ANNUAIRE CPS Interface d`accès - Annuaire GIP-CPS

ANNUAIRE CPS
Interface d'accès
Statut
: Document de travail
Version
Date mise à jour
Date prise d’effet
: 2.0
: 3 mars 2006
:
Référence du document
: DIR-CPS Interface_Acces v2.0.doc
Auteur
: Marie-Christine DIATTA
Correcteurs
: Gilbert ABULAFYA
Jean-Louis BOUSSIER
Mariane CIMINO
Sébastien HERNIOTE
Willem ISPHORDING
Philippe JOURDAIN
Marc MILAN
Azad NASSOR
Pascal POITEVIN
Valideurs
: Willem ISPHORDING
Marc MILAN
Diffusion
: libre
Liste de diffusion
: GIP "CPS"
Ce document est la propriété du Groupement d'Intérêt Public CPS.
Il ne peut être reproduit sans autorisation écrite
© Groupement d’Intérêt Public “Carte de Professionnel de Santé”
Annuaire CPS – Interfaces d'accès
Version 2.0 du 03
mars 2006
HISTORIQUE DES VERSIONS ET REVISIONS
Version
1.0
2.0
Nature de la mise à jour
Création
Mise à jour
Date
11 décembre 2003
3 mars 2006
© GIP "CPS"
Référence : DIR-CPS Interface_Acces v2.0
Page 2/30
Annuaire CPS – Interfaces d'accès
Version 2.0 du 03
mars 2006
Sommaire
Glossaire :
4
Référence documentaire
5
Référence bibliographique
5
Exemples d'outils gratuits utiles
5
1. Objectif de ce document
6
2. LDAP
6
2.1. Les concepts de LDAP
2.1.1. Le protocole LDAP
2.1.2. Le modèle de données LDAP
2.1.2.1. Le Directory Information Tree
2.1.2.2 Le schéma
2.1.3 Le modèle fonctionnel
2.1.3.1. La recherche avec la commande ldapsearch
2.1.3.2. La recherche en utilisant l'outil Ldap Browser Editor 2.8.1
2.1.3.3. La recherche à partir du site web de l'annuaire du GIP-CPS
2.1.3.3.1. Recherche au niveau des pages blanches
2.1.3.3.2. Recherche au niveau des pages jaunes
2.1.3.3.3. Recherche au niveau des structures
3. Chargement des CRLs
3.1. Le canal LDAP
3.1.1. La commande ldapsearch
3.1.2. Avec LDAP Browser
3.2. Le canal HTTP
3.2.2. Chargement des CRLs de la carte 2Ter
6
7
7
8
8
12
13
16
19
20
22
23
25
25
25
26
28
29
© GIP "CPS"
Référence : DIR-CPS Interface_Acces v2.0
Page 3/30
Annuaire CPS – Interfaces d'accès
Version 2.0 du 03
mars 2006
Glossaire :
ACL : Access Control List
CPS : Carte de Professionnel de Santé
DAP : Directory Access Protocol
DIT : Directory Information Tree
DSA : Directory Service Agent
DSE : Directory Specific Entry
LDAP : Lightweight Directory Access Protocol
OSI : Open Systems Interconnection
RootDSE : Root DSA Specific Entry
SGBD : Système de Gestion de Base de Donnée
SSL : Secure Sockets Layers
SASL : Simple Authentication and Security Layer
TCP/IP : Transmission Control Protocol/Internet Protocol
© GIP "CPS"
Référence : DIR-CPS Interface_Acces v2.0
Page 4/30
Annuaire CPS – Interfaces d'accès
Version 2.0 du 03
mars 2006
Référence documentaire
[1] : Annuaire CPS : Schéma DIT – DIR-CPS Schema_DIT v3d.doc (mars 2006)
[2] : Complément technique de la charte d'accès à l'annuaire du GIP-CPS –
Compl_Tech_Charte_Acces.doc version 1.7 du 15 décembre 2005.
Référence bibliographique
• Linux LDAP services : http://www.rage.net/ldap/
• OPenLDAP.org : http://www.openldap.org/
• LDAP Version 3 standard: http://www.ietf.org/rfc/rfc2251.txt
• The LDAP Extensions Working Group of the IETF:
http://www.ietf.org/html.charters/ldapext-charter.html
Exemples d'outils gratuits utiles
• LDAP Browser Editor 2.8.1 : http://www-unix.mcs.anl.gov/~gawor/ldap/
• Base-64 Encoding : http://www.dillfrog.com/tools/base-64_encode/
© GIP "CPS"
Référence : DIR-CPS Interface_Acces v2.0
Page 5/30
Annuaire CPS – Interfaces d'accès
Version 2.0 du 03
mars 2006
1. Objectif de ce document
L'annuaire du GIP-CPS est l'annuaire des porteurs de cartes CPS et des titulaires de
certificats CPS. Cet annuaire dispose d'une interface LDAP conforme aux standards
en vigueur dans le domaine des annuaires.
