Travaux Pratiques LDAP OpenDS

Commentaires

Transcription

Travaux Pratiques LDAP OpenDS
Travaux Pratiques LDAP
OpenDS
Janvier 2008
©Sun Microsystems, 2008
ANDRES Joachim
ANDRU Guillaume
METRICH Renaud
Travaux Pratiques LDAP ­ OpenDS
Sommaire
Exercice 1 : NameFinder : Client LDAP................................................................................................................................3
Etape 1 : Connexion à NameFinder................................................................................................................................3
Etape 2 : Rechercher des utilisateurs.............................................................................................................................3
Exercice 2 : OpenDS : Serveur LDAP..................................................................................................................................4
Etape 1 : Installer OpenDS..............................................................................................................................................4
Etape 2 : Configurer OpenDS : “Server settings”............................................................................................................4
Etape 3 : Configurer OpenDS : “Topology Options”........................................................................................................4
Etape 4 : Configurer OpenDS : “Directory Data”.............................................................................................................4
Etape 5 : Configurer OpenDS : Vérifications...................................................................................................................4
Exercice 3 : LdapSearch : Client LDAP................................................................................................................................5
Etape 1 : Exécuter la commande, afficher l'usage..........................................................................................................5
Etape 2 : Afficher toutes les entrées...............................................................................................................................5
Etape 3 : Afficher le mobile de toutes les entrées...........................................................................................................5
Etape 4 : Afficher les attributs de l'utilisateur user.1.......................................................................................................5
Etape 5 : Afficher le mobile de l'utilisateur user.1...........................................................................................................5
Etape 6 : Afficher toutes les entrées du groupe group2..................................................................................................5
Exercice 4 : Apache Directory Studio: Browser LDAP.........................................................................................................6
Etape 1 : Connexion au serveur OpenDS.......................................................................................................................6
Etape 2 : Parcourir les entrées........................................................................................................................................6
Etape 3 : Recherche........................................................................................................................................................6
Etape 4 : Modifier un attribut...........................................................................................................................................7
Etape 5 : Ajouter un utilisateur........................................................................................................................................7
Etape 6 : Vérifications avec ldapsearch..........................................................................................................................7
Exercice 5 : Thunderbird : Client LDAP...............................................................................................................................8
Etape 1 : Créer un compte mail.......................................................................................................................................8
Etape 2 : Configurer le carnet d'adresses.......................................................................................................................8
Etape 3 : Ecrire un courriel..............................................................................................................................................8
Exercice 6 : OpenDS : Control d'Accès...............................................................................................................................9
Etape 1 : Créer une nouvelle connexion sous Apache Directory Studio........................................................................9
Etape 2 : Modifier un attribut de user.0...........................................................................................................................9
Étape 3 : Autoriser user.0 a modifier le mobile de user.1.............................................................................................10
Etape 4 : Verifier les droits d'accès de user.0...............................................................................................................10
Etape 5 : Autoriser user10 à modifier toutes les entrées sous ou=people...................................................................10
Annexes..............................................................................................................................................................................11
Travaux Pratiques LDAP / OpenDS
Page 2 sur 11
Copyright © Sun Microsystems 2008
Date: Janvier 2008
Travaux Pratiques LDAP ­ OpenDS
Exercice 1 : NameFinder : Client LDAP
Pre­requis
Pour mener à bien cet exercice, le poste de travail doit être équipé d'un navigateur Web et d'un accès à Internet.
Description
Utiliser un exemple de client LDAP : Namefinder. Outil permettant de faire des recherches sur des données stockées dans un serveur LDAP.
Etape 1 : Connexion à NameFinder
1.
Démarrer le navigateur web (firefox)
2.
Aller à l'URL suivante : http://directory.umich.edu/
Etape 2 : Rechercher des utilisateurs
Introduction
Utiliser namefinder pour accéder aux données des utilisateurs enregistrés dans le serveur LDAP.
Instructions
1.
Chercher le/les utilisateur(s) ayant le nom de famille howes
2.
Chercher l'utilisateur ayant l'email : [email protected]
3.
Chercher tous les utilisateurs ayant 12345 dans leur numéro de téléphone.
Travaux Pratiques LDAP / OpenDS
Page 3 sur 11
Copyright © Sun Microsystems 2008
Date: Janvier 2008
Travaux Pratiques LDAP ­ OpenDS
Exercice 2 : OpenDS : Serveur LDAP
Pre­requis
Accès à Internet.
