Installation et configuration de OpenLDAP - Historique des versions

Pfoo le 16 décembre 2015 à 19:10

2015-12-16T19:10:29Z

← Version précédente		Version du 16 décembre 2015 à 21:10
Ligne 1 :		Ligne 1 :
	[[Category:serveur]]		[[Category:serveur]]
	[[Category:debian]]		[[Category:debian]]

			'''<span style="color: red;">Tuto plus vraiment à jour (a l'origine écrit sous debian lenny)</span>'''
			[[Category:toupdate]]

	=Installation=		=Installation=
	Pour installer OpenLDAP :		Pour installer OpenLDAP :

Pfoo le 28 juin 2013 à 22:54

2013-06-28T22:54:41Z

Voir les modifications

Pfoo le 6 février 2011 à 21:08

2011-02-06T21:08:26Z

← Version précédente		Version du 6 février 2011 à 23:08
Ligne 1 :		Ligne 1 :
			[[Category:serveur]]
	[[Category:debian]]		[[Category:debian]]
	=Installation=		=Installation=

Pfoo le 6 février 2011 à 19:48

2011-02-06T19:48:34Z

← Version précédente		Version du 6 février 2011 à 21:48
Ligne 1 :		Ligne 1 :
			[[Category:debian]]
	=Installation=		=Installation=
	Pour installer OpenLDAP :		Pour installer OpenLDAP :

Pfoo : /* Modification du fichier /etc/default/slapd pour les ports à écouter */

2011-02-05T22:04:39Z

Modification du fichier /etc/default/slapd pour les ports à écouter

← Version précédente		Version du 6 février 2011 à 00:04
Ligne 377 :		Ligne 377 :
	SLAPD_SERVICES="ldap://127.0.0.1:389/ ldap://213.186.47.110:389/ ldaps://213.186.47.110:636/"		SLAPD_SERVICES="ldap://127.0.0.1:389/ ldap://213.186.47.110:389/ ldaps://213.186.47.110:636/"
	</pre>		</pre>
	Si une autre ligne <code>SLAPD_SERVICES</code> est préexistante, supprimez la.<br></br>		Si une autre ligne <code>SLAPD_SERVICES</code> est préexistante, supprimez la.<br />
	Le démon slapd écoutera donc en local sur le port 389 (nécessaire pour utiliser une interface de gestion web comme <code>phpldapadmin</code>), ainsi que sur l'ip du serveur sur les ports 389 (connexions normales) et 636 (connexions SSLs)		Le démon slapd écoutera donc en local sur le port 389 (nécessaire pour utiliser une interface de gestion web comme <code>phpldapadmin</code>), ainsi que sur l'ip du serveur sur les ports 389 (connexions normales) et 636 (connexions SSLs)

Pfoo le 5 février 2011 à 22:03

2011-02-05T22:03:29Z

← Version précédente		Version du 6 février 2011 à 00:03
Ligne 161 :		Ligne 161 :
	</pre>		</pre>

	==~~2.3.~~ Autres options==		==Autres options==
	* <code>modulepath</code> : spécifie où sont stockés les modules.		* <code>modulepath</code> : spécifie où sont stockés les modules.
	* <code>moduleload</code> : spécifie les modules à loader.		* <code>moduleload</code> : spécifie les modules à loader.
Ligne 173 :		Ligne 173 :
	</pre>		</pre>

	==~~2.4.~~ SSL==		==SSL==
	slapd permet de sécuriser les transactions en SSL. Voici la configuration que j'utilise :		slapd permet de sécuriser les transactions en SSL. Voici la configuration que j'utilise :
	<pre>		<pre>
Ligne 201 :		Ligne 201 :
	</pre>		</pre>

	==~~2.5.~~ SASL==		==SASL==

	==~~2.6.~~ Autres options de sécurité==		==Autres options de sécurité==
	*<code>password-hash</code> : spécifie la méthode de cryptage des mots de passe par défaut. Les différentes options possible sont :		*<code>password-hash</code> : spécifie la méthode de cryptage des mots de passe par défaut. Les différentes options possible sont :
	** <code>{CRYPT}</code> : utilise la fonction crypt() de unix		** <code>{CRYPT}</code> : utilise la fonction crypt() de unix
Ligne 220 :		Ligne 220 :
	</pre>		</pre>

