TP RESEAUX SRC Semestre 4

LDAP Ce TP traite de la mise en uvre d'un annuaire LDAP travers une implmentation libre : Le projet OpenLDAP. La configuration utilise est la mme que dans le TP prcdent : Remplacez N par votre numro de table. Distribution Debian 6.0 Nom de machine : debianN.domN.net ( modifier dans hosts et hostname) Adresse IP : 192.168.N.2 Serveur DNS : 192.168.N.2 Passerelle : 192.168.N.254 Samba doit tre install et fonctionnel. Utilisateurs existants : root (PASSWORD), userN1 (123) et userN2 (123) Votre serveur DNS ne connait que votre domaine (domN.net) et celui de la salle (a203.net)

PARTIE 1 : INSTALLATION D'OpenLDAP

Pour mettre en uvre notre annuaire LDAP, nous aurons besoin de deux paquets : slapd ldap-utils : Le Serveur OpenLDAP : Les outils clients LDAP

Installez ces deux paquets sur votre serveur Debian.

Mettre PASSWORD comme mot de passe administrateur

PARTIE 3: CONFIGURATION D'OpenLDAP :
Les fichiers de configuration d'OpenLDAP se trouvent dans le dossier /etc/ldap slapd.conf ldap.conf permet de configurer le serveur permet de configurer la partie cliente

REMARQUE : Depuis la version 2.4 d'OpenLDAP , le fichier slapd.conf n'est plus cr automatiquement lors de l'installation. Pour ne pas perdre de temps tout saisir, tlchargez le fichier slapd.conf qui se trouve sur le serveur FTP de la salle. L'objectif final de ce TP est la mise en place d'un annuaire permettant de grer notre serveur SAMBA (vu dans le TP prcdent) comme un domaine Windows NT/2000. Nous avons vu dans le TP prcdent que SAMBA ncessitait deux types de comptes : Un compte POSIX (LINUX), mais aussi un compte SAMBA. Notre annuaire LDAP devra permettre de centraliser ces deux comptes.

Un domaine Windows est construit de la faon suivante :

Notre annuaire devra donc ressembler cette arborescence. Notre racine sera : dc=domN,dc=net Nous devrons disposer de 3 OU (Unit d'Organisation) : users, groupes et machines dans lesquels nous crerons nos utilisateurs, nos groupes et nos machines. Pour finalisez la configuration de notre fichier, adaptez le fichier de configuration tlcharg en changeant le nom du domaine : domN Ensuite, ajoutons un mot de passe au compte admin : Excutez la commande : slappasswd -s PASSWORD h {CRYPT} Notez le rsultat ou faites un "copier" du rsultat obtenu (le mot de passe crypt) Dans le fichier slapd.conf, modifiez la ligne suivante (aprs la ligne rootdn) : rootpw "mot de passe crypt" Remplacez "mot de passe crypt" par le rsultat de la commande slappasswd entre guillemets. Votre fichier slapd.conf doit maintenant ressembler ceci :
################################################################### # Directives Globales: # Dfinitions des Schmas et des objectClass include /etc/ldap/schema/core.schema include /etc/ldap/schema/cosine.schema include /etc/ldap/schema/nis.schema include /etc/ldap/schema/inetorgperson.schema pidfile /var/run/slapd/slapd.pid argsfile /var/run/slapd/slapd.args loglevel none modulepath /usr/lib/ldap moduleload back_hdb sizelimit 500 tool-threads 1 ################################################################### backend hdb ################################################################### # Directives de la premire de type hdb: database hdb # Racine de l'annuaire et compte administrateur suffix "dc=domN,dc=net" rootdn "cn=admin,dc=domN,dc=net" rootpw "{CRYPT}ZcoRjvqpDPlWM"

# Emplacement physique de la base hdb directory "/var/lib/ldap" dbconfig set_cachesize 0 2097152 0 dbconfig set_lk_max_objects 1500 dbconfig set_lk_max_locks 1500 dbconfig set_lk_max_lockers 1500 # Index index lastmod checkpoint objectClass eq on 512 30

