Serveur Ldap - RZOMT

INSTALLATION ET CONFIGURATION DE LDAP
par
P.Muller, D.To, G.Haberer, A.Peuch, P.Saadé
Table des matières
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.1. Objectif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2. Installation et configuration de Ldap sur le serveur maı̂tre . . . . . . . . . . . . . . . . . . . . . . . . . .
2.1. Installation de Slapd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2. Configuration Initiale de Sldap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.3. Configuration terminale pour Ldap sur srvldap1 . . . . . . . . . . . . . . . . . . . . . . . . . .
2.4. Redémarrage de Sldap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3. Installation et configuration de Ldap sur le serveur esclave . . . . . . . . . . . . . . . . . . . . . . . .
3.1. Installation de Slapd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.2. Configuration Initiale de Sldap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.3. Configuration terminale pour Ldap sur srvldap2 . . . . . . . . . . . . . . . . . . . . . . . . . .
4. Manipulations finales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.1. Démarrage des serveurs dans le bon ordre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.2. Vérification du méchanisme de réplication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5. Installation de Ldapbrowser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.1. Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.2. Accès à srvldap1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Dernière mise à jour le 3 mars 2004
2
2
2
2
2
3
4
4
4
4
5
6
6
6
8
8
8
Serveur Ldap
1. Introduction
1.1. Objectif. —
Ldap est un serveur d’autentification pour des postes en réseau.
Nous allons installer deux serveurs : un premier comme maı̂tre et l’autre comme esclave, ce dernier se
mettant à jour par rapport au maı̂tre.
Tout deux pouront répondre à des demandes d’autentification.
2. Installation et configuration de Ldap sur le serveur maı̂tre
Cette installation se fait sur un poste ayant déjà Linux/Debian de base déjà installé.
Le serveur maı̂tre aura pour nom srvldap1.
2.1. Installation de Slapd. —
On va créer un répertoire dans /root pour y poser les fichiers utiles puis installer le paquet slapd (nom
du daemon de OpenLDAP) :
srvldap1:~# cd /root
srvldap1:~# mkdir REP_SLAPD
srvldap1:~# apt-get install slapd
Ceci installe les paquets slapd, libglib1.2, libgtk1.2, liggtk1.2-common, libiodbc2.
Des question pour la configuration sont alors possées.
2.2. Configuration Initiale de Sldap. —
2.2.1. Questions à l’installation. —
– OpenLDAP configuration
– ??Choose a method?? : auto
– Directory suffix style : domain or host
– Enter the domain name : martin
– Admin password : *******
– Verify password : *******
– Replicate to another LDAP server : No
A la fin de cette configuration, le daemon slapd a été lancé. De plus, le fichier de configuration /etc/ldap/slapd.conf
a été renseigné de façon très sommaire. Il est à noter que ceci a été fait par le script /var/lib/dpkg/info/slapd.postinst
que nous recommandons vivement à votre étude! Enfin, le répertoire /var/lib/ldap contient 4 fichiers
qui décrivent l’état de la base.
2.2.2. Configuration supplémentaire. —
On s’empresse d’arréter le daemon :
srvldap1:~# /etc/init.d/slapd stop
On peut maintenant copier le fichier de configuration de slapd depuis la disquette :
srvldap1:~# mount /floppy
srvldap1:~# cp /floppy/etc_ldap_slapd.conf_srvldap1_14.02.03 /etc/ldap/slapd.conf
Le contenu de ce dernier est :
include
/etc/ldap/schema/core.schema
include
/etc/ldap/schema/cosine.schema
include
/etc/ldap/schema/nis.schema
include
/etc/ldap/schema/inetorgperson.schema
schemacheck
on
pidfile
/var/run/slapd.pid
2003-2004
http://rzomt.free.fr
2/??
Serveur Ldap
argsfile
replogfile
/var/run/slapd.args
/var/lib/ldap/replog
loglevel
0
#######################################################################
# ldbm database definitions
# Pour la base du Lycee La Martiniere Monplaisir
# Par Philippe Muller
#
Davy To
#
Philippe Saade
#######################################################################
database
ldbm
suffix
"dc=martin"
directory
"/var/lib/ldap"
replica host=172.16.1.21:389 bindmethod=simple binddn="cn=replicator,dc=lan
,dc=martin" credentials=sebpowa
index objectClass eq
lastmod on
access to attribute=userPassword
by dn="cn=admin,dc=martin" write
by dn="cn=replicator,dc=lan,dc=martin" write
by anonymous auth
by self write
by * none
access to *
by dn="cn=admin,dc=martin" write
by dn="cn=replicator,dc=lan,dc=martin" write
by * read
2.3. Configuration terminale pour Ldap sur srvldap1. —
2.3.1. Outils pour ldap. —
Pour pouvoir utiliser correctement la base, il faut commencer à la remplir et créer les noeuds principaux.
