Avant-propos Chapitre 1 Les annuaires X.500 et le protocole LDAP

LINUX
Préparation à la certification LPIC-3 (examen LPI 300) - 2ième édition
Avant-propos
A. Introduction
18
B. Les objectifs
18
C. Contenu du livre
19
Chapitre 1 Les annuaires X.500 et le protocole LDAP
A. Généralités sur les annuaires
24
1. Définition des annuaires
2. Qu'est-ce qu’un annuaire électronique ?
3. À quoi sert un annuaire ?
4. Quelles sont les particularités des annuaires ?
B. Annuaires X.500
27
1. Le standard X.500
2. La normalisation X.500
3. Les composants d'un annuaire X.500
4. Les points forts de X.500
5. Les points faibles de X.500
C. Introduction à LDAP
27
28
29
30
30
31
1. Le protocole LDAP
a. Le protocole
b. Le standard LDAP
c. Le modèle client-serveur
2. Versions du protocole LDAP
a. LDAP V1
b. LDAP V2
c. LDAP V3
www.editions-eni.fr
24
25
25
26
31
31
32
33
34
34
34
35
© Editions ENI
1/19
LINUX
Préparation à la certification LPIC-3 (examen LPI 300) - 2ième édition
3. Les modèles LDAP
a. Le modèle d'information
b. Le modèle de nommage
c. Le modèle fonctionnel
d. Le modèle de sécurité
e. Le modèle de réplication
35
35
40
41
43
43
D. OpenLDAP et annuaires propriétaires
44
1. Le serveur OpenLDAP
2. Les annuaires propriétaires
44
45
E. Validation des acquis : questions/réponses
45
Chapitre 2 Installation et configuration d'OpenLDAP
A. Installation d'OpenLDAP à partir des sources
1. Pré-requis logiciels
2. Installation de Berkeley DB
3. Compilation et installation d'OpenLDAP
4. Erreurs de compilation et dépannage
B. Installation d'OpenLDAP à partir des binaires
1. Choix d'une distribution GNU Linux
2. Installation sous OpenSuse
a. Installation des paquetages serveurs
b. Installation des paquetages clients
c. Organisation du répertoire d'installation
C. Clients et serveurs OpenLDAP
51
52
53
54
55
55
55
56
56
56
57
1. Les utilitaires clients
2. Les utilitaires serveurs
57
57
D. Configuration du fichier slapd.conf
www.editions-eni.fr
50
58
© Editions ENI
2/19
LINUX
Préparation à la certification LPIC-3 (examen LPI 300) - 2ième édition
1. Sections du fichier de configuration slapd.conf
2. Principales directives de configuration
3. Première configuration de slapd.conf
4. Démarrage du serveur slapd
E. Fichier de configuration client LDAP (ldap.conf)
1. Directives de ldap.conf
2. Configuration d'un client LDAP
58
59
64
65
69
69
70
F. Validation des acquis : questions/réponses
70
G. Travaux pratiques
72
1. Installation de Berkeley DB
2. Installation d'OpenLDAP (sous Ubuntu 10.0.4 LTS)
3. Peuplement de l'annuaire
72
74
76
Chapitre 3 Gestion des données et exploitation de l'annuaire
A. Peuplement de l'annuaire
82
1. Le format LDIF
2. Le langage DSML
3. Ajout des entrées dans l'annuaire
4. Mise à jour des entrées de l'annuaire
5. Recherche dans l'annuaire
6. Les filtres de recherche
7. Les modules Net::LDAP et Net::LDAP::LDIF
a. Introduction au langage Perl
b. Le module Net::LDAP
c. Le module Net::LDAP::LDIF
8. Les fonctions LDAP du langage PHP
a. Introduction à PHP
b. LDAP et PHP
c. Fonctions LDAP de PHP
www.editions-eni.fr
© Editions ENI
83
84
91
95
97
100
105
105
105
107
109
109
109
110
3/19
LINUX
Préparation à la certification LPIC-3 (examen LPI 300) - 2ième édition
B. Indexation et sauvegarde des données
1. Indexation des données
2. Sauvegarde des données
115
115
117
C. Clients graphiques pour la gestion des données
1. Le navigateur LDAP de la distribution Suse Linux Entreprise
2. Le navigateur LDAP Phpldapadmin
3. Apache Directory Studio
120
121