	=3. Configuration de la base de donnée=		=Configuration de la base de donnée=
	==~~3.1.~~ Ajout d'une base==		==Ajout d'une base==
	Dans mon exemple, j'ajoute les lignes suivantes au fichier <code>/etc/ldap/slapd.conf</code> :		Dans mon exemple, j'ajoute les lignes suivantes au fichier <code>/etc/ldap/slapd.conf</code> :

Ligne 254 :		Ligne 254 :
	* <code>replogfile</code> : spécifie le dossier où sont stockés les logs de réplication. C'est fonction est utile si vous faite de la réplication entre plusieurs serveurs ldap		* <code>replogfile</code> : spécifie le dossier où sont stockés les logs de réplication. C'est fonction est utile si vous faite de la réplication entre plusieurs serveurs ldap

	==~~3.2.~~ Configuration des ACLs de la base==		==Configuration des ACLs de la base==
	Les ACLs définissent qui a accès à quoi dans la base de donnée.		Les ACLs définissent qui a accès à quoi dans la base de donnée.
	Tout d'abord, on va définir les accès aux mots-de-passes.		Tout d'abord, on va définir les accès aux mots-de-passes.
Ligne 311 :		Ligne 311 :

	En détail :		En détail :
	Le premier paragraphe défini les accès pour le ou pfoo, qui lui même se situe dans le ou addressbook, qui lui même se situe à la racine de la base.~~<br />~~		Le premier paragraphe défini les accès pour le ou pfoo, qui lui même se situe dans le ou addressbook, qui lui même se situe à la racine de la base.
	* La directive <code>dn.subtree</code> permet de définir l'accès pour le <code>ou</code> pfoo et toute l'arborescence en dessou de ce <code>ou</code>.		* La directive <code>dn.subtree</code> permet de définir l'accès pour le <code>ou</code> pfoo et toute l'arborescence en dessou de ce <code>ou</code>.
	* On donne un accès en écriture à l'utilisateur pfoo (défini par la directive <code>cn</code> qui se situe dans le <code>ou>users</code>.		* On donne un accès en écriture à l'utilisateur pfoo (défini par la directive <code>cn</code> qui se situe dans le <code>ou>users</code>.
Ligne 326 :		Ligne 326 :
	* On ne donne un accès que au <code>cn</code> admin et on refuse l'accès à tous les autres		* On ne donne un accès que au <code>cn</code> admin et on refuse l'accès à tous les autres

	=4. Insertion de la structure dans la base=		=Insertion de la structure dans la base=
	Bien que la base de donnée et ses accès soient configurés, elle reste pour l'instant vide. Nous allons la remplir en utilisant un fichier au format LDIF.		Bien que la base de donnée et ses accès soient configurés, elle reste pour l'instant vide. Nous allons la remplir en utilisant un fichier au format LDIF.
	Ouvrez votre éditeur de texte, collez les lignes suivantes dedans et enregistrez le nom avec le nom que vous voulez.		Ouvrez votre éditeur de texte, collez les lignes suivantes dedans et enregistrez le nom avec le nom que vous voulez.
Ligne 370 :		Ligne 370 :
	<pre>ldapadd -x -W -D "cn=admin,dc=csnu,dc=org" -f votre_fichier</pre>		<pre>ldapadd -x -W -D "cn=admin,dc=csnu,dc=org" -f votre_fichier</pre>

	=5. Modification du fichier /etc/default/slapd pour les ports à écouter=		=Modification du fichier /etc/default/slapd pour les ports à écouter=

	Une petite modification est nécessaire pour que slapd écoute bien le port par défaut pour les connexions SSLs.		Une petite modification est nécessaire pour que slapd écoute bien le port par défaut pour les connexions SSLs.
Ligne 380 :		Ligne 380 :
	Le démon slapd écoutera donc en local sur le port 389 (nécessaire pour utiliser une interface de gestion web comme <code>phpldapadmin</code>), ainsi que sur l'ip du serveur sur les ports 389 (connexions normales) et 636 (connexions SSLs)		Le démon slapd écoutera donc en local sur le port 389 (nécessaire pour utiliser une interface de gestion web comme <code>phpldapadmin</code>), ainsi que sur l'ip du serveur sur les ports 389 (connexions normales) et 636 (connexions SSLs)

