1 : LE PROTOCOLE LDAP
I. Généralités sur les annuaires
1. Qu'est-ce qu'un annuaire ? LDAP (Lightweight Directory Access Protocol) est un protocole d'accès à un annuaire. Un
annuaire électronique est une base de donnée spécialisée, dont la fonction première est de
retourner un ou plusieurs attributs d'un objet grâce à des fonctions de recherche multi-
critères. Contrairement à un SGBD, un annuaire est très performant en lecture mais l'est
beaucoup moins en écriture. Sa fonction peut être de servir d'entrepôt pour centraliser des
informations et les rendre disponibles, via le réseau à des applications, des systèmes
d'exploitation ou des utilisateurs. Lightweight Directory Access Protocol (LDAP) est né de la
nécessaire adaptation du protocole DAP (protocole d'accès au service d'annuaire X500 de
l'OSI) à l'environnement TCP/IP. Initialement frontal d'accès à des annuaires X500, LDAP est
devenu en 1995, un annuaire natif (standalone LDAP) sous l'impulsion d'une équipe de
l'Université du Michigan (logiciel U-M LDAP).
2. Que peut-on faire avec un annuaire LDAP ? Annuaire de recherche
Un annuaire LDAP est avant tout un annuaire. Il permet donc d'obtenir des informations
sur une personne enregistrée comme son adresse eMail, son numéro de téléphone, son
service, ou n'importe quel autre renseignement que l'on aura jugé bon de stocker dans la
base. La recherche peut se faire selon de multiples critères.
Des applications clientes (clients de messagerie : Outlook, Netscape, etc ...) comme des
applications serveurs (serveur de messagerie : Postfix, Sendmail, etc ...)
Authentification
De nombreuses applications nécessitant une authentification sont aujourd'hui capables
d'interroger un annuaire LDAP et d'y vérifier l'identité d'un utilisateur grâce à un couple
login / mot de passe.
II. Le protocole LDAP
1. Introduction Lightweight Directory Access Protocol (LDAP) est à l'origine un protocole permettant
l'interrogation et la modification des services d'annuaire. Ce protocole repose sur TCP/IP. Il a
cependant évolué pour représenter une norme pour les systèmes d'annuaires, incluant un
modèle de données, un modèle de nommage, un modèle fonctionnel basé sur le protocole
LDAP, un modèle de sécurité et un modèle de réplication. C'est une structure arborescente
dont chacun des nœuds est constitué d'attributs associés à leurs valeurs. LDAP est moins
complexe que le modèle X.500 édicté par l'UIT-T.
Le nommage des éléments constituant l'arbre (racine, branches, feuilles) reflète souvent le
modèle politique, géographique ou d'organisation de la structure représentée. La tendance
actuelle est d'utiliser le nommage DNS pour les éléments de base de l'annuaire (racine et
premières branches, domain components ou dc=…). Les branches plus profondes de
4
l'annuaire peuvent représenter des unités d'organisation ou des groupes (organizational
units ou ou=…), des personnes (common name ou cn=… voire user identifier uid=…).
L'assemblage de tous les composants (du plus précis au plus général) d'un nom forme
son distinguished name, l'exemple suivant en présente deux :
cn=Jeff,ou=etudiant,dc=ldap,dc=com
cn=Valere,ou=personel,dc=ldap,dc=cm
dc=ldap,dc=com
/ \
ou=etudiants ou=personnel
/ \
cn=Jeff cn=Valere
La dernière version en date du protocole est LDAPv3. Cette version est définie par l'IETF dans
plusieurs RFC en commençant par la RFC 45101.
2. Origine et influence LDAP a été initialement conçu pour accéder de manière légère aux annuaires X.500. Ces
annuaires étaient traditionnellement interrogés à travers le protocole X.500 Directory Access
Protocol (DAP) qui nécessitait l'utilisation de la pile de protocoles du modèle OSI. L'utilisation
d'une passerelle LDAP/DAP permettait d'accéder à un serveur DAP en étant sur un réseau
TCP/IP.
L'apparition d'annuaires LDAP natifs (standalone LDAP directory) a suivi rapidement, tout
comme celle de serveurs prenant en charge à la fois DAP et LDAP. Les annuaires sont devenus
populaires dans les entreprises car il n'était plus nécessaire de déployer un réseau OSI. De nos
jours, les protocoles d'accès aux annuaires X.500 (incluant DAP) peuvent être directement
utilisés sur TCP/IP.
