Différences
Ci-dessous, les différences entre deux révisions de la page.
Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
installer_un_ldap_avec_mds_et_l_interface_mmc [2013/08/18 14:59] admin créée |
installer_un_ldap_avec_mds_et_l_interface_mmc [2013/08/18 18:23] 127.0.0.1 modification externe |
||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
{{tag> | {{tag> | ||
- | ====== Installer un LDAP sur Linux Debian | + | ====== Installer un LDAP avec MDS et l' |
MDS est l' | MDS est l' | ||
Ligne 12: | Ligne 12: | ||
==== Configuration de SLAPD ==== | ==== Configuration de SLAPD ==== | ||
- | L' | + | L' |
<code bash> | <code bash> | ||
Ligne 43: | Ligne 43: | ||
==== Installation de MMC ==== | ==== Installation de MMC ==== | ||
- | On update les sources APT : | + | Lancez l'update les sources APT : |
<code bash> | <code bash> | ||
- | Puis on installe | + | Puis installez |
<code bash> | <code bash> | ||
Ligne 53: | Ligne 53: | ||
==== Inclure le schéma MMC dans SLAPD ==== | ==== Inclure le schéma MMC dans SLAPD ==== | ||
- | MDS apporte un schéma pour SLAPD afin de créer le fameux Active Directory en rapport avec l' | + | MDS apporte un schéma pour SLAPD afin de créer le fameux Active Directory en rapport avec l' |
Depuis Debian Squeeze, la nouvelle version d' | Depuis Debian Squeeze, la nouvelle version d' | ||
<code bash># mmc-add-schema / | <code bash># mmc-add-schema / | ||
Ligne 75: | Ligne 75: | ||
Puis, le renseigner dans le paramètre password du fichier / | Puis, le renseigner dans le paramètre password du fichier / | ||
- | < | + | < |
< | < | ||
Ligne 113: | Ligne 113: | ||
\\ | \\ | ||
La première chose à faire c'est de créer le groupe utilisateur par défaut. Si vous ne l'avez pas changé, il s'agit de " | La première chose à faire c'est de créer le groupe utilisateur par défaut. Si vous ne l'avez pas changé, il s'agit de " | ||
- | Renseignez " | + | Renseignez " |
{{: | {{: | ||
\\ | \\ | ||
Vous pouvez maintenant créer des utilisateurs et configurer vos services pour utiliser l' | Vous pouvez maintenant créer des utilisateurs et configurer vos services pour utiliser l' | ||
- | ==== Exemple d' | + | ===== Exemple d' |
- | A venir... | + | Avec l' |
+ | Nous allons sécuriser cette simple page avec l' | ||
+ | |||
+ | Tout d' | ||
+ | <code bash> | ||
+ | a2enmod authnz_ldap</ | ||
+ | |||
+ | Maintenant, il faut éditer la configuration de la page par défaut pour lui ajouter la configuration d' | ||
+ | < | ||
+ | Options Indexes FollowSymLinks MultiViews | ||
+ | AllowOverride None | ||
+ | Order allow, | ||
+ | allow from all | ||
+ | </ | ||
+ | </ | ||
+ | |||
+ | Modifiez cette section de la manière suivante : | ||
+ | < | ||
+ | Options Indexes FollowSymLinks MultiViews | ||
+ | AllowOverride None | ||
+ | |||
+ | # LDAP authentication | ||
+ | AuthBasicProvider ldap | ||
+ | AuthType Basic | ||
+ | AuthName " | ||
+ | AuthzLDAPAuthoritative off | ||
+ | AuthLDAPURL ldap:// | ||
+ | AuthLDAPGroupAttribute memberUid | ||
+ | AuthLDAPGroupAttributeIsDN off | ||
+ | Require ldap-group cn=http, | ||
+ | |||
+ | Order allow, | ||
+ | allow from all | ||
+ | </ | ||
+ | </ | ||
+ | |||
+ | Quelques explications : | ||
+ | ^ Attribut ^ Commentaire ^ | ||