Le but de ce document est de présenter les concepts de LDAP applicables à
l'annuaire CPS.
2. LDAP
LDAP est le protocole d'échange avec un annuaire sur TCP/IP. Les annuaires
permettent de partager des bases d'informations sur le réseau interne ou externe.
Ces bases peuvent contenir toute sorte d'information que ce soit des coordonnées
de personnes ou des données systèmes.
Ce document décrit de manière succincte le protocole LDAP. Il est une compilation
des différentes informations disponibles sur le Web et dont les sources sont
mentionnées dans la bibliographie en fin de document.
Un annuaire électronique est une base de donnée spécialisée, dont la fonction
première est de retourner un ou plusieurs attributs d'un objet grâce à des fonctions
de recherche multi-critères. Contrairement à un SGBD, un annuaire est très
performant en lecture mais l'est beaucoup moins en écriture. Sa fonction peut être de
servir d'entrepôt pour centraliser des informations et les rendre disponibles, via le
réseau à des applications, des systèmes d'exploitation ou des utilisateurs.
LDAP, Lightweight Directory Access Protocol, est né de la nécessité d’adaptation du
protocole DAP (protocole d'accès au service d'annuaire X500 de l'OSI) à
l'environnement TCP/IP. Initialement frontal d'accès à des annuaires X500, LDAP est
devenu en 1995, un annuaire natif (standalone LDAP) sous l'impulsion d'une équipe
de l'Université du Michigan (logiciel U-M LDAP).
LDAP fournit un protocole standardisé d'accès à de l'information. Cette information
peut être de toute nature et servir à différents types d'applications, allant d'un
système d'annuaire classique (pages blanches, pages jaunes) jusqu'aux appels
systèmes du système d'exploitation.
2.1. Les concepts de LDAP
LDAP est un protocole d'annuaire standard et extensible. Il fournit :
• un protocole d'accès permettant d'accéder à l'information contenue dans
l'annuaire.
© GIP "CPS"
Référence : DIR-CPS Interface_Acces v2.0
Page 6/30
Annuaire CPS – Interfaces d'accès
Version 2.0 du 03
mars 2006
•
un modèle d'information définissant le type de données contenues dans
l'annuaire :
o Chaque attribut du GIP-CPS est défini par un type (entier, chaîne de
caractère, …) et contient une ou plusieurs valeurs qui peuvent être
obligatoires ou non. Par exemple, l'attribut mail est défini par une
chaîne de caractères et peut être multi-valué. Voir le document [1] pour
plus d'informations.
•
un modèle de nommage définissant comment l'information est organisée et
référencée :
o Par exemple : le nom d'une entrée au GIP-CPS contient le nom des
différents nœuds de l'arbre puis l'identifiant de l'entrée : dn:
cn=0123456789+givenName=JEAN+sn=DUPONT,ou=012345678900,
l=Paris (75), o=GIP-CPS, c=fr
•
un modèle fonctionnel qui définit comment on accède à l'information :
o Par exemple, l'opération 'Search' permet d'effectuer une recherche sur
tous les porteurs de cartes CPS du département de l'Ain.
•
un modèle de sécurité qui définit comment les données et l’accès sont
protégés :
o Par l'utilisation d'une connexion authentifiée par exemple.
•
un modèle de duplication qui définit comment la base est répartie entre
serveurs :
o Les données de l'annuaire du GIP-CPS sont dupliquées sur un serveur
esclave qui ne dispose que du droit en lecture seule.
•
LDIF, un format d'échange de données :
o C'est ce format qui est utilisé lors de certaines demandes d'extraction
des données de l'annuaire pour des établissements de santé.
2.1.1. Le protocole LDAP
Le protocole définit comment s'établit la communication client-serveur. Il fournit à
l'utilisateur des commandes pour se connecter ou se déconnecter, pour rechercher,
comparer, créer, modifier ou effacer des entrées. Des mécanismes de chiffrement
(SSL ou TLS) et d'authentification (SASL), couplés à des mécanismes de règles
d'accès (ACL) permettent de protéger les transactions et l'accès aux données.
2.1.2. Le modèle de données LDAP
LDAP était à l'origine une passerelle d'accès à des annuaires X500. En 95,
l'Université du Michigan créa le premier serveur LDAP autonome (standalone LDAP)
utilisant sa propre base de données au format de type DBM. Les serveurs LDAP sont
conçus pour stocker une grande quantité de données mais de faible volume et pour
accéder en lecture très rapidement à celles-ci grâce au modèle hiérarchique.