Le protocole fut créé par Tim Howes de l'Université du Michigan, Steve Kille du ISODE et
Wengyik Yeong de Performance Systems International en 1993. Les développements qui
suivirent, furent menés par l’Internet Engineering Task Force (IETF).
Initialement le protocole avait pour nom Lightweight Directory Browsing Protocol (LDBP), car
il ne permettait que la recherche de données. Il fut renommé lors de l'ajout de nouvelles
possibilités (ajout, modification).
3. Vue d’ensemble Un client commence une session LDAP en se connectant sur le port TCP 389 du serveur. Le
client envoie ensuite des requêtes d'opération au serveur. Le serveur envoie des réponses en
retour. À part quelques exceptions, le client n'a pas besoin d'attendre de réponse du serveur
pour envoyer de nouvelles requêtes, et le serveur peut envoyer ses réponses dans n'importe
quel ordre.
5
Une fois la connexion au serveur établie, les opérations classiques sont :
Start TLS : utilisation de la couche Transport Layer Security (TLS) pour sécuriser la
connexion ;
Bind : indique la version du protocole utilisée, et authentifie l'utilisateur. Il est possible
de faire un bind anonyme en ne fournissant ni nom d'utilisateur ni mot de passe ;
Search : recherche dans l'annuaire et rapatriement des données ;
Compare : test qui détermine si une entrée contient un attribut avec une valeur
donnée ;
Add : ajout d'une nouvelle entrée ;
Delete : suppression d'une entrée ;
Modify : modification d'une entrée ;
Modify DN : déplacement ou renommage d'une entrée ;
Abandon : annulation d'une requête précédente ;
Extended Operation : opération qui permet de définir d'autres opérations ;
Une méthode pour sécuriser les communications LDAP est d'utiliser un tunnel TLS/SSL. Lors
de l'emploi d'URL cet usage est traduit par le nom du protocole ldaps en remplacement
de ldap. Le port TCP standard pour ldaps est 636.
Le protocole LDAP employant la notation ASN.1 et les messages sont codés avec le format
binaire BER. Cependant il utilise une représentation textuelle pour un certain nombre
d'attributs et de types d'ASN.1.
4. Structure d’un annuaire Les annuaires LDAP suivent le modèle X.500 et son architecture nativement multi-tenant :
Un annuaire est un arbre d'entrées.
Une entrée est constituée d'un ensemble d'attributs.
Un attribut possède un nom, un type et une ou plusieurs valeurs.
Les attributs sont définis dans des schémas.
Le fait que les attributs puissent être multi-valués est une différence majeure entre les
annuaires LDAP et les SGBDR. De plus, si un attribut n'a pas de valeur, il est purement et
simplement absent de l'entrée.
Chaque entrée a un identifiant unique, le Distinguished Name (DN). Il est constitué à partir
de son Relative Distinguished Name (RDN) suivi du DN de son parent. C'est une définition
récursive. On peut faire l'analogie avec une autre structure arborescente, les systèmes de
fichiers ; le DN étant le chemin absolu et le RDN le chemin relatif à un répertoire. En règle
générale le RDN d'une entrée représentant une personne est l'attribut uid :
dc=example,dc=com
/ \
ou=people ou=groups
|
6
uid=Brice
Le RDN de Brice est rdn:uid=Brice, son DN est dn:uid=Brice,ou=people,dc=example,dc=com
Une entrée peut ressembler à la représentation suivante lorsqu'elle est formatée en LDIF :
dn: cn=Jeff Wafo,dc=example,dc=cm
cn: Jeff Wafo
givenName: Jeff
sn: Wafo
telephoneNumber: +234695950514
telephoneNumber: +237699943995
mail: [email protected]
manager: cn=Brice,dc=example,dc=cm
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
objectClass: top
dn est le nom de l'entrée, ce n'est pas un attribut de l'entrée. "cn=Jeff Wafo" est le RDN de
l'entrée et "dc=example,dc=cm" est le DN de son parent. Les autres lignes montrent les
attributs de l'entrée. Les noms des attributs sont parfois des abréviations pour les plus
courants : "cn" pour common name, "dc" pour domain component, "sn" pour surname.
