Sommaire

• Présentation des annuaires

• Concept des annuaires électroniques
• Exemples d’utilisation des annuaires
• Introduction à LDAP
• Présentation de LDAP
• Authentification
• mécanismes d’authentification
• Le DIT
• Les attributs
• Les entrées
• Les classes d'objets
• Le schéma LDAP
• La partie pratique
1 Présentation des annuaires

Avant d’entrer dans l’explication du protocole LDAP, il

convient de présenter le
système de recueil de données associé à ce protocole que
sont les annuaires
électroniques.
1.1 Concept des annuaires électroniques

Un annuaire électronique est un catalogue de données dont

le but premier est de
proposer, grâce à des fonctions de recherche, un accès rapide
à ses ressources aux
différents clients qui les consulte.
Les annuaires électroniques permettent faciliter
la localisation de tous types d’objets comme, par
exemple :
• des personnes,
• des sociétés,
• des ressources Informatiques,
• des applications
Exemples d’utilisation des annuaires

On pourrait croire que les annuaires électroniques ne

servent qu’à rechercher des
personnes ou des ressources, mais ceux-ci permettent
bien d’autres applications tel
que :
• constituer des carnets d’adresse
• authentifier des utilisateurs
• définir des droits d’accès à des utilisateurs
• recenser des informations sur un parc matériel
• décrire des applications.
• stocker et diffuser des certificats dans une
Infrastructure de clé publique
Introduction à LDAP

LDAP (Lightweight Directory Access Protocol,

traduisez Protocole d'accès aux annuaires léger et
prononcez "èl-dap") est un protocole standard
permettant de gérer des annuaires, c'est-à-dire
d'accéder à des bases d'informations sur les
utilisateurs d'un réseau par l'intermédiaire de
protocoles TCP/IP.

Les bases d'informations sont généralement relatives

à des utilisateurs, mais elles sont parfois utilisées à
d'autres fins comme pour gérer du matériel dans une
entreprise.
Le protocole LDAP, développé en 1993 par
l'université du Michigan, avait pour but de
supplanter le protocole DAP (servant à accéder au
service d'annuaire X.500 de l'OSI), en l'intégrant à la
suiteTCP/IP. A partir de 1995, LDAP est devenu un
annuaire natif (standalone LDAP), afin de ne plus
servir uniquement à accéder à des annuaires de
type X500. LDAP est ainsi une version allégée du
protocole DAP, d'où son nom
de Lightweight Directory Access Protocol.
Présentation de LDAP

Le protocole LDAP définit la méthode d'accès aux

données sur le serveur au niveau du client, et non la
manière de laquelle les informations sont stockées.