© GIP "CPS"
Référence : DIR-CPS Interface_Acces v2.0
Page 7/30
Annuaire CPS – Interfaces d'accès
Version 2.0 du 03
mars 2006
2.1.2.1. Le Directory Information Tree
Les données LDAP sont structurées dans une arborescence hiérarchique que l'on
peut comparer au système de fichier Unix par exemple. Chaque noeud de l'arbre
correspond à une entrée de l'annuaire (ou directory service entry : DSE). Au sommet
de cet arbre, appelé Directory Information Tree (DIT), se trouve la racine ou le
suffixe.
Ce modèle est en fait repris de X500, mais contrairement à ce dernier, il est conçu
pour rendre un service d'annuaire mondial, par exemple 'C=FR' pour la France.
Les entrées correspondent à des objets abstraits ou issus du monde réel, comme
une personne, une imprimante, ou des paramètres de configuration. Elles
contiennent un certain nombre de champs appelés attributs dans lesquels sont
stockées des valeurs. Chaque serveur possède une entrée spéciale, appelée root
directory specific entry (rootDSE) qui contient la description de l'arbre et de son
contenu.
Figure 1 : Exemple de DIT
2.1.2.2 Le schéma
L'ensemble des définitions relatives aux objets qu’un serveur LDAP est capable de
gérer s'appelle le schéma. Le schéma décrit les classes d'objets, leurs types
d'attributs et leur syntaxe.
2.1.2.2.1. Les attributs
Une entrée de l'annuaire contient une suite de couples types d'attributs - valeurs
d'attributs. Les attributs sont caractérisés par :
• Le nom qui l'identifie,
• L’Object Identifier (OID) valeur qui l'identifie également,
• La valeur mono ou multi-valuée,
• La syntaxe et les règles de comparaison,
© GIP "CPS"
Référence : DIR-CPS Interface_Acces v2.0
Page 8/30
Annuaire CPS – Interfaces d'accès
•
•
Version 2.0 du 03
mars 2006
L’indicateur d'usage,
Le format ou une limite de taille de valeur qui leurs sont associés.
Les attributs décrivent généralement des caractéristiques de l'objet (tableau 1). Ce
sont des attributs dits normaux qui sont accessibles aux utilisateurs (ex : attribut
givenname, qui définit le prénom). Certains attributs sont dits opérationnels car ils ne
servent qu'aux serveurs pour administrer les données (ex : attribut modifytimestamp,
qui permet de définir la date de la dernière modification).
Certains serveurs LDAP respectent les standards X500 de hiérarchisation des
attributs, qui permettent de décrire un attribut comme étant un sous-type d'un attribut
super-type et d'hériter ainsi de ses caractéristiques. Par exemple, les attributs cn, sn
et givenname sont des sous-types de l'attribut name (super-type). Les attributs
super-types peuvent être utilisés comme critère de recherche générique qui porte sur
tous leurs sous-attributs.
2.1.2.2.2. Les classes d'objets
Les classes d'objets modélisent des objets réels ou abstraits en les caractérisant par
une liste d'attributs optionnels ou obligatoires. Une classe d'objet est définie par :
• Le nom qui l'identifie,
• L’OID, valeur qui l'identifie également,
• Les attributs obligatoires,
• Les attributs optionnels,
• Le type (structurel, auxiliaire ou abstrait).
Le type d'une classe est lié à la nature des attributs qu'elle utilise.
•
Une classe structurelle correspond à la description d'objets basiques de
l'annuaire : les personnes, les groupes, les unités organisationnelles, etc. Une
entrée appartient toujours, au moins, à une classe d'objet structurelle.
•
Une classe auxiliaire désigne des objets qui permettent de rajouter des
informations complémentaires à des objets structurels. Par exemple l'objet
mailRecipient rajoute les attributs concernant la messagerie électronique
d'une personne. L'objet labeledURIObject fait de même concernant les
informations Web.
•
Une classe abstraite désigne des objets basiques de LDAP comme les
objets top ou alias.
Les classes d'objets forment une hiérarchie, au sommet de laquelle se trouve l'objet
top. Chaque objet hérite des propriétés (attributs) de l'objet dont il est le fils. On peut
donc enrichir un objet en créant un objet fils qui lui rajoute des attributs
supplémentaires. On précise la classe d'objet d'une entrée à l'aide de l'attribut
objectClass. Il faut obligatoirement indiquer la parenté de la classe d'objet en partant
de l'objet top et en passant par chaque ancêtre de l'objet.
© GIP "CPS"
Référence : DIR-CPS Interface_Acces v2.0
Page 9/30
Annuaire CPS – Interfaces d'accès
Version 2.0 du 03
mars 2006
Par exemple, l'objet inetOrgPerson a la filiation suivante :
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
L'objet person a comme attributs : commonName, surname, description, seeAlso,
telephoneNumber, userPassword. L'objet fils organizationalPerson ajoute des
attributs comme : organizationUnitName, title, postalAddress, etc. L'objet petit-fils
inetOrgPerson lui rajoute des attributs comme : mail, labeledURI, uid (userID), photo,
etc.