	=6. Lancement=		=Lancement=
	Il ne reste plus qu'à lancer le serveur :		Il ne reste plus qu'à lancer le serveur :

Ligne 390 :		Ligne 390 :
	* <code>User DN</code> est le chemin complet de votre utilisateur (cn=pfoo,ou=users,dc=csnu,dc=org dans mon cas)		* <code>User DN</code> est le chemin complet de votre utilisateur (cn=pfoo,ou=users,dc=csnu,dc=org dans mon cas)

	=7. thunderbird=		=thunderbird=

	J'utilise thunderbird en tant que client mail.		J'utilise thunderbird en tant que client mail.

Pfoo le 5 février 2011 à 22:01

2011-02-05T22:01:44Z

Voir les modifications

Pfoo : Page créée avec « =1. Installation= Pour installer OpenLDAP :

# aptitude install ldap-server ldap-client

La configuration de openldap se fait dans /etc/ldap/. Le da... »

2011-02-05T21:43:38Z

Page créée avec « =1. Installation= Pour installer OpenLDAP : <pre># aptitude install ldap-server ldap-client</pre> La configuration de openldap se fait dans <code>/etc/ldap/</code>. Le da... »

Nouvelle page

=1. Installation=
Pour installer OpenLDAP :
<pre># aptitude install ldap-server ldap-client</pre>
La configuration de openldap se fait dans <code>/etc/ldap/</code>. Le daemon OpenLDAP s'appèle slapd. Voici un exemple de fichier <a href="slapd.conf">slapd.conf</a>

=2. Configuration globale=

==2.1. Les schémas==
C'est la première chose à définir, a savoir, quels schémas le serveur doit supporter. Les schémas sont placés dans <code>/etc/ldap/schema</code>. Voici ceux que j'utilise :
<pre>
include /etc/ldap/schema/core.schema
include /etc/ldap/schema/cosine.schema
include /etc/ldap/schema/nis.schema
include /etc/ldap/schema/inetorgperson.schema
</pre>

==2.2. Log et exécution==
Pour que slapd log les actions effectués, il faut définir le niveau de log avec la directive <code>loglevel</code>. Voici un petit tableau récapitulant les différents loglevels :
<pre>

Niveau Description
-1 enable all debugging
0 no debugging
1 trace function calls
2 debug packet handling
4 heavy trace debugging
8 connection management
16 print out packets sent and received
32 search filter processing
64 configuration file processing
128 access control list processing
256 stats log connections/operations/results
512 stats log entries sent
1024 print communication with shell backends
2048 print entry parsing debugging
</pre>
Vous pouvez additionner les différents niveaux de log pour bénéficier de plusieurs options de log. 
Pour que les logs fonctionnent, ajoutez la ligne suivante dans <code>/etc/syslog.conf</code> puis redémarrez syslog (<code>/etc/init.d/sysklogd restart</code>) :
<pre>local4.* /var/log/ldap.log</pre>
D'autres directives doivent être définies :
<ul><li>pidfile filename : spécifie le fichier dans lequel le pid de slapd sera stocké.</li>

<li>argsfile filename : spécifie le fichier où les arguments qu'il faut passer à slapd lors de son lancement sont stockés.</li>
<li>schemacheck on|off : spécifie s'il faut vérifier la conformité de toutes les entrées aux schémas configurés</li></ul>
Dans mon cas :
<pre>
pidfile /var/run/slapd/slapd.pid
argsfile /var/run/slapd/slapd.args
loglevel 296
schemacheck on
</pre>

==2.3. Autres options==
<ul><li>modulepath : spécifie où sont stockés les modules.</li>
<li>moduleload : spécifie les modules à loader.</li>
<li>sizelimit : spécifie le nombre maximum d'entrée retourné lors d'une recherche</li></ul>

Ma configuration :
<pre>
modulepath /usr/lib/ldap
moduleload back_bdb
sizelimit 500
</pre>