Un serveur contient un sous-arbre dont la racine est une entrée spécifique et tous ses enfants,
par exemple : "dc=example,dc=cm". Les serveurs peuvent également contenir des références
vers d'autres serveurs, ainsi l'accès à une entrée ("ou=un service,dc=example,dc=cm") peut
retourner une référence (referral) à un autre serveur qui contient le sous-arbre voulu. Le client
peut alors contacter (automatiquement ou pas) l'autre serveur. Certains serveurs prennent
en charge le chaînage (chaining) qui permet au serveur d'interroger d'autres serveurs pour
renvoyer l'information voulue au client.
Les résultats renvoyés par le serveur ne sont pas triés, que ce soit pour les entrées, pour les
attributs des entrées ou pour les valeurs des attributs.
5. Operations Le client donne à chaque requête un identifiant Message ID, le serveur répond à la requête
avec le même identifiant. La réponse inclut un code de résultat numérique indiquant l'état
de la requête (succès, échec, …). La réponse inclut également les données éventuelles qui
peuvent résulter d'une recherche. Il inclut aussi un code ID.
Bind(Authentification) : L'opération bind authentifie le client au sein du serveur. Cette étape
de bind permet également au client et au serveur de se mettre d'accord sur la version du
protocole à utiliser. En général la version 3 est utilisée. Il est même possible au serveur de
refuser de communiquer avec des clients dans un protocole inférieur au sien
7
StartTLS : L'opération StartTLS établit une connexion sécurisée entre le client et le serveur en
utilisant la technique TLS, héritière de SSL. Cette sécurisation opère sur deux points : la
confidentialité et l'intégrité des données. Les serveurs prennent en charge généralement le
protocole non standard « LDAPS » (LDAP over SSL). Ce protocole utilise le port 636
contrairement au TLS qui utilise le port 389 (le même que le LDAP non sécurisé)
Search et Compare : L'opération Search est utilisée à la fois pour faire une recherche et
rapatrier des entrées. L'opération Compare prend en argument un DN, un nom d'attribut et
une valeur d'attribut, puis vérifie si l'entrée correspondante contient bien un attribut ayant
cette valeur.
Mise à jour : Les opérations de mise à jour Add (ajout), Delete (suppression), Modify
(modification) prennent en argument le DN de l'entrée à mettre à jour.
Il existe de nombreuses autres opérations telles que, Unbind et Abandon.
6. Utilisation L'intérêt principal de LDAP est la normalisation de l'authentification. Il est très facile de
programmer un module d'authentification utilisant LDAP à partir d'un langage possédant une
API LDAP. C'est l'opération Bind qui permet d'authentifier un utilisateur. De plus en plus
d'applications Web possèdent un module d'authentification prenant en charge LDAP.
Sur les systèmes GNU/Linux récents, on voit de plus en plus l'adoption d'une base de données
utilisant LDAP à la place des fichiers à plat passwd et shadow. Les données peuvent être
accédées par les modules PAM et NSS.
7. Quelques serveurs LDAP Il en existe une multitude, on peut citer entre autres,
Apache Directory Server
389 Directory Server
OpenLDAP
Oracle Directory Server Enterprise Edition (en)
tinyldap [archive] un serveur LDAP minimaliste
Mandriva Directory Server offre une interface web pour administrer Samba et LDAP
8. Quelques Clients LDAP Jxplorer (en) : un client développé sous Java, multiplateforme
Apache Directory Server : un client multiplateforme, développé en Java, par Apache
Software Foundation
Luma3 : une application cliente pour Linux développée en QT4. Sa notion de "plugin"
permet de gérer des comptes utilisateur, des carnets d'adresses...
PhpLDAPadmin: un client Web multiplateforme sous licence GPL développé en PHP
permettant de gérer son annuaire LDAP.
FusionDirectory4 : une application web sous licence GPL développée en PHP
permettant de gérer son annuaire LDAP et tous les services associés.
8
Conclusion Il a été question dans cette partie de présenter le concept d’annuaire LDAP. Il en ressort qu’un
annuaire LDAP peut servir pour l’authentification et pour la recherche. Il dispose de moult
avantages parmi lesquels on peut citer, la centralisation, la fiabilité et la sécurité, son
inconvénient est qu’il possède un langage d’interrogation pauvre. Dans la suite de ce documen
nous allons présenter et installer OpenLDAP.
9
CHAPITRE II : PRESENTATION DU SERVEUR LDAP : OpenLDAP
I. Définition OpenLDAP est une implémentation libre du protocole LDAP écrit en C et C ++, maintenue par
le projet OpenLDAP et distribuée selon les termes de la licence OpenLDAP Public Licence2.