Une entrée peut appartenir à un nombre non limité de classes d'objets. Les attributs
obligatoires sont dans ce cas la réunion des attributs obligatoires de chaque classe.
Le tableau ci-dessous présente des exemples de classes d'objets standard et de
classes d'objets crées par le GIP-CPS ainsi que les attributs obligatoires et les
attributs optionnels correspondants.
Exemples de classes d'objets standards
Type d'entrée
Attributs obligatoires
Attributs optionnels
postalAddress
postalCode
OrganizationalUnit
OU
telephoneNumber
FacsimileTelephoneNumber
telephoneNumber
postalAddress
Organization
postalCode
O
(définit les entrées d'une organisation)
businessCategory
facsimileTelephoneNumber
Exemples de classes d'objets crées par le GIP-CPS
Type d'entrée
Attributs obligatoires
Attributs optionnels
mail
attribComp
civilite
personalTitle
orientPart
cn
sitProf
cpsPersonne
sn
Specialisation
serialNumber
specialite
givenName
tablPharm
typeCarte
formeJuridique
raisonSociale
l
businessCategory
st
cpsStructure
postalAddress
OU
postOfficeBox
postalCode
telephoneNumber
Tableau 1 : exemple de classes d’objets
© GIP "CPS"
Référence : DIR-CPS Interface_Acces v2.0
Page 10/30
Annuaire CPS – Interfaces d'accès
Version 2.0 du 03
mars 2006
2.1.2.2.3. Les OIDs
Les objets et leurs attributs sont normalisés par le RFC2256 afin d’assurer
l'interopérabilité entre les logiciels. Ils sont issus du schéma de X500, plus des ajouts
du standard LDAP ou d'autres consortiums industriels. Ils sont tous référencés par
un ‘object identifier’ (OID) unique dont la liste est tenue à jour par l’IANA (Internet
Assigned Numbers Authority). Il est possible de modifier le schéma en rajoutant des
attributs à un objet (déconseillé) ou en créant un nouvel objet (conseillé) et d'obtenir
un OID pour cet objet auprès de l'IANA (fortement conseillé).
Un OID est une séquence de nombres entiers séparés par des points. Les OID sont
alloués de manière hiérarchique de telle manière que seule l'autorité qui a délégation
sur la hiérarchie "1.2.3" peut définir la signification de l'objet "1.2.3.4".
Exemples d'OID :
OID
2.5
2.5.4
2.5.6
1.3.6.1
1.3.6.1.4.14203
1.2.250.1.71
Description
Référence au service X500
Définition des types d'attributs
Définition des classes d'objets
OID Internet
OID OpenLDAP
OID du GIP-CPS
Tableau 2 : Exemples d'OID
2.1.2.2.4. La définition du schéma
Il existe plusieurs formats pour décrire un schéma LDAP :
• slapd.conf : fichier de configuration,
• ASN.1 : utilisé dans les documents décrivant les standards LDAP et X500.
• LDAPv3 : la version 3 du protocole LDAP introduit l'obligation pour un serveur
de publier son schéma via LDAP, afin de permettre aux applications clientes
d'en connaître le contenu. Le schéma est localisé par l'attribut opérationnel
subschemaSubentry de l'entrée rootDSE. La valeur de cet attribut est une liste
de DNs (Distinguished Name) qui pointent vers des entrées, dont la classe
d'objet est subschema, dans lesquelles sont stockées les descriptions des
objets et des attributs.
Quand une entrée est créée, le serveur vérifie si sa syntaxe est conforme à sa classe
ou ses classes d'appartenances : c'est le processus de Schema Checking.
2.1.2.2.5. Le Distinguished Name
Chaque entrée est référencée de manière unique dans le DIT par son Distinguished
Name (DN). Le DN représente le nom de l'entrée sous la forme du chemin d'accès
depuis le sommet de l'arbre. On peut comparer le DN au path d'un fichier Unix par
exemple.
© GIP "CPS"
Référence : DIR-CPS Interface_Acces v2.0
Page 11/30
Annuaire CPS – Interfaces d'accès
Version 2.0 du 03
mars 2006
L'exemple ci-dessous présente de DN :
dn: cn=0123456789+givenName=JEAN+sn=DUPONT,ou=012345678900, l=Paris
(75), o=GIP-CPS, c=fr
Le DN représente le chemin absolu d'accès à l'entrée. Comme pour le système de
fichier Unix, par exemple, on peut utiliser un Relative Distinguished Name (RDN)
pour désigner l'entrée depuis une position déterminée de l'arbre.
2.1.2.2.6. Le format LDIF
LDAP Data Interchange Format (LDIF) permet de représenter les données LDAP
sous format texte standardisé. Il est utilisé pour afficher ou modifier les données de
la base.