==2.4. SSL==
slapd permet de sécuriser les transactions en SSL. Voici la configuration que j'utilise:
<pre>
TLSCertificateFile /etc/ldap/ssl/ldap.pem
TLSCertificateKeyFile /etc/ldap/ssl/ldap.key
TLSCACertificateFile /etc/ldap/ssl/ca.pem
TLSCipherSuite HIGH
</pre>

Définition des directives :

<ul><li>TLSCertificateFile: spécifie l'emplacement du certificat du serveur.</li>
<li>TLSCertificateKeyFile: spécifie l'emplacement de la clé privée du certificat.</li>
<li>TLSCACertificateFile: spécifie l'emplacement du certificat de la CA qui a permi de signer le certificat de slapd.</li>
<li>TLSCipherSuite: spécifie les specifications de chiffrement</li>
</ul>

La section du fichier de configuration de openssl correspondante :
<pre>
[LDAP]
basicConstraints = critical, CA:FALSE
subjectKeyIdentifier = hash
keyUsage = digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth, clientAuth
nsCertType = server
nsComment = "OpenLDAP certificat"
</pre>

==2.5. SASL==

==2.6. Autres options de sécurité==
password-hash : spécifie la méthode de cryptage des mots de passe par défaut. Les différentes options possible sont : 
- {CRYPT} : utilise la fonction crypt() de unix 
- {MD5} : hachage par MD5 
- {SHA} : hachage en SHA-1 
- {SSHA} : (Salted Secure Hash Algorithm) hachage en SHA-1 avec un meilleur support du seed. C'est l'option recommandée.
require : spécifie les conditions d'accès au serveur. Les options possibles sont : 
- none 
- authc : tout client doit s'authentifier

allow et disallow : permet d'authoriser ou de ne pas authoriser certaines fonctions.
Ma configuration :
<pre>
require authc
password-hash {SSHA}
</pre>

=3. Configuration de la base de donnée=
==3.1. Ajout d'une base==
Dans mon exemple, j'ajoute les lignes suivantes au fichier <code>/etc/ldap/slapd.conf</code> :

<pre>
database bdb
suffix "dc=csnu,dc=org"
rootdn "cn=admin,dc=csnu,dc=org"
rootpw {SSHA}Xe7Lb0SZi8B7F4CiqwRV8t3cm0R2XdYc
directory "/srv/ldap"
dbconfig set_cachesize 0 2097152 0
dbconfig set_lk_max_objects 1500
dbconfig set_lk_max_locks 1500
dbconfig set_lk_max_lockers 1500
index objectClass eq
lastmod on
# replogfile /var/lib/ldap/replog
</pre>
Une petite explication :
<ul><li>database bdb : spécifie qu'on créé une base de donnée de type bdb (berkeley DB). Toute les lignes suivant celle-ci s'appliqueront à cette base de donnée jusqu'à ce qu'une autre base de donnée soit définie par la même directive.</li>
<li>suffix : spécifie la racine de la base</li>
<li>rootdn : défini le super-utilisateur de la base de donnée. C'est lui qui aura tous les pouvrois.</li>
<li>rootpw : défini le mot-de-passe du super-utilisateur. Pour générer le mot-de-passe, utilisez la commande <code>/usr/sbin/slappasswd -h '{SSHA}' -s password -v</code> où password est le mot-de-passe souhaité.</li>
<li>directory : spécifie le dossier dans lequel la base de donnée sera créée.</li>

<li>dbconfig set_cachesize : spécifie la taille du cache</li>
<li>index : spécifie les options d'indexation pour accélérer les recherches. Les types d'index supportés sont :
<ul><li> approx (approximate)</li>
<li> eq (equality)</li>
<li> pres (presence)</li>
<li>sub (substring)</li>

</ul></li>
<li>lastmod : spécifie s'il faut garder en mémoire la dernière modification des entrées</li>
<li>replogfile : spécifie le dossier où sont stockés les logs de réplication. C'est fonction est utile si vous faite de la réplication entre plusieurs serveurs ldap</li></ul>

==3.2. Configuration des ACLs de la base==
Les ACLs définissent qui a accès à quoi dans la base de donnée.
Tout d'abord, on va définir les accès aux mots-de-passes.
<pre>
# The userPassword by default can be changed
# by the entry owning it if they are authenticated.
# Others should not be able to see it, except the
# admin entry below
# These access lines apply to database #1 only
access to attrs=userPassword,shadowLastChange
by dn="cn=admin,dc=csnu,dc=org" write
by anonymous auth
by self write
by * none
</pre>
Petite explication :