122
123
D. Validation des acquis : questions/réponses
132
E. Travaux pratiques
134
1. Manipulation des fichiers LDIF
2. Gestion des données de l'annuaire
3. Recherches au sein de l'annuaire
4. Le module Net::LDAP
5. Apache Directory Studio
134
137
138
139
139
Chapitre 4 Annuaire pages blanches
A. Qu'est-ce qu’un service pages blanches ?
1. L'annuaire pages blanches d'entreprise
2. Que peut-on stocker dans un service pages blanches ?
B. Le schéma inetOrgPerson
142
142
143
1. Description de la classe d'objets inetOrgPerson
2. Hiérarchie de la classe d'objets inetOrgPerson
C. Mise à jour de slapd.conf
145
146
147
1. Inclusion de schémas associés aux pages blanches
2. Gestion des index
www.editions-eni.fr
142
© Editions ENI
147
148
4/19
LINUX
Préparation à la certification LPIC-3 (examen LPI 300) - 2ième édition
D. Insertion des données
148
1. Préparation d'un fichier LDIF
2. Ajout des entrées
3. Interrogation de l'annuaire
148
150
150
E. Validation des acquis : questions/réponses
152
F. Travaux pratiques
154
1. Création d’un annuaire d’entreprise
2. Attribution des comptes utilisateurs
154
156
Chapitre 5 Sécuriser l'annuaire
A. Généralités sur la sécurité informatique
160
1. Objectifs de la sécurité
2. La disponibilité
3. La confidentialité
4. L'authentification
5. L'intégrité des données
160
161
161
161
161
B. Le chiffrement SSL/TLS - StartTLS
162
1. La cryptographie
2. Les algorithmes de chiffrement
a. Le chiffrement symétrique
b. Le chiffrement asymétrique
3. Le chiffrement SSL-TLS
a. Qu'est-ce qu’un certificat numérique ?
b. Mise en place de chiffrement par SSL dans LDAP
C. Sécurité SASL
166
1. L'authentification
2. Le protocole Kerberos
www.editions-eni.fr
162
162
162
163
163
164
164
166
166
© Editions ENI
5/19
LINUX
Préparation à la certification LPIC-3 (examen LPI 300) - 2ième édition
a. Principe de fonctionnement du protocole
b. Mise en place d'un serveur Kerberos
D. OpenLDAP et Kerberos
167
168
170
1. Authentification LDAP via SASL (Kerberos)
2. Options SASL dans slapd.conf
E. Autres paramètres de sécurité
170
172
173
1. Protéger le mot de passe
2. Gestion des mots de passe
174
175
F. Les listes de contrôle d'accès (ACL)
177
G. Validation des acquis : questions/réponses
179
H. Travaux pratiques
181
1. Mise en place de LDAPS
2. Règles de contrôle d'accès (ACL)
3. Mise en place d'une infrastructure Kerberos
181
182
184
Chapitre 6 Réplication LDAP
A. Concepts de réplication LDAP
188
1. Disponibilité de l'annuaire
a. Assurer la disponibilité
b. Augmenter les performances
2. Politique de réplication
a. Stratégies de réplication
b. Types de réplication
B. Réplication basée sur slurpd
190
1. Le démon slurpd
a. Installation de slurpd
www.editions-eni.fr
188
188
188
189
189
189
190
190
© Editions ENI
6/19
LINUX
Préparation à la certification LPIC-3 (examen LPI 300) - 2ième édition
b. Étape de mise en œuvre d'une réplication slurpd
2. Configuration du serveur maître et esclave
a. Configuration du serveur maître
b. Configuration du serveur esclave
c. Les fichiers journaux de slurpd
d. Diagnostic des fichiers journaux
C. Réplication basée sur Syncrepl
193
1. Le protocole LDAP Content Synchronization Protocol
2. Modes de réplication Syncrepl
a. Le mode maître/esclave (provider/consumer)
b. Le mode miroir
3. Configuration du Syncrepl Replication
a. Configuration du mode provider/consumer
b. Configuration du provider
c. Configuration du consumer
d. Configuration du mode miroir
e. La réplication multimaître
D. Annuaires distribués
1.