LDIF est utilisé dans deux optiques :
• faire des imports/exports de la base,
• faire des modifications sur des entrées.
Une entrée de type personne se représente de la manière suivante :
dn: cn=0123456789+givenName=JEAN+sn=DUPONT,ou=012345678900,
l= Paris (75), o=GIP-CPS, c=fr
givenName: JEAN
serialNumber: 2000123456
sn: DUPONT
ou: 012345678900
l: Paris (75)
modeExercice: Liberal, exploitant ou commerçant
postalCode: 75009
cn: 0184004802
st: PARIS
LDAP utilise le jeu de caractères Unicode Transformation Format- 8 (UTF-8) pour le
stockage des valeurs d'attributs de type texte et celui des DNs. UTF-8 englobant tous
les jeux de caractères (isoLatin, Shift- JLS...), on peut employer différentes langues
pour les valeurs d'attribut grâce à l'option language code de l'attribut (extension
proposée par l'IETF).
2.1.3 Le modèle fonctionnel
Les opérations de base sont résumées dans le tableau ci-dessous. Elles permettent
d'accéder au serveur ou de modifier la structure de l'arbre et/ou les entrées de
l'annuaire.
© GIP "CPS"
Référence : DIR-CPS Interface_Acces v2.0
Page 12/30
Annuaire CPS – Interfaces d'accès
Opération
Search
Compare
Add
Modify
Delete
Rename
Bind
Unbind
Abandon
Version 2.0 du 03
mars 2006
Type d'action
Recherche
Comparaison
Description
permet d'effectuer une recherche d'attributs dans l'annuaire à partir de critères
permet d'effectuer une comparaison du contenu de deux attributs
permet d'ajouter une entrée
permet de modifier le contenu d'une entrée
Mise à jour
permet de supprimer un attribut
permet de modifier le DN d'une entrée
permet effectuer une connexion au serveur
Authentification &
permet de se déconnecter du serveur
contrôle
permet d'abandonner une opération en cours
Tableau 3 : les neuf opérations de base
Remarque : l'opération extented permet de rajouter une opération en plus des
opérations de base.
L’opération ‘search’ est la seule opération qui puisse être faite sur l’annuaire du GIPCPS depuis l'internet pour la consultation des entrées (pages blanches, pages
jaunes). Les autres opérations ne seront pas utilisées et donc pas présentées dans
ce document.
2.1.3.1. La recherche avec la commande ldapsearch
La commande ldapsearch est fournie en standard dans OpenLDAP.
ldapsearch –h hostname –p port – s scope –b baseDN filter [attributes]
•
•
•
•
•
•
hostname : correspond au nom de la machine sur laquelle pointe l'annuaire.
Le hostname de l'annuaire du GIP-CPS est 'annuaire.gip-cps.fr'.
port : correspond au numéro de port pour accéder à l'annuaire. Le port pour
accéder à l'annuaire du GIP-CPS est le port 389 (standard).
scope : correspond à la profondeur de recherche dans l'annuaire.
baseDN : correspond à l'endroit de l'arbre où va commencer la recherche.
attributes : correspond à la liste des attributs que l'on souhaite consulter.
filter : correspond aux filtres qui peuvent être mise en place lors d'une
recherche.
Revenons plus en détail sur les points énoncés ci-dessus.
• La baseDN
Cette information permet de préciser l'endroit de l'arbre où doit commencer la
recherche.
• Les attributs
Les attributs utilisables dans l'annuaire du GIP-CPS sont présentés dans le
document [1].
© GIP "CPS"
Référence : DIR-CPS Interface_Acces v2.0
Page 13/30
Annuaire CPS – Interfaces d'accès
Version 2.0 du 03
mars 2006
Nous avons par exemple l'attribut personaltitle qui permet de définir la profession du
personnel de santé ou encore l'attribut type de carte qui permet de connaître le type
de carte du professionnel de santé.
• Le scope
Le scope définit la profondeur de la recherche dans le DIT. Le schéma ci-dessous
présente les différentes portées d'une recherche en fonction de la base de recherche
définie.
Figure 2 : les différents scopes lors d'une recherche
Le scope peut être donc "base", "one" ou "sub" selon le résultat souhaité.
• Le filtre
Le filtre de recherche s'exprime suivant une syntaxe spécifique dont la forme
générale est :
(< operateur>(< operation de recherche>)(< operation de recherche>)...)
Ce filtre décrit une ou plusieurs conditions exprimées sous forme d'expressions
régulières sensées désigner un ou plusieurs objets de l'annuaire, sur lesquels on
souhaite appliquer l'opération voulue.
Le tableau ci-dessous récapitule les opérateurs de recherche disponibles.
© GIP "CPS"
Référence : DIR-CPS Interface_Acces v2.0
Page 14/30
Annuaire CPS – Interfaces d'accès
Filtre
Approximation
~
Egalite
=
Comparaison
>, >=,< , <=
Présence
*
ET
&
OU
|
Négation
!