Outil de décompression unzip. Java (version 1.5 build 03 minimum) : http://java.sun.com
Copier le fichier data.ldif sur la machine
Description
Installer, configurer OpenDS et importer des donnees utilisateurs
Etape 1 : Installer OpenDS
1.
Telecharger la derniere version d'OpenDS disponible :
1/ Quicksetup : http://opends.org/ 2/ Version ZIP : http://builds.opends.org/weekly­builds/
2.
Pour la version zip, dézipper le fichier et lancer le setup : <INSTALL_DIR>/OpenDS­1.0.0/setup
Etape 2 : Configurer OpenDS : “Server settings”
1.
Installation Path : dans le cas du Quicksetup, choisir l'emplacement ou sera installe OpenDS.
Pour la version ZIP, OpenDS sera installe et configure a l'endroit ou le fichier ZIP a ete extrait.
2.
Saisir le nom de la machine dans le champ Host Name
3.
Saisir le port d'écoute (1389) du serveur LDAP dans le champ LDAP Listener Port
4.
Ne pas activer le port d'écoute sécurisé : LDAP Secure Access : disabled
5.
Login administrateur : Root User DN : cn=Directory Manager
6.
Mot de passe administrateur : toto123
Etape 3 : Configurer OpenDS : “Topology Options”
1.
Ne pas activer la réplication des données : This will be a standalone server
Etape 4 : Configurer OpenDS : “Directory Data”
1.
Saisir le suffix : Directory Base DN : dc=ensimag
2.
Importer automatiquement des utilisateurs : Import Data from LDIF File
Etape 5 : Configurer OpenDS : Vérifications
1.
Verifier que l'installation et la configuration se sont bien passées dans les logs (section details)
2.
Lancer le Status Panel : lien disponible sur la page
Travaux Pratiques LDAP / OpenDS
Page 4 sur 11
Copyright © Sun Microsystems 2008
Date: Janvier 2008
Travaux Pratiques LDAP ­ OpenDS
Exercice 3 : LdapSearch : Client LDAP
Pré­requis
OpenDS installé et configuré.
Description
Utiliser l'outil de recherche fourni par OpenDS pour rechercher des entrées stockées.
Etape 1 : Exécuter la commande, afficher l'usage
1.
Ouvrir une fenêtre shell (terminal) et aller dans le répertoire : <INSTALL_DIR>/OpenDS­1.0.0/bin
Ce répertoire contient tous les outils livrés avec OpenDS (outils LDAP, administration du serveur...).
2.
L'outil de recherche LDAP est le binaire Ldapsearch 3.
La commande ldapsearch –help permet d'afficher l'usage.
4.
Le wiki disponible sur le site OpenDS.org documente entre autre ces outils : https://www.opends.org/wiki
Etape 2 : Afficher toutes les entrées
./ldapsearch ­p 1389 ­D "cn=directory manager" ­w "toto123" ­b "dc=ensimag" “objectclass=*”
Etape 3 : Afficher le mobile de toutes les entrées
./ldapsearch ­p 1389 ­D "cn=directory manager" ­w "toto123" ­b "dc=ensimag" “objectclass=*” mobile
Etape 4 : Afficher les attributs de l'utilisateur user.1
./ldapsearch ­p 1389 ­D "cn=directory manager" ­w "toto123" ­b "uid=user.
1,ou=group1,ou=People,dc=ensimag" “objectclass=*”
Etape 5 : Afficher le mobile de l'utilisateur user.1
./ldapsearch ....
Etape 6 : Afficher toutes les entrées du groupe group2
./ldapsearch ....
Travaux Pratiques LDAP / OpenDS
Page 5 sur 11
Copyright © Sun Microsystems 2008
Date: Janvier 2008
Travaux Pratiques LDAP ­ OpenDS
Exercice 4 : Apache Directory Studio: Browser LDAP
Pré­requis
Apache directory studio installé : http://directory.apache.org/studio/
OpenDS installé et configuré.
Description
Utiliser Apache Directory Studio pour parcourir/chercher/modifier les entrées du serveur LDAP.
Etape 1 : Connexion au serveur OpenDS
1.
Menu file ­> new ­> LDAP Browser ­> LDAP Connection
2.