2.
3.
4.
191
191
191
192
192
193
193
193
194
194
194
194
194
195
196
197
197
Distribution de l'annuaire
Pourquoi un annuaire distribué ?
Configuration des referrals
Option de recherche dans un annuaire distribué
197
198
198
199
E. Validation des acquis : questions/réponses
199
F. Travaux pratiques
201
1. Configuration d'une réplication en miroir
2. Configuration d'une réplication multimaître
3. Déploiement d'un annuaire distribué
201
203
205
Chapitre 7 Migration de NIS vers LDAP
www.editions-eni.fr
© Editions ENI
7/19
LINUX
Préparation à la certification LPIC-3 (examen LPI 300) - 2ième édition
A. Rappel sur le service NIS
210
B. Authentification NIS
210
1. Générer une base NIS des utilisateurs et groupes
2. Configurer le client NIS
C. Authentification LDAP
211
211
212
1. Introduction à PAM et NSS
a. PAM (Pluggable Authentication Module)
b. NSS (Name Service Switch)
2. Le module pam_ldap.so
3. Le module nss_ldap.so
212
212
215
216
217
D. Le schéma nis.schema
217
E. Les outils de migration PADL (Migration Tools)
220
1. Migration des comptes utilisateurs (/etc/passwd)
2. Migration des groupes (/etc/group)
F. Authentification client
221
224
226
1. Configuration de pam_ldap
2. Configuration de nss_ldap
226
226
G. Test d'authentification
227
1. La configuration de nsswitch.conf
2. Test de connexion d'un utilisateur LDAP
227
229
H. Implémentation d'une passerelle NIS-LDAP
230
1. La passerelle NIS/LDAP de PADL
2. Le démon ypldapd de PADL
a. Installation de ypldapd
b. Configuration du démon ypldapd
www.editions-eni.fr
© Editions ENI
230
231
231
231
8/19
LINUX
Préparation à la certification LPIC-3 (examen LPI 300) - 2ième édition
I. Validation des acquis : questions/réponses
232
J. Travaux pratiques
233
1. Migration des hôtes et restriction d'accès
2. Migration des groupes réseau
3. Authentification des clients Linux via LDAP
234
239
242
Chapitre 8 Intégration des applications avec LDAP
A. Intégration de SSH dans LDAP
246
1. Configuration de PAM
2. Configuration de NSS
a. Le fichier nsswitch.conf
b. La commande getent
246
247
247
248
B. Intégration de FTP dans LDAP
248
1. Le serveur FTP ProFTPD
2. Installation de ProFTPD
3. Le module mod_ldap
4. Configuration de ProFTPD
248
248
248
249
C. Intégration Apache avec LDAP
250
1. Modes d'authentification dans Apache
a. Authentification Basic
b. Authentification Digest
2. L'authentification LDAP sous Apache
a. Le module authnz_ldap
b. Configuration d'Apache dans LDAP
3. Apache et le Web SSO
a. Introduction à LemonLDAP::NG
b. Mode de fonctionnement
c. Installation
www.editions-eni.fr
© Editions ENI
250
250
251
252
252
255
256
256
257
258
9/19
LINUX
Préparation à la certification LPIC-3 (examen LPI 300) - 2ième édition
d. Configuration d'Apache
e. Configuration de l'authentification
f. Configuration de l'hôte virtuel
D. Intégration Postfix avec LDAP
258
259
259
260
1. Le serveur de messagerie Postfix
2. Postfix et LDAP
3. Configuration des clients de messagerie
a. Le client de messagerie Thunderbird
b. Le client de messagerie Outlook
E. Intégration FreeRADIUS avec LDAP
260
260
264
264
268
271
1. Le projet FreeRADIUS
2. Installation de FreeRADIUS
3. Le démon radiusd
4. Le fichier radiusd.conf
5. FreeRADIUS et LDAP
6. Paramètres du module rlm_ldap
271
272
272
273
275
275
F. Migrer les utilisateurs Samba vers LDAP
