Академический Документы
Профессиональный Документы
Культура Документы
LDAP Ce TP traite de la mise en uvre d'un annuaire LDAP travers une implmentation libre : Le projet OpenLDAP. La configuration utilise est la mme que dans le TP prcdent : Remplacez N par votre numro de table. Distribution Debian 6.0 Nom de machine : debianN.domN.net ( modifier dans hosts et hostname) Adresse IP : 192.168.N.2 Serveur DNS : 192.168.N.2 Passerelle : 192.168.N.254 Samba doit tre install et fonctionnel. Utilisateurs existants : root (PASSWORD), userN1 (123) et userN2 (123) Votre serveur DNS ne connait que votre domaine (domN.net) et celui de la salle (a203.net)
REMARQUE : Depuis la version 2.4 d'OpenLDAP , le fichier slapd.conf n'est plus cr automatiquement lors de l'installation. Pour ne pas perdre de temps tout saisir, tlchargez le fichier slapd.conf qui se trouve sur le serveur FTP de la salle. L'objectif final de ce TP est la mise en place d'un annuaire permettant de grer notre serveur SAMBA (vu dans le TP prcdent) comme un domaine Windows NT/2000. Nous avons vu dans le TP prcdent que SAMBA ncessitait deux types de comptes : Un compte POSIX (LINUX), mais aussi un compte SAMBA. Notre annuaire LDAP devra permettre de centraliser ces deux comptes.
Notre annuaire devra donc ressembler cette arborescence. Notre racine sera : dc=domN,dc=net Nous devrons disposer de 3 OU (Unit d'Organisation) : users, groupes et machines dans lesquels nous crerons nos utilisateurs, nos groupes et nos machines. Pour finalisez la configuration de notre fichier, adaptez le fichier de configuration tlcharg en changeant le nom du domaine : domN Ensuite, ajoutons un mot de passe au compte admin : Excutez la commande : slappasswd -s PASSWORD h {CRYPT} Notez le rsultat ou faites un "copier" du rsultat obtenu (le mot de passe crypt) Dans le fichier slapd.conf, modifiez la ligne suivante (aprs la ligne rootdn) : rootpw "mot de passe crypt" Remplacez "mot de passe crypt" par le rsultat de la commande slappasswd entre guillemets. Votre fichier slapd.conf doit maintenant ressembler ceci :
################################################################### # Directives Globales: # Dfinitions des Schmas et des objectClass include /etc/ldap/schema/core.schema include /etc/ldap/schema/cosine.schema include /etc/ldap/schema/nis.schema include /etc/ldap/schema/inetorgperson.schema pidfile /var/run/slapd/slapd.pid argsfile /var/run/slapd/slapd.args loglevel none modulepath /usr/lib/ldap moduleload back_hdb sizelimit 500 tool-threads 1 ################################################################### backend hdb ################################################################### # Directives de la premire de type hdb: database hdb # Racine de l'annuaire et compte administrateur suffix "dc=domN,dc=net" rootdn "cn=admin,dc=domN,dc=net" rootpw "{CRYPT}ZcoRjvqpDPlWM"
# Emplacement physique de la base hdb directory "/var/lib/ldap" dbconfig set_cachesize 0 2097152 0 dbconfig set_lk_max_objects 1500 dbconfig set_lk_max_locks 1500 dbconfig set_lk_max_lockers 1500 # Index index lastmod checkpoint objectClass eq on 512 30
# ACLs access to attrs=userPassword,shadowLastChange by anonymous auth by self write by * none access to dn.base="" by * read access to * by * read
(En rouge la partie devant tre modifie) Faites une copie de votre fichier modifi : sladp.conf dans votre dossier /root
Pour initialiser l'arborescence, tapez les commandes : Arrter le service : /etc/init.d/slapd stop Vider l'annuaire existant : rm /var/lib/ldap/* Redmarrez le service : /etc/init.d/slapd start Ajouter les entres :
ldapadd W D "cn=admin,dc=domN,dc=net" H ldap://localhost f domaine.ldif
Le mot de passe demand est : PASSWORD (comme spcifi avec la commande slappasswd prcdemment) Vous pouvez vrifier le rsultat avec la commande : slapcat Le rsultat de la commande slapcat doit vous donne la description de votre domaine et de ses units d'organisation au format LDIF.
Vous pouvez maintenant, utilisez les commandes ldap sans spcifier le domaine, ni le serveur. Vous pouvez vrifier avec la commande : ldapsearch x Cette commande fait une recherche et vous affiche tout le contenu de l'annuaire.
Votre arborescence doit apparaitre dans la partie gauche. Vous pouvez la dveloppez en cliquant sur le signe + gauche de la mappemonde. Pour l'instant, vous ne voyez que votre domaine et vos units d'organisation. Nous allons complter l'arborescence avec des groupes et des utilisateurs.
La partie importante du fichier concerne l'emplacement des comptes : il faut spcifier o trouver les informations fournies habituellement par /etc/passwd (les comptes utilisateurs) et celles fournies par /etc/group (les comptes de groupes). Une fois notre librairie configure, il faut activer la recherche dans LDAP au niveau de nsswitch. Ceci se fait trs simplement en modifiant le fichier /etc/nsswitch.conf :
passwd: compat ldap group: compat ldap shadow: compat ldap hosts: networks: files dns files
protocols: db files services: db files ethers: db files rpc: db files netgroup: nis
Il suffit d'ajouter "ldap" la fin des entres passwd, group et shadow . Ceci signifie que pour chaque type de rsolution, nsswitch utilisera tout d'abord le mode compat (recherche dans les fichiers appropris) en priorit, puis le mode LDAP.
Rebootez la machine Debian pour que ces modifications soient prises en compte.
PARTIE 9: AJOUT D'UN GROUPE ET D'UN UTILISATEUR:
Notre annuaire LDAP est maintenant prt recevoir des groupes et des utilisateurs. Pour les ajouter notre arborescence, nous utiliserons l'outil client ldapadd comme lors de l'initialisation de l'annuaire. Afin de ne pas fausser le TP, nous allons supprimer les comptes existants.
userdel userN1 userdel userN2 groupdel smbusers
Ensuite, rcuprez les deux fichiers suivants sur le serveur ftp : utilisateur.ldif groupe.ldif
Modifiez ces fichiers pour les adapter votre configuration (domN et userN). Dans le fichier utilisateur, indiquez votre Nom et votre Prnom dans l'attribut Description. Insrer les entres dans l'annuaire avec la commande ldapadd :
ldapadd W D "cn=admin,dc=domN,dc=net" f groupe.ldif ldapadd W D "cn=admin,dc=domN,dc=net" f utilisateur.ldif
Le mot de passe demand est toujours celui du compte admin : PASSWORD Vous pouvez vrifier que tout c'est bien pass avec les commandes :
getent passwd getent shadow getent group id userN
Ces commandes interrogent les fichiers indiqus, vous devez voir apparaitre votre utilisateur avec l'UID 10001 et votre groupe avec le GID 2000. La dernire commande vous renvoie l'UID de l'utilisateur (10001), ainsi que le groupe auquel il appartient et son GID (2000). Vous pouvez aussi voir le rsultat avec phpldapadmin