<ul><li>access to : spécifie pour quoi on défini des accès. Dans le cas présent, c'est l'accès aux mots-de-passes</li>
<li>by dn="cn=admin,dc=csnu,dc=org" write : authorise l'accès en écriture par le super-utilisateur admin. L'accès en écriture signifie un accès complet.</li>
<li>by anonymous auth : authorise aux utilisateurs anonymes de se loguer</li>
<li>by self write : authorise l'utilisateur à changer son propre mot-de-passe</li>
<li>by * none : restreint l'accès à tous les autres utilisateurs.</li></ul>
Les permissions d'accès se définissent dans l'ordre de haut en bas. Les premières permissions doivent être les plus précises, et les dernières les plus générales. Par exemple, ici, on interdit l'accès
à tous le monde en dernier, mais les permissions précédentes restent valides. Si on avait interdit l'accès en ajoutant une ligne <code>by * none</code> à la première ligne, les lignes suivantes n'auraient
pas été appliqué.
Maintenant, on va définir les accès à la structure de la base. Voici la structure qu'on va mettre en place :

<ul><li>Précédement, on a défini la racine de notre base avec la directive <code>suffix</code></li>
<li>On va définir un <code>ou</code> addressbook. Un <code>ou</code> peut s'apparenter à un sous-dossier
<ul><li>Ensuite, on va définir dans le <code>ou</code> addressbook d'autres <code>ou</code> pour chaques utilisateurs</li></ul></li>

<li>A la racine, nous allons aussi créer un <code>ou</code> users qui contiendra les utilisateurs de la base de donnée</li>
</ul>
Voici les permissions correspondantes pour cette structure :
<pre>
access to dn.subtree="ou=pfoo,ou=addressbook,dc=csnu,dc=org"
by dn="cn=pfoo,ou=users,dc=csnu,dc=org" write
by * none

access to dn="ou=users,dc=csnu,dc=org"
by * none

access to dn="ou=addressbook,dc=csnu,dc=org"
by dn.children="ou=users,dc=csnu,dc=org" read
by * none

access to dn="dc=csnu,dc=org"
by dn="cn=admin,dc=csnu,dc=org" write
by dn.children="ou=users,dc=csnu,dc=org" read
by * none

access to *
by dn="cn=admin,dc=csnu,dc=org" write
by * none
</pre>
En détail :
<ul><li>Le premier paragraphe défini les accès pour le ou pfoo, qui lui même se situe dans le ou addressbook, qui lui même se situe à la racine de la base. 
La directive <code>dn.subtree</code> permet de définir l'accès pour le <code>ou</code> pfoo et toute l'arborescence en dessou de ce <code>ou</code> 

On donne un accès en écriture à l'utilisateur pfoo (défini par la directive <code>cn</code> qui se situe dans le <code>ou>users</code></li>
<li>Dans le deuxième paragraphe, on défini les accès au <code>ou</code> users. On ne donne l'accès à personne étant donné qu'on y stocke les utilisateurs et leurs mot-de-passes.</li>
<li>Dans le troisième paragraphe, on défini l'accès au <code>ou</code> addressbook. 
La directive <code>dn.children</code> permet de donner l'accès (en lecture) à tous les utilisateurs de la <code>ou</code> users. On refuse l'accès à tous les autres.</li>

<li>Dans le quatrième paragraphe, on défini les accès à la racine de la base 
On donne un accès au <code>cn</code> admin ainsi qu'à tous les <code>cn</code> stockés dans le <code>ou</code> users et on refuse l'accès aux autres.</li>
<li>Dans le dernier paragraphe, on précise les permissions pour la totalité de la base 
On ne donne un accès que au <code>cn</code> admin et on refuse l'accès à tous les autres</li></ul>