C’est une solution multiplateforme, on trouve des versions compilées pour GNU/Linux,
FreeBSD, NetBSD, OpenBSD, AIX, HP-UX, Mac OS X, Solaris, et Microsoft Windows (2000, XP).
II. Concept OpenLDAP est un annuaire informatique qui fonctionne sur le modèle client/serveur. Il
contient des informations de n'importe quelle nature qui sont rangées de manière
hiérarchique.
En pratique, dans un réseau informatique, il est utilisé pour enregistrer une grande quantité
d'utilisateurs ou de services, parfois des centaines de milliers. Il permet d'organiser
hiérarchiquement les utilisateurs par département, par lieu géographique ou par n'importe
quel autre critère. C'est une alternative libre à Microsoft Active Directory.
III. Histoire Le projet a débuté en 1998 sous l’impulsion de Kurt Zeilenga en prenant pour base les travaux
de l’université du Michigan ou les chercheurs développaient le protocole LDAP.
Parmi d’autres contributeurs, on peut citer Howard Chu et Pierangelo Masarati
IV. Aspect techniques
1. Stockage Le logiciel OpenLDAP ne stocke pas les données directement, il utilise une bibliothèque tierce
pour le faire. Généralement c’est la base donnée Berkeley DB qui est utilisée sous GNU/Linux.
Mais il est possible d’utiliser MySQL, LDBM, des fichiers à plat, etc.
2. Réplication OpenLDAP prend en charge le mécanisme de réplication, via une directive de configuration
syncrepl
3. Composants d'OpenLDAP OpenLDAP est constitué de 3 éléments principaux :
slapd (Stand-alone LDAP Daemon): démon LDAP autonome. Il écoute les connexions
LDAP sur n'importe quel port (389 par défaut) et répond aux opérations LDAP qu'il
reçoit via ces connexions. Typiquement, slapd est appelé au moment du boot.
des bibliothèques implémentant le protocole LDAP.
des utilitaires, des outils et des exemples de clients
Le projet OpenLDAP propose également des bibliothèques en Java :
JLDAP : bibliothèque d’accès à LDAP en Java
10
JDBC-LDAP driver faisant office de pont JDBC-LDAP
4. Composants tiers FusionDirectory est une application web sous licence GPL développé en PHP
permettant de gérer facilement son annuaire LDAP et tous les services associés.
Apache Directory Studio est une interface en Java basé sur Eclipse. Permet de gérer
l'architecture LDAP, les Schéma LDAP et les fichiers LDIF.
PhpLDAPadmin est une interface en PHP qui facilite l'édition des données du serveur
OpenLDAP. Son utilisation passe par un navigateur Web.
5. Principales versions Les versions d’OpenLDAP qui ont été marquantes sont :
OpenLDAP Version 1 (1998) : première version publique
OpenLDAP Version 2 (aout 2000) : prise en charge de LDAPv3, d’IPv6, du TLS…
OpenLDAP Version 2.1 (juin 2001)
OpenLDAP Version 2.2 (décembre 2003)
OpenLDAP Version 2.3 (juin 2005) : possibilité d’avoir la configuration accessible dans
l’annuaire (cn=config)
OpenLDAP Version 2.4 (octobre 2007) : réplication miroir et multi-maitre ; réplication
Proxy Sync ; extensions LDAP v3
11
CHAPITRE III : INSTALLATION ET CONFIGURATION D’OpenLDAP
I. INSTALLATION
Les étapes de l’installation d’OpenLDAP sont les suivantes :
Etape 1 : Ouvrir le terminal et se mettre en mode super utilisateur afin de changer le nom d’hôte
Ouvrir le terminal à l’aide de la commande Ctrl+Alt+T. Le terminal ouvert, faire :
$sudo su
Et entrez le mot de passe root
Une fois en mode privilégié, on tape la commande
#gedit /etc/hostname
L’éditeur de texte gedit va s’ouvrir et on change le nom d’hôte, dans notre cas nous avons mis
« server.ldap.com »
Enregistrez et redémarrer votre poste depuis le terminal à l’aide de la commande « reboot »
Etape 2: Installation des composants OpenLDAP
Le poste redémarré, on ouvre de nouveau le terminal et on se met en mode super-utilisateur,
et on fait exécuter la commande :
#apt-get install slapd ldap-utils
Un mot de passe vous sera demandé, entrez celui du root il vous sera demandé de le
confirmer, vous entrez le même mot de passe.
12
Le serveur ainsi installé, on passe aux configurations de base, nécessaires à son
fonctionnement.