1. Rappel sur les services Samba
2. Authentification des utilisateurs Samba
3. Comptes utilisateurs dans un annuaire LDAP
G. Intégration des comptes UNIX dans Active Directory
278
278
279
279
286
1. Introduction à l'annuaire LDAP Active Directory
2. Création des objets dans Active Directory
a. Création de comptes utilisateurs
b. Création de comptes d'ordinateurs
3. Comptes UNIX dans Active Directory
286
287
287
287
288
H. Intégration d’un serveur d’impression CUPS avec LDAP
289
1. Rappel sur le serveur d'impression CUPS
2. Déclaration des imprimantes dans un annuaire LDAP
www.editions-eni.fr
© Editions ENI
289
291
10/19
LINUX
Préparation à la certification LPIC-3 (examen LPI 300) - 2ième édition
I. Intégration d’un serveur DHCP avec LDAP
1. Rappel sur DHCP
2. Paramètres de configuration du serveur DHCP
3. Configuration DHCP dans un annuaire LDAP
291
291
292
294
J. Validation des acquis : questions/réponses
297
K. Travaux pratiques
299
1. Authentification via LDAP dans Apache
2. Authentification LDAP des utilisateurs FTP
3. Intégration du serveur d'impression CUPS avec LDAP
4. Configuration d'un serveur DHCP dans un annuaire LDAP
299
301
303
306
Chapitre 9 Optimisation OpenLDAP et surveillance système
A. Optimisation de l'annuaire
312
1. Optimisation du système
a. Réglage au niveau du système d'exploitation
b. Réglage au niveau OpenLDAP
c. Remplacement de slapd.conf par cn=config
d. Description de l'arbre cn=config
e. Installation de LinID OpenLDAP Manager
f. Intégrité et cohérence des données
g. Haute disponibilité par mécanismes de réplication
h. Supervision de l'annuaire LDAP
2. Optimisation de la base de données BDB
3. La sauvegarde
B. Surveillance des ressources système
331
1. Monitoring du CPU
2. Monitoring de la mémoire
3. Monitoring de l'espace de stockage
www.editions-eni.fr
312
313
313
314
316
320
325
327
328
329
330
© Editions ENI
331
334
335
11/19
LINUX
Préparation à la certification LPIC-3 (examen LPI 300) - 2ième édition
4. Monitoring du trafic réseau
a. Monitoring par netstat
b. Monitoring par ntop
337
337
337
C. Gestion des ressources
339
D. Validation des acquis : questions/réponses
340
Chapitre 10 Samba et environnements hétérogènes
A. Quelques notions générales
344
B. Introduction à Samba
344
1. Historique
2. Le protocole SMB
a. Définition
b. Les fonctionnalités du protocole SMB
c. Une connexion élémentaire SMB
3. Versions de Samba
C. Les composants de Samba
348
1. Les démons
2. Les utilitaires
a. Quelques utilitaires de gestion de domaine
b. Quelques utilitaires de gestion d'utilisateurs
c. Utilitaire de gestion de la configuration
D. Les capacités de Samba
348
348
349
351
351
352
1. Partage de fichiers et d'imprimantes
2. Contrôleur principal de domaine PDC
3. Contrôleur secondaire de domaine BDC
4. Serveur WINS
5. Authentification des clients
www.editions-eni.fr
345
345
345
345
346
346
© Editions ENI
352
352
352
352
353
12/19
LINUX
Préparation à la certification LPIC-3 (examen LPI 300) - 2ième édition
a. La gestion des comptes
b. Les modes d'authentification
353
353
E. Validations des acquis : questions/réponses
354
Chapitre 11 Installation et configuration de Samba
A. Installation de la distribution Samba
358
1. Installation à partir du code source
2. Installation binaire
B. Configuration de Samba
358
358
359
1. Le fichier smb.conf
2. Les directives de smb.conf