Le protocole LDAP en est actuellement à la version 3

et a été normalisé par l'IETF (Internet Engineering Task
Force). Ainsi, il existe une RFC pour chaque version de
LDAP, constituant un document de référence :
RFC 1777 pour LDAP v.2 standard
RFC 2251 pour LDAP v.3 standard
Authentification
Pour pouvoir accéder `a l’annuaire LDAP,
le client LDAP doit d’abord s’authentifier,
c’est `a dire spécifier qui va accéder aux
données. Si l’authentification réussi, alors
le client peut envoyer une requête au
serveur qui vérifiera si le client est
autorisé ou non a effectuer la requête.
On parle de contrôle l’accés.
LDAP propose plusieurs mécanismes
d’authentification :
• 1. Anonymous Authentication : il s’agit d’une connexion présentant un
champ
• DN vide et aucun mot de passe (la requéte est directement envoyée).
Cela
• permet de consulter facilement les données accessible en lecture pour
tous.
• 2. Simple Authentication : c’est la m´ethode classique o`u le DN de
l’utilisateur
• est transmis avec le mot de passe en clair, ce qui doit ˆetre évité bien
• entendu dans le cadre d’une grille.
• 3. Simple Authentication Over SSL/TLS : la session entre le serveur et le
• client est chiffrée par le protocole SSL, qui garantit entre autre la
confiden-
• tialité et l’intégrit´e des communications. Ainsi, le mot de passe ne
transite
• plus en clair sur le réseau.
DIT ( Directory Information Tree):
Chaque noeud de l'arbre correspond à une entrée
de l'annuaire ou Directory Service Entry (DSE) et
au sommet de cette arbre, appelé Directory
Information Tree (DIT), se trouve la racine ou
suffixe (par exemple ou=education,o=gouv,c=fr).
Chaque serveur possède une entrée spéciale,
appelée root Directory Specific Entry (rootDSE)
qui contient la description de l'arbre et de son
contenu.
Les attributs:
Ce sont les attributs qui contiennent les données
réelles des entrées de l'annuaire (nom, prenom,
mot de passe, uid, etc ...)
Les entrées (Entries):
Les entrées correspondent à des objets abstraits ou
issus du monde réel, comme une personne, une
imprimante, ou des paramètres de configuration.
Les données de ces entrées sont stocké dans les
attributs du ou des objets constituant l'entrée. Elles
sont identifiées de façon unique dans l'annuaire par
un attribut unique particulier : le DN (Distinguish
Name).
Les classes d'objets
• Les classes d'objets permettent de regrouper les objets de même type,
avec un plus par rapport à une base de données : un objet peut
appartenir à plusieurs classes en même temps. Ce qui permet de
fusionner, autour du même nom, des données de person, de
posixAccount (cette personne a un compte Unix), de sambaSamAccount
(elle a aussi un compte Samba), etc.
 Quelques classes d'objets :
• o : organization. Cette classe permet de définir le nom de la société ou
association qui gère l'annuaire. Elle peut constituer une racine pour ce
même annuaire, avec des ou en dessous.
• ou : organizationalUnit. Un sous-ensemble d'une organisation. On
pourrait le traduire en français par un service, une entité, un secteur
d'une société.
• dc : domainComponent. Composant de nom de domaine (au sens DNS
du terme). Le com ou example dans example.com
• person : schéma standard pour une personne. Elle permet de définir
une personne par son nom et son prénom (a minima), ainsi que, de
façon optionnelle, un mot de passe, un numéro de téléphone, et une
description de la personne.
Le schéma LDAP:

L'ensemble des définitions relatives aux objets que

sait gérer un serveur LDAP s'appelle le schéma.
Le schéma décrit les classes d'objets, leurs types
d'attributs et leur syntaxe. ainsi qu'une
caractérisation de ces données pour facilité les
opérations de recherche (chiffre, lettre, sensible
à la casse, données binaires, etc. ...)
Configuration Open LDAP sous Linux Fedora
Vérifier si ldap déja installer par la commande :

connecter en tant que root par su et vérifier

l’installation de openldap par la commande :
rpm –q openldap
Installer les packages de ldap suivants :
• cyrus-sasl-devel-2.1.23-11.fc13.i686.rpm
• openldap-2.4.21-4.fc13.i686.rpm
• openldap-clients-2.4.21-4.fc13.i686.rpm
• openldap-devel-2.4.21-4.fc13.i686.rpm
• openldap-servers-2.4.21-4.fc13.i686.rpm
• Migrationtools-47-6.fc13.noarch.rpm
Par la commande :
#rpm –ivh [nom ou chemin ]
Ou te simplelment utilise la commande :
yum install
Donner un mot de passe pour le root ldap

Ne oblier pas copier ce mot

de passe crypter
Editer le fichier /etc/openldap/slapd.conf:

C’est le fichier slapd.conf qui gére la configuration

du serveur.
Démarrer le service ldap :

Criéer des utilisateurs :

Utiliser le script
/usr/share/openldap/migration/migrate_passw
d.pl :
Créer un autre fichier .LDIF qui contient le
domaine et les unités d’organisation

#cd /etc/openldap
#vim tri201.com.ldif
Ajouter les informations sous les fichiers .LDIF à la
base de données ldap
Merci pour Votre
attentions