=4. Insertion de la structure dans la base=
Bien que la base de donnée et ses accès soient configurés, elle reste pour l'instant vide. Nous allons la remplir en utilisant un fichier au format LDIF. 
Ouvrez votre éditeur de texte, collez les lignes suivantes dedans et enregistrez le nom avec le nom que vous voulez.
<pre>
#Racine de la base
dn: dc=csnu, dc=org
objectClass: top
objectClass: dcObject
objectClass: organization
dc: csnu
o: Commandement Spatial des Nations Unies

# ou des utilisateurs de la base
dn: ou=users,dc=csnu,dc=org
objectClass: top
objectClass: organizationalunit
ou: users

# utilisateur pfoo de la base
dn: cn=pfoo,ou=users,dc=csnu,dc=org
cn: pfoo
objectClass: top
objectClass: person
userPassword: {SSHA}HfdHKgf64gJdNk953FDj6GHsdJhD57I
sn: pfoo

# ou du carnet d'adresse global
dn: ou=addressbook, dc=csnu, dc=org
objectClass: top
objectClass: organizationalUnit
ou: addressbook

# ou du carnet d'adresse de pfoo
dn: ou=pfoo, ou=addressbook, dc=csnu, dc=org
objectClass: top
objectClass: organizationalUnit
ou: pfoo
</pre>
Une fois de plus, le mot-de-passe crypté de la ligne <code>userPassword:</code> de l'utilisateur pfoo peut être trouvé en utilisant la commande suivante :
<pre># /usr/sbin/slappasswd -h '{SSHA}' -s password -v</pre>

Une fois le fichié créé et enregistré, il ne reste plus qu'à l'ajouter à la base de donnée:
<pre># ldapadd -x -W -D "cn=admin,dc=csnu,dc=org" -f votre_fichier</pre>

=5. Modification du fichier /etc/default/slapd pour les ports à écouter=

Une petite modification est nécessaire pour que slapd écoute bien le port par défaut pour les connexions SSLs. 
Ouvrez le fichier <code>/etc/default/slapd</code> et ajoutez y les lignes suivantes :
<pre>

SLAPD_SERVICES="ldap://127.0.0.1:389/ ldap://213.186.47.110:389/ ldaps://213.186.47.110:636/"
</pre>
Si une autre ligne <code>SLAPD_SERVICES</code> est préexistante, supprimez la. 
Le démon slapd écoutera donc en local sur le port 389 (nécessaire pour utiliser une interface de gestion web comme <code>phpldapadmin</code>), ainsi que sur l'ip du serveur sur les ports
389 (connexions normales) et 636 (connexions SSLs)

=6. Lancement=
Il ne reste plus qu'à lancer le serveur :

<pre># /etc/init.d/slapd start</pre>
Vous pouvez tester votre configuration en utilisant un client ldap. Pour ma part, j'ai fait mes tests avec le client <a href="ldapbrowser.7z">ldapbrowser</a> (java) 
Pour vous connecter : 
<ul><li>Base DN est la racine de votre base de donnée (dc=csnu,dc=org dans mon cas)</li>
<li>User DN est le chemin complet de votre utilisateur (cn=pfoo,ou=users,dc=csnu,dc=org dans mon cas)</li></ul>

=7. thunderbird=

J'utilise thunderbird en tant que client mail. 
Pour configurer votre annuaire LDAP, il suffit d'aller dans le carnet d'adresse, de faire fichier > nouveau > annuaire LDAP puis de configurer les différents champs. Utilisez biensur de préférence une
connexion chiffrée en SSL. 
Personnellement, je n'ai jamais réussi à faire marcher la réplication du carnet d'adresse. Peut-être faut-il passer par le démon slurpd, mais vu qu'aucune configuration n'est possible au niveau de
thunderbird, je me dis que non. 
Le plus gros problème est que thunderbird est incapable d'écrire dans le carnet d'adresse LDAP. Vous serrez donc obligé de modifier votre carnet d'adresse à la main (ou en utilisant une interface
d'administration comme <code>phpldapadmin</code>). 
S'il vous est nécessaire de pouvoir modifier votre carnet d'adresse facilement, je vous conseil le plugin <a href="http://extensions.geckozone.org/AddressbooksSynchronizer"> AddressbooksSync</a>
pour thunderbird qui permet la synchronisation en IMAP, et même en ftp ou en webdav (support du https) si vous devez partager votre carnet avec d'autres personnes.