a. Les directives de la section [global]
b. Les directives des sections de partages
3. Mise en place d'un serveur de fichiers
a. Gestion des utilisateurs
b. Création de partages
c. Montages des ressources
d. Impression
e. smb.conf
4. Configuration et mise en œuvre de SWAT
a. Configuration de SWAT
b. Démarrage de SWAT
5. Test et validation de la configuration
a. testparm
b. Gestion des partages : smbclient
c. Liste des ordinateurs
359
360
360
360
361
361
362
363
363
365
367
367
368
369
369
370
371
C. Validations des acquis : questions/réponses
372
D. Travaux pratiques
373
www.editions-eni.fr
© Editions ENI
13/19
LINUX
Préparation à la certification LPIC-3 (examen LPI 300) - 2ième édition
1. Mise en place du serveur de fichiers Samba 3
2. Gestion des utilisateurs et des partages
373
376
Chapitre 12 Mise en place d'un domaine Samba
A. Les domaines Windows NT
380
1. La notion de domaines Windows NT
2. Windows NT Server
3. Les services d'annuaires de Windows NT
a. Le modèle utilisé jusqu'à Windows NT 4.0
b. L'Active Directory AD
B. Les comptes d'utilisateurs et d'ordinateurs
1. Les comptes d'utilisateurs
a. Les comptes prédéfinis
b. La protection des comptes utilisateur
2. Les comptes d’ordinateurs
C. Jonction des stations Windows à Samba
1. Pré-requis des systèmes d'exploitation
2. Configuration des stations Windows
D. Samba 3 en tant que PDC
383
383
383
384
385
385
385
385
387
1. Déploiement du domaine Samba
a. Configuration
b. Les partages spécifiques
c. La gestion des comptes
2. Migration vers le PDC Samba 3
a. Préparation des serveurs
b. Importation des ressources
c. Prise de relais du serveur par Samba
E. Authentification Samba 3 / Winbind
www.editions-eni.fr
380
381
382
382
382
387
387
388
389
390
390
392
392
394
© Editions ENI
14/19
LINUX
Préparation à la certification LPIC-3 (examen LPI 300) - 2ième édition
1. Le démon winbindd
a. Définition et fonctionnalités
b. Configuration et démarrage
2. Ouverture de session sur un domaine Windows
395
395
395
397
F. Validations des acquis : questions/réponses
397
G. Travaux pratiques
399
1. Configuration de Samba en tant que PDC
399
Chapitre 13 Contrôleur de domaine Samba
A. Introduction à Samba 4
404
B. Fonctionnalités de Samba 4 / Samba AD
404
C. Installation et configuration sous CentOS 6
405
1. Installation à partir des binaires
2. Installation à partir des paquets sources
3. Le répertoire /usr/local/samba
D. Les composants de Samba 4
407
1. Le serveur DNS
a. La terminologie DNS
b. Changement du backend DNS
2. Le serveur Kerberos
a. L'authentification Kerberos
b. La terminologie Kerberos
3. Le serveur LDAP
E. Samba 4 en tant que AD
407
407
408
408
408
409
409
409
1. Initialisation du domaine ou « provisioning Samba »
2. Démarrage Samba AD
www.editions-eni.fr
405
406
406
© Editions ENI
409
410
15/19
LINUX
Préparation à la certification LPIC-3 (examen LPI 300) - 2ième édition
3. Tests de connectivité à Samba AD DC
a. Test de partages administratifs de Sysvol et Netlogon
b. Test d'authentification
4. Configuration et test du serveur DNS
a. Serveur DNS interne à Samba AD
b. Serveur de noms BIND
c. Tester les enregistrements DNS
5. Configuration et test du serveur Kerberos
a. Configuration du fichier krb5.conf
b. Test du serveur Kerberos
6. Configuration de la synchronisation NTP
a. Configuration du côté contrôleurs de domaine
