Le Service Annuaire LDAP

Objectif: Déployer et Administrer un annuaire LDAP 

1 - Introduction :
LDAP signifie Lightweight Directory Access Protocol. C’est le standard de fait pour accéder à un annuaire. Un annuaire est une base de données qui va contenir des informations sur des personnes, des machines, des groupes ou toute autre catégorie que vous pourriez imaginer.

1.1 –Faire la différence entre un annuaire LDAP et un SGBDR
Dans un annuaire LDAP, contrairement à un SGBDR:
• Il n‘y a pas de dépendance entre les objets stockés
• les objets peuvent être distribués sur plusieurs annuaires pour assurer une meilleure disponibilité
• les applications de l’annuaire n’ont pas besoin de connaître la structure interne des données stockées

1.2 - Connaître la Définition d’une classe et faire la différence entre les types de classe comme : abstrait, structural et auxiliaire
2.2.1 - Définition d'une classe
Chaque entrée de l'annuaire appartient à une ou plusieurs classes. Les classes modélisent ainsi les objets réels ou abstraits décrits dans un annuaire. Des exemples de classes sont : personne, bâtiment,application. Une classe est constituée de :
• Un nom : Un identifiant sous forme de chaîne de caractères. Exactement comme les noms de classes sont insensibles à la case. Une classe peut elle aussi avoir plusieurs noms.
• Un Object Identifier (OID) : Un identifiant numérique.
• Une description : La description de la classe fait partie du schéma.
• Un type

2.2.2 - les trois types de classes sont:
●Les classes structurelles : C'est une classe classique qui peut être instanciée.
●Les classes auxiliaires : Ce sont des classes permettant de rajouter des informations complémentaire à des objets structurels. Des exemples de classes auxiliaires sont: mailRecipient, labelURIObject. Ces classe contiennent un ensemble d'attributs, généralement facultatifs .
●Les classes abstraites : Les classes abstraites ne peuvent pas être instanciées, mais seulement dérivées.

1.3 - Définition du schéma
L'ensemble des définitions relatives aux objets s'appelle le schéma. Le schéma décrit les classes d'objets, leurs types d'attributs et leur syntaxe.

1.3.1 -Les 4 schemas de base définissant les classes de base d‘OpenLdap sont:
● core.schema
● cosine.schema
● nis.schema
● inetorperson.schema

Quelques classes :
organization et dcObject : permettent de créer une racine d’un annuaire
person : permet de créer un compte d’une personne avec des informations
             Ces attributs obligatoires sont : cn et sn
organizationalPerson : c’est un objet fils de la classe person a pour attributs comme :                       postalAddress,title...
inetOrgPerson : c’est un objet petit-fils de la classe person a pour attributs comme :                         photo,uid,mail...
organizationalUnit : permet de créer des unités organisationnelles, des départements
son attribut obligatoire est : ou
posixAccount : permet de renseigner les informations d’un compte unix qui normalement se trouve dans /etc/password les informations a renseigner sont :
     ➢ uidNumber
     ➢ gidNumber
     ➢ loginShell
     ➢ userId
     ➢ cn
     ➢ homeDirectory

shadowAccount : permet de renseigner les informations d’un compte unix qui normalement se trouve dans /etc/shadow
posixGroup : permet de créer de groupe d’utilisateur qui normalement se trouve dans /etc/group
        les attributs obligatoires de cette classe sont :
                       cn=nom du groupe
                      gidNumber=numero de groupe
                      memberUid=Uid du membre du groupe
asteriskSIPUser : permet de créer des comptes asterisk pour des téléphones
asteriskExtension : permet de créer des numeros des téléphones

1.4 – Le concept d’annuaire ldap :
LDAP définit :
• Un protocole. accéder à l’information contenue dans l’annuaire,
• Un modèle d’information. le type des informations contenues dans l’annuaire, un
• Un modèle de nommage. comment l’information est organisée et référencée,
• Un modèle fonctionnel. comment accéder à l’information (syntaxe des requêtes,etc...),
• Un modèle de sécurité. comment données et accès sont protégés,
• Un modèle de duplication. comment la base est répartie entre serveurs,
• Des API. pour développer des applications clientes,
• LDIF. un format d’échange de données

Passons donc à l'installation et à la configuration du service

2- Installation du service Annuaire Ldap.