# ACLs access to attrs=userPassword,shadowLastChange by anonymous auth by self write by * none access to dn.base="" by * read access to * by * read

(En rouge la partie devant tre modifie) Faites une copie de votre fichier modifi : sladp.conf dans votre dossier /root

PARTIE 4: TEST et DEMARRAGE DE L'ANNUAIRE :

Notre annuaire est prt tre initialis. Commenons par dmarrer le service avec notre nouvelle configuration : Arrter le service : /etc/init.d/slapd stop Crez les index : slapindex (ne tenait pas compte de l'avertissement) Relancez le service : /etc/init.d/slapd start

PARTIE 5: INITIALISATION DE L'ANNUAIRE :

L'initialisation de l'annuaire n'est qu'un ajout massif de plusieurs entres. Il suffit de crer un fichier au format LDIF contenant la description du de la RACINE de notre domaine, ainsi que celles des OU. Les feuilles (groupe et utilisateurs) seront rajoutes par la suite. Pour commencer, tlchargez le fichier domaine.ldif se trouvant sur le serveur FTP de la salle et adaptez-le votre configuration en modifiant le nom du domaine (domN) Contenu du fichier domaine.ldif
dn: dc=domN,dc=net objectClass: dcObject objectClass: organization dc: domN o: domN description: domN dn: ou=users,dc=domN,dc=net objectClass: top objectClass: organizationalUnit ou: users dn: ou=groups,dc=domN,dc=net objectClass: top objectClass: organizationalUnit ou: groups

dn: ou=machines,dc=domN,dc=net objectClass: top objectClass: organizationalUnit ou: machines

Pour initialiser l'arborescence, tapez les commandes : Arrter le service : /etc/init.d/slapd stop Vider l'annuaire existant : rm /var/lib/ldap/* Redmarrez le service : /etc/init.d/slapd start Ajouter les entres :
ldapadd W D "cn=admin,dc=domN,dc=net" H ldap://localhost f domaine.ldif

Le mot de passe demand est : PASSWORD (comme spcifi avec la commande slappasswd prcdemment) Vous pouvez vrifier le rsultat avec la commande : slapcat Le rsultat de la commande slapcat doit vous donne la description de votre domaine et de ses units d'organisation au format LDIF.

PARTIE 6: CONFIGURATION DES OUTILS CLIENTS :

Afin de ne pas avoir retaper toute la syntaxe chaque commande ldap, nous allons configurer le fichier ldap.conf pour l'adapter notre domaine. Editez le fichier ldap.conf et modifier les deux lignes suivantes (n'oubliez pas d'enlever les # devant) : BASE URI dc=domN,dc=net ldap://debianN.domN.net:389

Vous pouvez maintenant, utilisez les commandes ldap sans spcifier le domaine, ni le serveur. Vous pouvez vrifier avec la commande : ldapsearch x Cette commande fait une recherche et vous affiche tout le contenu de l'annuaire.

PARTIE 7: INSTALLATION D'UN OUTIL CLIENT GRAPHIQUE :

Pour mieux visionner l'arborescence de notre annuaire, nous allons installer un client graphique crit en php : phpldapadmin. Cet outil est packag pour Debian, nous avons juste l'installer avec la commande : apt-get install phpldapadmin L'installation redmarre automatiquement apache, nous pouvons donc vrifier le fonctionnement de notre annuaire en ouvrant notre navigateur Web (sous Ubuntu) l'adresse : 172.16.N.2/phpldapadmin/ Cliquez sur Login ( gauche) pour vous identifier. Login DN: cn=admin,dc=domN,dc=net Password : PASSWORD

Votre arborescence doit apparaitre dans la partie gauche. Vous pouvez la dveloppez en cliquant sur le signe + gauche de la mappemonde. Pour l'instant, vous ne voyez que votre domaine et vos units d'organisation. Nous allons complter l'arborescence avec des groupes et des utilisateurs.