Nous allons effectuer des configurations coté serveur et coté client.
II. CONFIGURATIONS
1. Configuration du serveur Les configurations faites dans cette partie, vont permettre le lancement effectif du serveur
On va modifier les fichiers de configuration de LDAP
Configuration de ldap.conf
Le premier qu’on va modifier est « ldap.conf ». Pour cela, étant dans le terminal et en mode
super-utilisateur, on va ouvrir ce fichier avec l’éditeur de texte « gedit », la commande à faire
pour cela est :
#gedit /etc/ldap/ldap.conf
L’éditeur de texte ouvert, on va décommander la ligne BASE et la ligne URI et on modifie
comme le montre la capture ci-dessous :
Au niveau de base, on va donner le nom de domaine de notre serveur, dans notre cas
« ldap.com » et au niveau de « URI ldap://localhost :389 », on remplace localhost par
l’adresse IP de la machine qui sert de serveur, c’est-à-dire de la machine sur laquelle on a
installé OpenLDAP
Configuration de slapd Pour cela on tape la commande :
#dpkg-reconfigure slapd
13
Voulez-vous omettre la configuration d’OpenLDAP ? Non
Nom de domaine ldap.com
Nom d’entité Jeff et Valere
Mot de passe de l’administrateur ***********
Confirmation du mot de passe ***********
Module de base de données à utiliser HDB
Suppression de la base de données à la purge du paquet ? Non
Déplacer l’ancienne base de données ? Oui
Autoriser le protocole LDAPv2 ? Non
L’écran ci-dessous apparaitra à la fin de la configuration.
On constate que notre serveur a effectivement démarré via la ligne « *Starting OpenLDAP
slapd »
Pour faire un test de fonctionnement, tapez la commande #ldapsearch –x. Si l’écran ci-
dessous apparait alors tout est OK
2. Configuration du client Dans cette partie, il sera question pour nous de configurer un poste client afin qu’il ait accès
à l’annuaire.
Pour ce faire, une fois la machine cliente allumé, on ouvre le terminal et on se met en mode
super-utilisateur.
14
On se sert de la commande #apt-get install ldap-auth-client nscd afin d’installer les packages
qui vont servir à l’authentification du client qui souhaite accéder à l’annuaire.
Une fois cette commande exécuté, une question nous sera posé, celle de savoir, si connaissant
la taille du package, on désire continuer l’installation. On répond par un « Y » et on valide. La
fenêtre ci-dessous va apparaitre afin d’entamer la configuration.
Confirmation du téléchargement Y
LDAP Server Uniform Resource Identifier 192.168.42.101
Distinguished name of the search base dc=ldap,dc=com
LDAP version to use 3
Make local root Database admin Yes
Does the LDAP database require login? No
LDAP account for root cn=admin,dc=ldap,dc=com
LDAP root account password ***********
Local crypt to use when changing passwords md5
A la fin de ce paramétrage, dans le terminal et en mode super-utilisateur toujours on exécute
la commande « auth-client-config –t nss –p lac_ldap ». C’est une commande muette donc
rien de particulier ne va apparaitre après son exécution.
On va maintenant créer un répertoire pour les utilisateurs qui vont s’authentifier sur le
serveur. Pour cela on va faire des configurations dans le PAM (Pluggable Authentication
module).
On va créer pour cela un fichier de configuration à l’aide de la commande « #gedit
/usr/share/pam-configs/mkhomedir » et le remplir comme va le montrer la prochaine
capture.
Une fois rempli, on enregistre et on fait exécuter la commande « pam-auth-update » et la
fenêtre ci-dessous va s’afficher
15
On active tous les profils PAM et on valide. Maintenant nous allons redémarrer le nscd (Name
Service Cache Daemon) par l’intermédiaire de la commande « #/etc/init.d/nscd restart »
Une fois le nscd redémarré, on sort du mode super utilisateur, parce qu’on va ce logger
maintenant en tant qu’utilisateur autorisé de l’annuaire.
III. Administration du serveur Dans cette partie, nous allons créer des groupes et des utilisateurs afin de peupler notre annuaire et nous allons, utiliser un fichier ldif pour remplir le carnet d’adresse de Mozilla Thunderbird, enfin nous allons nous connecter sur un poste client configuré et tenter de nous connecter en tant qu’utilisateur de l’annuaire.