Syntaxe
(sn~=Martin)
(sn=Martin)
(sn>Martin)
(sn=*)
(&(sn=Martin)(ou=pharmacien))
(|(ou=pharmacien)(ou=pharmacien en formation)
(!(typeCarte=CPS)
Version 2.0 du 03
mars 2006
Interprétation
correspond à une recherche dont le nom à une orthographe voisine de
Martin
correspond à une recherche dont le nom à une orthographe exactement
égale à Martin
correspond à une recherche où les noms sont situés alphabétiquement
après Martin
correspond à une recherche de toutes les entrées qui possèdent un
attribut sn
correspond à une recherche de toutes les entrées dont le nom est Martin
et la profession pharmacien
correspond à une recherche de toutes les entrées dont la profession est
soit pharmacien, soit pharmacien en formation
correspond à une recherche de toutes les entrées qui ne possèdent pas
de carte CPS
Tableau 4 : les opérateurs de recherche
Valeurs usuelles pour l'annuaire du GIP-CPS :
• adresse : "annuaire.gip-cps.fr"
• port ldap : "389" (port standard)
• port ldap sécurisé : "636" (port sécurisé standard)
• baseDN : "o=gip-cps, c=fr"
Exemple : prenons l'exemple de la recherche de tous les établissements de santé
dans le département de la Creuse. La requête ldapsearch est la suivante :
ldapsearch –h annuaire.gip-cps.fr –p 389 –s sub –b "l=Creuse (23), o=gip-cps, c=fr"
"(objectclass=cpsStructure)" > structure_Creuse.ldif
Remarque :
A la fin de l'exécution de cette requête le message suivant est apparu :
'ldap_search: Sizelimit exceeded'. Ce message est dû au fait que la requête a été
lancée en utilisant le profil PO (authentification anonyme et dans ce cas le nombre
de réponse à une requête est limité à 10). Pour plus d'informations concernant les
profils se reporter au document [2] qui décrit les différents profils de connexion et les
droits associés correspondants.
© GIP "CPS"
Référence : DIR-CPS Interface_Acces v2.0
Page 15/30
Annuaire CPS – Interfaces d'accès
Version 2.0 du 03
mars 2006
2.1.3.2. La recherche en utilisant l'outil Ldap Browser Editor 2.8.1
A titre d'exemple, nous allons rechercher toutes les personnes titulaires d'une carte
CPS à partir du nœud GIP-CPS et afficher un certain nombre d'attributs : cn, nom,
prénom, profession et code postal.
• Pour rechercher des personnes, nous allons préciser au niveau du champ
"Filter" la valeur : objectclass=cpsPersonne
• Les éléments que l'on souhaite afficher doivent être précisés au niveau du
champ "Attribute"
Sélectionner le scope dans lequel la recherche va se porter.
Cliquer sur le bouton "search".
La fenêtre suivante apparaît :
Le résultat de la requête est de la forme suivante :
© GIP "CPS"
Référence : DIR-CPS Interface_Acces v2.0
Page 16/30
Annuaire CPS – Interfaces d'accès
Version 2.0 du 03
mars 2006
Remarque :
Le nombre de réponses est limité à 10 car le profil utilisé est le profil P0. Ce profil
correspond à une authentification anonyme. Pour plus d'informations concernant les
profils se reporter au document [2] qui décrit les différents profils de connexion et les
droits associés correspondants.
Pour sauvegarder le résultat de la requête, il faut cliquer sur le bouton
La fenêtre suivante apparaît :
Dans le champ "LDIF file" préciser le nom du fichier résultat suivi de l'extension '.ldif'
puis cliquer sur le bouton
sauvegardé.
afin de préciser l'endroit où le fichier résultat doit être
Cliquer sur le bouton
pour exporter les données.
© GIP "CPS"
Référence : DIR-CPS Interface_Acces v2.0
Page 17/30
Annuaire CPS – Interfaces d'accès
Version 2.0 du 03
mars 2006
Lorsque l'export est terminé la fenêtre suivante apparaît :
Le contenu du fichier est dans ce cas du type :
dn: cn=0398765432+givenName=JEAN+sn=DUPONT,ou=Orthoptiste, o=GIP-CPS, c=fr
givenName: JEAN
sn: DUPONT
personalTitle: Orthoptiste
cn: 0398765432
dn: cn=0723456789+givenName=SOPHIE+sn=MARTIN,ou=Orthoptiste, o=GIP-CPS,
c=fr
givenName: SOPHIE
sn: MARTIN
personalTitle: Orthoptiste
cn: 0723456789
Remarque :
Il est possible que l'export du résultat d'une requête donne le résultat suivant :
dn::
Y249MDQyMjYwMDE2MytnaXZlbk5hbWU9UEhJTElQUEUrc249U0FNVUVMLG91PUF1ZGlvLVBy
b3Row6lzaXN0ZSwgbz1HSVAtQ1BTLCBjPWZy
givenName: PHILIPPE
sn: DURAND
personalTitle:: QXVkaW8tUHJvdGjDqXNpc3Rl
cn: 0422334455
Il faut savoir que les fichiers exportés au format 'ldif' respectent la norme LDIF. Pour
certains attributs, dont la valeur comporte des caractères étendus comme des
accents, le codage se fait en base 64.