2.1 - L’installation du service sur une machine Linux. La commande qui permet d’installer est :            apt install slapd ldap-utils

on tape sur entré pour dire OUI à l’installation .Après avoir taper sur OUI, l’installation va nous demander de donner un password à l’admin de Ldap.

2.2 - Ici sur la figure ci-dessous on va donner le mot de passe de l’administrateur de l’annuaire Ldap et puis on tape sur entrer pour continuer.

Apres le mot de passe, l’installation est terminée.Donc passons à la reconfiguration du service slapd.

3. Configuration du service Annuaire Ldap

Lors de la configuration de l'annuaire, il est nécessaire d'intervenir sur plusieurs fichiers de configuration situés dans le répertoire /etc/ldap :et il y a un fichier(sldapd.conf) qu’on doit le copier depuis la source dans /etc/ldap.

3.1 - Renommer le répertoire slapd.d en slapd.d.old
Pour renommer ? Par ce que le dossier slapd.d contient déjà des fichiers configurés par défaut, pour cela il est recommande de renommer ou soit de supprimer ce dossier Nous on l’a renommé comme slapd.d.old comme nous montre la figure ci-dessous.

Comme nous constatons dans le /etc/ldap il n’y a pas le fichier slapd.conf nous allons le fichier dans ce meme repertoire

3.2 - Copier slapd.conf dans /etc/ldap
Par défaut le fichier sldapd.conf se trouve dans le repertoire source du service sldap, donc essayons de copier ce fichier dans /etc/ldap. La commande qui permet de copier un fichier en ligne est :
root@koreLdap:#cp /usr/share/slapd/slapd.conf /etc/ldap: cette commande veut dire que copie moi le fichier sldapd.conf qui se trouve dans /usr/share/slapd dans le repertoire courant(.) qui est /etc/ldap comme nous montre la figure ci-dessous :

3.3 – Paramétrer le fichier ldap.conf pour préciser la base avec son adresse ip

Notre base est koretelecoms.td et L’adresse ip l’annuaire Ldap 127.0.0.1

3.4 - Configurer le fichier slapd.conf
Ce fichier comporte diverses informations telles que la racine supérieure de l'annuaire, l'administrateur principal de l'annuaire LDAP et son mot de passe, les droits d'accès par défaut, les fichiers d'objets et de syntaxe à utiliser ainsi que les règles d'accès pour les entrées et les attributs de l'annuaire LDAP.Éditons ce fichier pour faire des paramétrages : nano /etc/ldap/slapd.conf

3.4.1 - Chargement de modules permettant d'étendre les fonctionnalités de OpenLDAP
Mettre le paramètre moduleload en back_hdb

3.4.2 - On utilise un stockage basé sur le format de fichier '''HDB''

3.4.3 - On définit la ''racine'' de l'arbre (on parle de ''suffixe'' ou de ''basedn'')
Notre suffixe est "dc=koretelecoms,dc=td"

3.4.4 - L'administrateur de l'annuaire
rootdn "cn=admin,dc=koretelecoms,dc=td"
rootpw passer # en clair ou généré via la commande slappasswd

3.4.5 - Contrôle d'accès aux attributs sensibles
access to attrs=userPassword,shadowLastChange
   by dn="cn=admin,dc=koretelecoms,dc=td" write
   by anonymous auth
   by self write
   by * none

3.4.6 - Annuaire avec accès anonyme en lecture seule
access to dn.base="" by * read
access to *
   by dn="cn=admin,dc=koretelecoms,dc=td" write
   by * read

4 – Redémarrer le serveur slapd

Pour faire une action sur un service, on utilise la commande :
service {nomduservice} {actionàfaire},dans notre cas : service slapd restart

On constate que le service est bien redémarré,donc regardons le port d’écoute du service.

4.1 – Regarder si le port est a l’écoute du service

Le port d’écoute du ldap est 389. netstat -anp | grep -w 389 est la commande qui permet de savoir si le port est à l'écoute du service.

Puisque tout est configurer, donc on doit passer aux créations des fichiersformat LDIF.​​​​​​​

Merci. c'est la fin de ce tuto, nous allons revenir pour parler d'un nouveau tuto sur " comment créer des comptes unix dans un annuaire ldap ? "

N’hésiter pas à aimer, publier, commenter et abonner notre page