Julien Thomas - TELECOM Bretagne
|
|
Julien Thomas - TELECOM Bretagne
|
|
|
Informations
Déploiement d'applications
Sécurité des applications
Sécurité SELinux
|
Déploiement d'OpenLDAPLa version installé dans notre cas est la 2.3.35-r1 et avec les options suivantes :
Configuration de baseIl est premièrement nécessaire d'éditer le fichier /etc/conf.d/slapd pour indiquer les options que l'on passera au démarrage du démon slapd. Nous avons mis dans un premier temps OPTS="-h 'ldaps:// ldapi://%2fvar%2frun%2fopenldap%2fslapd.sock ldap://'". Cela indique notamment que le serveur sera disponible via les URI en ldap et en ldaps. La deuxième action consiste à éditer les fichiers de configuration d'OpenLDAP. Le fichier /etc/openldap/ldap.conf définit les informations de base pour les outils ldap. Le fichier /etc/openldap/slapd.conf définit les informations pour le server slapd, notamment le compte principal, le type de base de donnée utilisé et la racine de l'arbre. Voici un extrait du fichier slapd.conf détaillant les points clés. Le mot de passe à été généré avec la commande slappasswd en SSHA. Pour rappel, «ROOT_DN» est la racine de l'annuaire. Dans notre cas, «ROOT_DN» = dc=polux,dc=org, mais c'est une racine fictive, le nom de domaine n'étant pas enregistré.
password-hash SSHA
database ldbm
suffix «ROOT_DN» # Definit la racine de l'arbre
checkpoint 32 30 # [kbyte] [min]
rootdn "cn=Manager,«ROOT_DN»" # Définit le compte principal
# Cleartext passwords, especially for the rootdn, should
# be avoid. See slappasswd(8) and slapd.conf(5) for details.
# Use of strong authentication encouraged.
rootpw {SSHA}yI6/8O+Ge61r1QWTPmB5qURR9eyrIrdz # Définit le mot de passe
du compte principal, ici chiffrer en SSHA
# The database directory MUST exist prior to running slapd AND
# should only be accessible by the slapd and slap tools.
# Mode 700 recommended.
directory /var/lib/openldap-ldbm
# Indices to maintain
index objectClass eq
Pour tester le serveur un simple ldapsearch -x suffit, si les accès anonyme sont autorisés. L'option -x indique qu'il ne faut pas utiliser l'authentification SASL que l'on pas encore configurée. Organisation générale de l'arbre Un annuaireLDAP est une structure en arborescence regroupant les données dans différentes branches. L'arbre utilisé pour notre maquette est représentée sur la figure suivante : 
Il est donc constitué de trois branches.
Le fichier LDIF permettant de générer cet arbre est le suivant : dn : dc=polux,dc=org objectClass : dcObject objectClass : organization dc : polux o : Polux LDAP dn : ou=accounts,dc=polux,dc=org objectClass : top objectClass : organizationalUnit description : Branche utilisateurs ou : accounts dn : ou=mails,ou=accounts,dc=polux,dc=org objectClass : top objectClass : organizationalUnit description : mails accounts branch ou : mails dn : ou=servers,ou=accounts,dc=polux,dc=org objectClass : top objectClass : organizationalUnit description : servers accounts branch ou : servers dn : ou=services,dc=polux,dc=org objectClass : top objectClass : organizationalUnit description : services branch ou : services dn : ou=groups,ou=services,dc=... objectClass : top objectClass : organizationalUnit description : groups branch ou : groups dn : ou=dhcp,ou=services,dc=... objectClass : top objectClass : organizationalUnit description : DHCP branch ou : dhcp dn : ou=dns,ou=services,dc=... objectClass : top objectClass : organizationalUnit description : DNS branch ou : dns dn : ou=servers,dc=polux,dc=org objectClass : top objectClass : organizationalUnit description : Servers branch ou : servers
«Design-by-assumption works as long as assumptions hold. Assumptions are
shortcuts to useful efficiencies, provided they are not violated. »
|