Pour pouvoir décoder ces attributs, il suffit d'utiliser un outil tel que 'Base-64
Encoding' par exemple. L'utilisation d'un tel outil va permettre de pouvoir obtenir le
résultat suivant, beaucoup plus exploitable :
© GIP "CPS"
Référence : DIR-CPS Interface_Acces v2.0
Page 18/30
Annuaire CPS – Interfaces d'accès
Version 2.0 du 03
mars 2006
dn: cn=0422334455+givenName=PHILIPPE+sn=DURAND,ou=Audio-Prothésiste, o=GIPCPS, c=fr
givenName: PHILIPPE
sn: DURAND
personalTitle: Audio-Prothésiste
cn: 0422600163
2.1.3.3. La recherche à partir du site web de l'annuaire du GIP-CPS
A partir de ce site (http://annuaire.gip-cps.fr/), il est possible de faire les opérations
de consultation suivantes :
• pages blanches,
• pages jaunes,
• structure,
• CRL.
© GIP "CPS"
Référence : DIR-CPS Interface_Acces v2.0
Page 19/30
Annuaire CPS – Interfaces d'accès
Version 2.0 du 03
mars 2006
2.1.3.3.1. Recherche au niveau des pages blanches
Une recherche au niveau des pages blanches va permettre de rechercher des
informations concernant une personne dans un département donné (les champs
'Département' et 'Nom' étant obligatoires).
Il est possible d'affiner la requête en précisant le secteur d'activité et la profession.
Selon la profession sélectionnée, il est de nouveau possible d'affiner la requête en
précisant la spécialité et les orientations particulières.
Exemple de requête : consultation de toutes les personnes dont le nom commence
par 'Dur' dans le département de l'Ain.
© GIP "CPS"
Référence : DIR-CPS Interface_Acces v2.0
Page 20/30
Annuaire CPS – Interfaces d'accès
Version 2.0 du 03
mars 2006
Le résultat de la requête est le suivant :
© GIP "CPS"
Référence : DIR-CPS Interface_Acces v2.0
Page 21/30
Annuaire CPS – Interfaces d'accès
Version 2.0 du 03
mars 2006
Remarque :
Le nombre de réponses est limité à 10 car le profil utilisé est le profil P0. Ce profil
correspond à une authentification anonyme. Pour plus d'informations concernant les
profils se reporter au document [2] qui décrit les différents profils de connexion et les
droits associés correspondants.
2.1.3.3.2. Recherche au niveau des pages jaunes
Une recherche au niveau des pages jaunes va permettre de rechercher des
informations concernant une profession dans un département donné (les champs
'Département' et 'Profession' étant obligatoires).
Il est possible d'affiner la requête en précisant la spécialité et le secteur d'activité.
Selon la spécialité sélectionnée, il est de nouveau possible d'affiner la requête en
précisant les orientations particulières et les attributions complémentaires de la
profession recherchée.
Exemple de requête : consultation de tous les médecins dont la spécialité est la
'Médecine générale (polyvalente en milieu hospitalier)' et l'orientation particulière est
'homéopathie' dans le département de l'Ain.
© GIP "CPS"
Référence : DIR-CPS Interface_Acces v2.0
Page 22/30
Annuaire CPS – Interfaces d'accès
Version 2.0 du 03
mars 2006
Le résultat de la requête est le suivant :
Remarque :
Le nombre de réponses est limité à 10 car le profil utilisé est le profil P0. Ce profil
correspond à une authentification anonyme. Pour plus d'informations concernant les
profils se reporter au document [2] qui décrit les différents profils de connexion et les
droits associés correspondants.
2.1.3.3.3. Recherche au niveau des structures
Une recherche au niveau des structures va permettre de rechercher des informations
concernant les structures pour un département donné (le champ 'Département' étant
obligatoire).
Il est possible d'affiner la requête en précisant le secteur d'activité de la structure
recherchée.
Exemple de requête : consultation dans le département de l'Ain de toutes les
structures dont le secteur d'activité correspond aux 'Cabinets individuels'.