1. Création des groupes et des utilisateurs Nous allons créer des groupes et des utilisateurs respectant l’arborescence ci-dessous :
ldap.com
people services
etudiants personnel groupes nfs
Jeff Ela Valere Wafo groupe1
Création des groupes
Pour cela, il faut créer un fichier ldif (LDAP Data Interchange Format), dont nous allons ajouter
des données par la commande ldapadd.
Pour créer notre fichier ldif, à partir du terminal et en mode super-utilisateur, on tape la
commande :
#gedit MesGroupes.ldif
16
Cela va créer un fichier ldif nommé MesGroupes. Une fois le fichier ouvert, on va le remplir
comme le montre la capture ci-dessous, afin de créer nos groupes selon notre l’arborescence.
Une fois ce fichier rempli comme le montre les captures, on l’enregistre et on se retrouve de
nouveau sur notre terminal.
Afin d’ajouter le contenu de de ce fichier ldif à notre annuaire, on va se servir de la
commande ldapadd. On va taper #ldapadd –x –W –D ‘’cn=admin,dc=ldap,dc=com’’ –f
MesGroupes.ldif et valider par un mot de passe.
NB :
17
-x : ne pas utiliser SASL (Simple Authentication and Security Layer)
-W : s'authentifier par mot de passe
-D : avec le login [email protected]
-f : utiliser le fichier MesGroupes.ldif
La commande validée, on obtient le résultat ci-dessous…
On peut constater via la précédente capture, la création des groupes suivant notre
arborescence.
Création d’utilisateurs
Pour créer des utilisateurs, nous allons créer un fichier Users.ldif. Alors, dans le terminal, faire
exécuter la commande #gedit Users.ldif et remplir ce fichier comme le montre les captures
suivantes
Utilisateur Jeff Ela
Utilisateur Wafo Valere
Apres avoir rempli comme le montre les captures ci-dessous, nous allons enregistrer et nous
servir de la commande #ldapadd –x –W –D ‘’cn=admin,dc=ldap,dc=com’’ –f Users.ldif, afin
18
de créer les utilisateurs de l’annuaire. Ceci va passer par la validation à l’aide du mot de passe
de l’admin. Nous aurons le résultat suivant :
On a ainsi crée deux utilisateurs qui pourront avoir accès aux données de l’annuaire.
Il existe d’autres commandes pour la gestion des entrées de l’annuaire, on peut citer,
ldapdelete pour supprimer une entrée, ldapmodify pour modifier une entrée, ldapsearch pour
les recherches etc… Nous ne nous attarderons pas dessus au risque de faire un document très
long.
2. Connexion d’un client à l’annuaire Dans la section précédente, nous avons créé deux utilisateurs. Dans celle-ci nous allons nous
connecter avec le compte d’un utilisateur afin de consulter l’annuaire et vérifier notre
arborescence.
Pour se connecter par exemple en tant que Jeff Ela, on va saisir la commande « su – ‘’Jeff
Ela’’ »
On entre le mot de passe de l’utilisateur Jeff Ela et on valide.
On constate à travers la capture précédente qu’on est connecté en tant que Jeff Ela, donc,
l’authentification a bien réussi.
Si on fait un « ls /home/users » on va constater qu’un dossier a été créé pour Jeff Ela.
Essayons de consulter l’annuaire avec la commande ldapsearch.
Pour rechercher des informations à propos de notre collegue Wafo valere, etant connecté à
la machine cliente en tant que Jeff Ela, on utilise la commande ldapsearch –Xlll cn=’Valere
Wafo’
Le résultat est illustré par la capture ci-dessous
19
Pratique en entreprise lorsqu’on souhaite joindre un collègue de travail et qu’on ne possède
pas son numéro par exemple, ou son mail.
20
Conclusion
Au cours de ce travail il a été question de mettre en place un gestionnaire d’annuaire LDAP,
pour ce faire nous sommes passés par la présentation du protocole LDAP, la présentation
d’OpenLDAP et la mise en place du gestionnaire d’annuaire, proprement dit. LDAP, du fait de
sa standardisation, permet aux annuaires d'entreprise d'être interopérables. Ils sont simples,
fiables, pérennes et centralisent l'information au sein d'une entreprise : Identifiant/mot de
passe, comptes POSIX/ utilisateur...
21
Références
https://fr.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol
https://fr.wikipedia.org/wiki/OpenLDAP
https://youtu.be/DM_UQVVVtoY
https://youtu.be/l0e8rG0mku8
22
Annexe
Configuration de slapd en images