b. Configuration du côté hôtes
c. Test du serveur NTP
F. Administration en ligne de commande
411
411
411
411
411
412
414
415
415
415
415
416
416
416
417
1. Gestion des utilisateurs dans Samba 4
2. Gestion des groupes dans Samba 4
3. Administration du serveur DNS avec Samba AD
G. Administration par l'outil RSAT (Remote Server Administration Tools) de Windows 7
1. Joindre un client Windows au domaine
2. L'outil Remote Server Administration Tools (RSAT)
3. Administration par RSAT
417
418
419
420
420
422
423
H. Validations des acquis : questions/réponses
425
I. Travaux pratiques
427
1. Mise en place d'un serveur Samba AD
2. Gestion des groupes et des utilisateurs en ligne de commande
3. Gestion des enregistrements DNS
427
429
432
Chapitre 14 La sécurité du système de fichiers Linux
www.editions-eni.fr
© Editions ENI
16/19
LINUX
Préparation à la certification LPIC-3 (examen LPI 300) - 2ième édition
A. Rappel sur les systèmes de fichiers
436
1. Le système de fichiers ext2
a. Le super-bloc
b. Les descripteurs de groupe
c. Les tables bitmaps de blocs et d'inodes
d. La table des inodes de groupe
e. Les répertoires
2. Le système de fichiers ext3
3. Les systèmes de fichiers ext4/btrfs
B. Les attributs des fichiers
436
437
439
439
439
440
440
441
442
1. Listes des attributs
2. Les commandes de gestion d'attributs
C. Droits sur les fichiers et les répertoires
1. Les droits d'endossement
2. Le sticky bit
3. Les commandes de gestion des droits
D. Les ACL POSIX
442
442
443
444
444
445
446
1. Présentation
2. Les commandes de gestion des ACL
E. Pré-requis d'un système de fichiers dans Samba 4
1. Permissions sur les partages
2. Ajout des permissions NTFS
446
446
447
448
449
F. Validation des acquis : questions/réponses
451
G. Travaux pratiques
453
1. Mise en place d'un système de fichiers supportant les ACL et les attributs étendus
2. Création des partages et positionnement des ACL
www.editions-eni.fr
© Editions ENI
453
454
17/19
LINUX
Préparation à la certification LPIC-3 (examen LPI 300) - 2ième édition
Chapitre 15 Dépannage de Samba
A. Sauvegarde de Samba
460
1. Techniques de sauvegarde de Samba 3
a. BackupPC
b. resync
c. Amanda
d. BOBS
2. Sauvegarde et restauration de Samba 4
a. La sauvegarde
b. La restauration
B. Journalisation
463
1. Définition
2. Les options de journalisation
a. Le fichier log
b. Les niveaux de journalisation
c. Taille maximale des fichiers
d. L’horodatage
e. L'utilisation de syslog
3. Journalisation distincte de clients ou d'utilisateurs
C. Dépannage des services liés à Samba 3
1. La configuration TCP/IP
2. Les démons du serveur Samba 3
3. Les connexions SMB
4. L'exploration
a. Tester avec smbclient
b. Utilisation de nmblookup
5. Les services de noms
a. Le serveur DNS
b. Le serveur WINS
463
463
464
464
465
465
465
466
466
466
467
468
469
469
470
471
471
472
D. Dépannage des services liés à Samba 4
www.editions-eni.fr
460
460
460
461
461
461
461
462
© Editions ENI
472
18/19
LINUX
Préparation à la certification LPIC-3 (examen LPI 300) - 2ième édition
1. Démarrage Samba AD
2. Serveur DNS
3. Serveur Kerberos
4. Installer Python 2.6.5 pour Samba
5. Vérification des ports utilisés par Samba 4
472
473
473
473
473
E. Validation des acquis : questions/réponses
474
Tableau des objectifs
477
Index
479
www.editions-eni.fr
© Editions ENI
19/19