Network Parameter :
Saisir le nom de la connexion : Connection name : bind as directory manager
Saisir le nom de la machine ou OpenDS est installe : champ hostname
Saisir le port d'écoute du serveur LDAP : Port: 1389
Pas de connexion sécurisée : Incursion method: No encryption
3.
Authentication
Authentification simple : Authentication method : Simple authentication
Saisir le login : Bind DN or user : cn=directory manager
Saisi le mot de passe : Bind password : toto123
4.
Browser Options
Cliquer sur le bouton : Fetch Base Dns
L'application doit trouver le suffixe dc=ensimag
Etape 2 : Parcourir les entrées
1.
Utiliser la fenêtre LDAP Browser pour parcourir les entrées stockées dans OpenDS
2.
Lire les informations de l'utilisateur uid=user.6,ou=group1,ou=People,dc=ensimag
Etape 3 : Recherche
Rechercher les numéros de téléphone de tous les utilisateurs appartenant au groupe group1.
Menu LDAP ­> new search
Search Base : ou=group1,ou=People,dc=ensimag
Filter : (objectclass=*)
Returning attributes : telephoneNumber
Scope : subtree
Travaux Pratiques LDAP / OpenDS
Page 6 sur 11
Copyright © Sun Microsystems 2008
Date: Janvier 2008
Travaux Pratiques LDAP ­ OpenDS
Etape 4 : Modifier un attribut
Remplacer le numéro de mobile de l'utilisateur uid=user.0,ou=group1,ou=People,dc=ensimag
1.
Fenêtre LDAP Browser : parcourir les entrées et sélectionner l'utilisateur
2.
Fenêtre Entry Editor : sélectionner l'attribut mobile
3.
Bouton droit de la souris : edit value : changer le numéro de téléphone
Etape 5 : Ajouter un utilisateur
Créer un utilisateur uid=user.10 dans le group2
1.
Fenêtre LDAP Browser : parcourir les entrées et sélectionner le groupe group2
2.
Menu : LDAP ­> new entry
Entry creation method : use existing entry as template : uid=user.0,ou=group1,ou=People,dc=ensimag
Object Classes : ne rien ajouter
Distinguished Name :
Parent : ou=group2,ou=People,dc=ensimag
RDN : uid = user.10
DN Preview : uid=user.10,ou=group2,ou=People,dc=ensimag
Attributes : Ajouter homePostalAddress : grenoble
Editer l'attribut userpassword : onglet new password : user10 , Select Hash Method : Plaintext
Etape 6 : Vérifications avec ldapsearch
1.
Vérifier que le mobile de l'utilisateur user.0 a bien été modifié
2.
Vérifier que l'utilisateur user.10 est enregistré
Travaux Pratiques LDAP / OpenDS
Page 7 sur 11
Copyright © Sun Microsystems 2008
Date: Janvier 2008
Travaux Pratiques LDAP ­ OpenDS
Exercice 5 : Thunderbird : Client LDAP
Pré­requis
Serveur OpenDS installé et configuré. Thunderbird installé.
Description
Configurer le carnet d'adresses de Thunderbird pour avoir les courriels des utilisateurs enregistrés dans OpenDS.
Etape 1 : Créer un compte mail
1.
New account setup : email account
2.
Identity: Your name : opends , email adress : [email protected]
3.
Server Information : Incoming server : pop.sun.com , Outgoing Server : smtp.sun.com
4.
User Names : Incoming User name : opends , Outgoing User Name : opends
5.
Account Name : [email protected]
Etape 2 : Configurer le carnet d'adresses
1.
Menu : Edit ­> account settings ­> Composition & Addressing
Adressing : Use a different LDAP server. Edit Directories : Add
2.
General : Name : openDS Serveur Hostname : machine ou openDS est installé
Base DN : dc=ensimag
Port number : 1389
Bind DN : cn=directory manager
1.
Menu : Edit ­> account settings ­> Composition & Addressing
Adressing : Use a different LDAP server.
Sélectionner opends server dans le menu déroulant
Etape 3 : Ecrire un courriel
1.
Menu : File ­> new ­> message
2.
Menu : View ­> Contacts Sidebar : Address Book : sélectionner “opends server”
3.
Chercher un utilisateur commençant par aa
4.
Thunderbird devrait demander le mot de passe du bindDN pour se connecter au server LDAP (toto123)
Cocher la case remember password
5.