© GIP "CPS"
Référence : DIR-CPS Interface_Acces v2.0
Page 23/30
Annuaire CPS – Interfaces d'accès
Version 2.0 du 03
mars 2006
Le résultat de la requête est le suivant :
© GIP "CPS"
Référence : DIR-CPS Interface_Acces v2.0
Page 24/30
Annuaire CPS – Interfaces d'accès
Version 2.0 du 03
mars 2006
Remarque :
Le nombre de réponses est limité à 10 car le profil utilisé est le profil P0. Ce profil
correspond à une authentification anonyme. Pour plus d'informations concernant les
profils se reporter au document [2] qui décrit les différents profils de connexion et les
droits associés correspondants.
3. Chargement des CRLs
La mise à jour des CRLs se fait tous les jours ouvrés. Chaque CRL contient sa date
d'effet ainsi que la date et l'heure prévisionnelle de publication de la CRL suivante.
La période de validité des d'une CRL est de 2 jours ouvrés.
Il existe deux canaux pour récupérer les CRLs du GIP-CPS :
• Le canal HTTP avec le site nominal dont l'URL est 'annuaire.gip-cps.fr/crl/'
• Le canal LDAP au travers d'un client LDAP en utilisant le hostname
'annuaire.gip-cps.fr' et le port '389'.
Nous allons présenter chacun des canaux ci-dessous.
3.1. Le canal LDAP
•
3.1.1. La commande ldapsearch
Chargement de la CRL de classe 1 de la CPS2bis.
ldapsearch -h annuaire.gip-cps.fr -p 389 -1 -s sub -b "ou=ac-classe-1, o=gip-cps,
c=fr" "(objectclass=pkiCA)" certificateRevocationList;binary > crl-2bis-classe-1.ldif
Pour charger les autres CRLs de la CPS2bis, il suffit de modifier le nom de l'unité
organisationnelle "ou=ac-classe-1" par la classe que l'on souhaite charger.
•
Chargement de la CRL de classe 1 de la CPS2ter.
ldapsearch -h annuaire.gip-cps.fr -p 389 -1 -s sub -b "cn=gip-cps classe-1, ou=gipcps professionnel, o=gip-cps, c=fr" "(objectclass=CPS-2ter-AC)"
certificateRevocationList;binary > crl-2ter-classe-1.ldif
La classe 1 de la CPS2ter se trouve sous l'unité organisationnelle "gip-cps
professionnel".
© GIP "CPS"
Référence : DIR-CPS Interface_Acces v2.0
Page 25/30
Annuaire CPS – Interfaces d'accès
Version 2.0 du 03
mars 2006
3.1.2. Avec LDAP Browser
• Prenons l'exemple de chargement de la CRL de classe 1 de la CPS2bis.
Cliquer sur le bouton
puis préciser le nom du fichier qui contiendra la CRL
de classe 1 et définir l'endroit ou ce fichier doit être sauvegardé en cliquant sur le
bouton
.
© GIP "CPS"
Référence : DIR-CPS Interface_Acces v2.0
Page 26/30
Annuaire CPS – Interfaces d'accès
•
Version 2.0 du 03
mars 2006
Prenons l'exemple du chargement de la CRL de classe 2 de la CPS2ter.
Cliquer sur le bouton
puis préciser le nom du fichier qui contiendra la CRL
de classe 1 et définir l'endroit ou ce fichier doit être sauvegardé en cliquant sur le
bouton
.
© GIP "CPS"
Référence : DIR-CPS Interface_Acces v2.0
Page 27/30
Annuaire CPS – Interfaces d'accès
Version 2.0 du 03
mars 2006
3.2. Le canal HTTP
Le chargement des CRLs se fait à partir du site nominal http://annuaire.gip-cps.fr/crl/.
Ce site permet de charger toutes les CRLs du GIP-CPS des cartes CPS2bis et 2Ter,
les certificats serveur et les certificats de confidentialité.
Prenons l'exemple du chargement de la CRL de classe 1 : AC-CLASSE-1.crl. Cliquer
sur le bouton 'Téléchargement'. La fenêtre suivante apparaît :
Cliquer sur 'Enregistrer' et sélectionner le répertoire destination souhaité :
© GIP "CPS"
Référence : DIR-CPS Interface_Acces v2.0
Page 28/30
Annuaire CPS – Interfaces d'accès
Version 2.0 du 03
mars 2006
Cliquer sur 'Enregistrer' pour enregistrer le fichier.
3.2.2. Chargement des CRLs de la carte 2Ter
Prenons l'exemple du chargement de la CRL de classe 1 : GIP-CPS CLASSE-1.crl.
Cliquer sur le bouton 'Téléchargement'. La fenêtre suivante apparaît :
Cliquer sur 'Enregistrer' et sélectionner le répertoire destination souhaité :
© GIP "CPS"
Référence : DIR-CPS Interface_Acces v2.0
Page 29/30
Annuaire CPS – Interfaces d'accès
Version 2.0 du 03
mars 2006
Cliquer sur 'Enregistrer' pour enregistrer le fichier.
© GIP "CPS"
Référence : DIR-CPS Interface_Acces v2.0
Page 30/30