PARTIE 8: GESTION DES COMPTES POSIX :

Comme indiqu en partie3, Samba besoin de deux types de compte, des comptes POSIX qui sont nos comptes Debian, des comptes SAMBA. Il faut donc que notre annuaire puisse aussi dialoguer avec ces deux types de comptes pour tre oprationnel. La premire tape est donc de configurer notre serveur GNU/Linux pour aller chercher les comptes POSIX sur l'annuaire. Nous allons pour ceci utiliser le mcanisme "nsswitch". nsswitch (Name Service Switch) permet de rediriger les requtes de noms vers des sources trs diverses. Une requte de nom est le fait d'obtenir des informations concernant un nom particulier (rsoudre un login en uid, un nom de machine en adresse IP, connatre le rpertoire home d'un utilisateur, etc...). La source de ces donnes est habituellement un fichier (/etc/passwd, /etc/shadow, /etc/hosts) mais elle peut tre une base de donnes ou un annuaire car nsswitch propose un mcanisme de plugins qui permet d'tendre ses capacits d'interconnexion. Le plug-in pour ldap s'appelle : libnss-ldap. Commencez par installer le paquet du mme nom. Un assistant de configuration vous pose quelques questions. Validez rapidement (avec entre), nous allons revoir la configuration manuellement. Le fichier de configuration de la librairie se nomme /etc/libnss-ldap.conf Par scurit, commencez par renommer (mv) ce fichier en libnss-ldap.OLD Crez ensuite un nouveau fichier /etc/libnss-ldap.conf avec le contenu suivant :
host 127.0.0.1 port 389 base dc=domN,dc=net ldap_version 3 scope sub # Emplacement des comptes nss_base_passwd dc=domN,dc=net?sub nss_base_group ou=groups,dc=domN,dc=net?one nss_base_shadow dc=domN,dc=net?sub nss_base_hosts ou=machines,dc=domN,dc=net?one

La partie importante du fichier concerne l'emplacement des comptes : il faut spcifier o trouver les informations fournies habituellement par /etc/passwd (les comptes utilisateurs) et celles fournies par /etc/group (les comptes de groupes). Une fois notre librairie configure, il faut activer la recherche dans LDAP au niveau de nsswitch. Ceci se fait trs simplement en modifiant le fichier /etc/nsswitch.conf :
passwd: compat ldap group: compat ldap shadow: compat ldap hosts: networks: files dns files

protocols: db files services: db files ethers: db files rpc: db files netgroup: nis

Il suffit d'ajouter "ldap" la fin des entres passwd, group et shadow . Ceci signifie que pour chaque type de rsolution, nsswitch utilisera tout d'abord le mode compat (recherche dans les fichiers appropris) en priorit, puis le mode LDAP.

Rebootez la machine Debian pour que ces modifications soient prises en compte.
PARTIE 9: AJOUT D'UN GROUPE ET D'UN UTILISATEUR:
Notre annuaire LDAP est maintenant prt recevoir des groupes et des utilisateurs. Pour les ajouter notre arborescence, nous utiliserons l'outil client ldapadd comme lors de l'initialisation de l'annuaire. Afin de ne pas fausser le TP, nous allons supprimer les comptes existants.
userdel userN1 userdel userN2 groupdel smbusers

Ensuite, rcuprez les deux fichiers suivants sur le serveur ftp : utilisateur.ldif groupe.ldif

Modifiez ces fichiers pour les adapter votre configuration (domN et userN). Dans le fichier utilisateur, indiquez votre Nom et votre Prnom dans l'attribut Description. Insrer les entres dans l'annuaire avec la commande ldapadd :
ldapadd W D "cn=admin,dc=domN,dc=net" f groupe.ldif ldapadd W D "cn=admin,dc=domN,dc=net" f utilisateur.ldif

Le mot de passe demand est toujours celui du compte admin : PASSWORD Vous pouvez vrifier que tout c'est bien pass avec les commandes :
getent passwd getent shadow getent group id userN

Ces commandes interrogent les fichiers indiqus, vous devez voir apparaitre votre utilisateur avec l'UID 10001 et votre groupe avec le GID 2000. La dernire commande vous renvoie l'UID de l'utilisateur (10001), ainsi que le groupe auquel il appartient et son GID (2000). Vous pouvez aussi voir le rsultat avec phpldapadmin