Une fois que Thunderbird a recupere la liste des utilisateurs, il devrait faire de l'autocompletion sur les noms Travaux Pratiques LDAP / OpenDS
Page 8 sur 11
Copyright © Sun Microsystems 2008
Date: Janvier 2008
Travaux Pratiques LDAP ­ OpenDS
Exercice 6 : OpenDS : Control d'Accès
Pré­requis
Serveur OpenDS installé et configuré. Apache Directory Studio.
Description
Par défaut, seul l'administrateur du serveur (cn=directory manager) peut modifier toutes les entrées du serveur.
Par défaut, un utilisateur ne peut modifier que ses informations (= ses attributs).
Le but de cet exercice est d'ajouter des règles de sécurité pour autoriser un utilisateur à effectuer des modifications sur d'autres entrées.
Documentation sur le wiki : https://opends.net/wiki//page/ACISyntax
Etape 1 : Créer une nouvelle connexion sous Apache Directory Studio
1.
Menu file ­> new ­> LDAP Browser ­> LDAP Connection
2.
Network Parameter :
Saisir le nom de la connexion : Connection name : bind as user0
Saisir le nom de la machine ou OpenDS est installé : champ hostname
Saisir le port d'écoute du serveur LDAP : Port: 1389
Pas de connexion sécurisé : Encryption method: No encryption
3.
Authentication
Authentification simple : Authentication method : Simple authentication
Saisir le login : Bind DN or user : uid=user.0,ou=group1,ou=people,dc=ensimag
Saisi le mot de passe : Bind password : user0
4.
Browser Options
Cliquer sur le bouton : Fetch Base Dns
L'application doit trouver le suffix dc=ensimag
Etape 2 : Modifier un attribut de user.0
1.
Utiliser la connexion : bind as user0
2.
Changer le code postal de l'utilisateur user.0 : postalCode : 12345
3.
Changer le code postal de l'utilisateur user.1 : postalCode : 12345
Le serveur doit retourner une erreur : Insufficient access rights
Bouton droit sur la fenêtre Entry Editor : Reload Attributes
Travaux Pratiques LDAP / OpenDS
Page 9 sur 11
Copyright © Sun Microsystems 2008
Date: Janvier 2008
Travaux Pratiques LDAP ­ OpenDS
Étape 3 : Autoriser user.0 a modifier le mobile de user.1
1.
Utiliser la connexion : bind as directory manager
2.
Fenêtre LDAP Browser : sélectionner l'entrée : ou=group1,ou=people,dc=ensimag
3.
Fenêtre Entry Editor : bouton droit : New attribute : aci
4.
Enregistrer la regle suivante (valeur de l'attribut aci) : (target="ldap:///uid=user.1,ou=group1,ou=people,dc=ensimag")(targetattr="mobile")
(version 3.0; acl "user0 full access to mobile of user1"; allow (all) userdn="ldap:///uid=user.0,ou=group1,ou=people,dc=ensimag";)
Etape 4 : Verifier les droits d'accès de user.0
1.
Utiliser la connexion : bind as user0
2.
Verifier que user.0 peut modifier ses attributs
3.
Verifier que user.0 peut modifier uniquement le mobile de user.1
4.
Verifier que user.0 ne peut pas modifier les attributs de user.
Etape 5 : Autoriser user10 à modifier toutes les entrées sous ou=people
1.
Utiliser la connexion : bind as directory manager
2.
Enregistrer la règle suivante dans l'entrée ou=people,dc=ensimag
(target="ldap:///ou=people,dc=ensimag")(targetattr="*")(version 3.0; acl "user10 full access to all people"; allow (all) \
userdn="ldap:///uid=user.10,ou=group2
,ou=people,dc=ensimag
";)
Travaux Pratiques LDAP / OpenDS
Page 10 sur 11
Copyright © Sun Microsystems 2008
Date: Janvier 2008
Travaux Pratiques LDAP ­ OpenDS
Annexes
OpenDS :
OpenDS documentation :
java : Apache Directory Studio :
Travaux Pratiques LDAP / OpenDS
http://opends.org/
http://opends.net/
https://www.opends.org/wiki
http://java.sun.com http://directory.apache.org/studio/
Page 11 sur 11
Copyright © Sun Microsystems 2008
Date: Janvier 2008

Documents pareils