+ | | AuthBasicProvider | On spécifie ldap pour utiliser le module mod_authz_ldap | | ||
+ | | AuthType | On définit le type à Basic pour utiliser l' | ||
+ | | AuthName | C'est ce qui apparaîtra dans la boîte de dialogue d' | ||
+ | | AuthzLDAPAuthoritative | Permet de passer le relai à d' | ||
+ | | AuthLDAPURL | Il s'agit de l'URL pour contacter le serveur LDAP en précisant l'OU (Oranization Unit) qui contient les Users de l' | ||
+ | | AuthLDAPGroupAttribute | Le nom de l' | ||
+ | | AuthLDAPGroupAttributeIsDN | On indique de l' | ||
+ | | Require ldap-group | Filtre qui permet d' | ||
+ | |||
+ | Allez ensuite dans l' | ||
+ | \\ | ||
+ | Redémarrez Apache pour prendre en compte l' | ||
+ | <code bash>/ | ||
+ | |||
+ | Maintenant, quand j' | ||
+ | {{: | ||
+ | \\ | ||
+ | Entrez le user " | ||
+ | Retournez maintenant dans l' | ||
+ | Patientez quelques secondes, puis retournez sur la page web de votre serveur et retentez de vous connecter. Cette fois ça fonctionne.\\ | ||
+ | |||
+ | ===== LDAPSearch ===== | ||
+ | |||
+ | Il est possible de faire des recherches dans le répertoire LDAP directement en ligne de commande pour effectuer des tests. | ||
+ | Par exemple, si on cherche le user " | ||
+ | <code bash> | ||
+ | dn: uid=foobar, | ||
+ | shadowFlag: 134538308 | ||
+ | shadowMin: -1 | ||
+ | displayName: | ||
+ | uid: foobar | ||
+ | cn: foobar foobar | ||
+ | objectClass: | ||
+ | objectClass: | ||
+ | objectClass: | ||
+ | objectClass: | ||
+ | objectClass: | ||
+ | loginShell: /bin/bash | ||
+ | homeDirectory: | ||
+ | uidNumber: 10002 | ||
+ | shadowMax: 99999 | ||
+ | gidNumber: 10001 | ||
+ | gecos: foobar foobar | ||
+ | sn: foobar | ||
+ | shadowInactive: | ||
+ | givenName: foobar | ||
+ | shadowExpire: | ||
+ | shadowWarning: | ||
+ | </ | ||
+ | |||
+ | Si on souhaite vérifier que le user " | ||
+ | <code bash> | ||
+ | dn: cn=http, | ||
+ | objectClass: | ||
+ | objectClass: | ||
+ | gidNumber: 10002 | ||
+ | cn: http | ||
+ | memberUid: foobar | ||
+ | </ | ||
+ | |||
+ | On obtient bien un résultat, on peut donc déduire qu'il exsite bien un user " | ||
+ | |||
+ | ===== Sauvegarde et restauration ===== | ||
+ | |||
+ | Les commandes slapcat et slapadd vont nous permettre de faire des sauvegardes et restaurations de notre AD.\\ | ||
+ | \\ | ||
+ | La commande slapcat est bien pratique car elle permet simplement d' | ||
+ | La commande slapadd permet d' | ||
+ | \\ | ||
+ | Effectuez une sauvegarde de la base LDAP | ||
+ | <code bash> | ||
+ | |||
+ | Il est possible de lire le fichier ldap.bak, vous pouvez même l' | ||
+ | \\ | ||
+ | Pour pouvoir restaurer, il ne faut pas que le daemon slapd soit lancé. Il faut donc arrêter le service LDAP, puis supprimer le contenu du répertoire / | ||
+ | <code bash> | ||
+ | [ ok ] Stopping OpenLDAP: slapd. | ||
+ | |||
+ | root@vm03: | ||
+ | root@vm03: | ||
+ | _#################### | ||
+ | Closing DB... | ||
+ | |||
+ | root@vm03: | ||
+ | root@vm03: | ||
+ | [ ok ] Starting OpenLDAP: slapd. | ||
+ | </ | ||
+ | |||
+ | La base est maintenant restaurée. Vous pouvez vous assurer que nous avons bien utilisé le fichier en vérifiant que le user foobar n' | ||
+ | <code bash> | ||
+ | |||
+ | Pas de réponse, l' | ||
===== Versions utilisées ===== | ===== Versions utilisées ===== |