Pour ce faire, il nous faut les outils du paquet ldap-utils :
srvldap1:~# apt-get install ldap-utils
2.3.2. Fichier de configuration. —
La disquette contient un fichier au format LDIF permettant une initialisation correcte de la base utile au
Lycée :
srvldap1:~# cp /floppy/REP_SLAPD_initialisation_base_srvldap1.ldif /root/REP_SLAPD/initialisation_ba
Le contenu de ce dernier est :
dn: dc=lan,dc=martin
objectclass: dcobject
dc: lan
2003-2004
http://rzomt.free.fr
3/??
Serveur Ldap
dn: cn=replicator,dc=lan,dc=martin
objectclass: person
cn: replicator
sn: replicator
userPassword: sebpowa
dn: ou=comptes,dc=lan,dc=martin
objectclass: organizationalUnit
ou: comptes
2.4. Redémarrage de Sldap. —
On redémarre alors le daemon slpad et on augmente la base des données contenu dans le fichier d’initialisation :
srvldap1:~# /etc/init.d/slapd start
srvldap1:~# ldapadd -x -D "cn=admin,dc=martin" -W -f /root/REP_SLPAD/initialisation_base_srvldap1.ldif
3. Installation et configuration de Ldap sur le serveur esclave
Cette installation se fait sur un poste ayant déjà Linux/Debian de base déjà installé.
Le serveur esclave aura pour nom srvldap2.
3.1. Installation de Slapd. —
On va créer un répertoire dans /root pour y poser les fichiers utiles puis installer le paquet slapd (nom
du daemon de OpenLDAP) :
srvdns1:~# cd /root
srvdns1:~# mkdir REP_SLAPD
srvdns1:~# apt-get install slapd
Ceci installe les paquets slapd, libglib1.2, libgtk1.2, liggtk1.2-common, libiodbc2.
Des questions pour la configuration seront alors posées.
3.2. Configuration Initiale de Sldap. —
3.2.1. Questions à l’installation. —
– OpenLDAP configuration
– ??Choose a method?? : auto
– Directory suffix style : domain or host
– Enter the domain name : martin
– Admin password : lermupowa
– Verify password : *******
– Replicate to another LDAP server : No
A la fin de cette configuration, le daemon slapd a été lancé. De plus, le fichier de configuration /etc/ldap/slapd.conf
a été renseigné de façon très sommaire. Ces informations n’ont aucune importance puisque tout va être
écrasé. Enfin, le répertoire /var/lib/ldap contient 4 fichiers qui décrivent l’état de la base.
3.2.2. Configuration supplémentaire. —
On s’empresse d’arréter le daemon :
srvdns1:~# /etc/init.d/slapd stop
On peut maintenant copier le fichier de configuration de slapd depuis la disquette :
srvdns1:~# mount /floppy
2003-2004
http://rzomt.free.fr
4/??
Serveur Ldap
srvdns1:~# cp /floppy/etc_ldap_slapd.conf_srvdns1_14.02.03
/etc/ldap/slapd.conf
Le contenu de ce dernier est :
include
include
include
include
/etc/ldap/schema/core.schema
/etc/ldap/schema/cosine.schema
/etc/ldap/schema/nis.schema
/etc/ldap/schema/inetorgperson.schema
schemacheck
on
pidfile
argsfile
replogfile
/var/run/slapd.pid
/var/run/slapd.args
/var/lib/ldap/replog
loglevel
0
referral ldap://172.16.1.11:389
#######################################################################
# ldbm database definitions
# Pour la base du Lycee La Martiniere Monplaisir
# Par Philippe Muller
#
Davy To
#
Philippe Saade
#######################################################################
database
ldbm
updatedn "cn=replicator,dc=lan,dc=martin"
updateref ldap://172.16.1.11:389
suffix
"dc=martin"
directory
"/var/lib/ldap"
index objectClass eq
lastmod on
access to attribute=userPassword
by dn="cn=admin,dc=martin" write
by dn="cn=replicator,dc=lan,dc=martin" write
by anonymous auth
by self write
by * none
access to *
by dn="cn=admin,dc=martin" write
by dn="cn=replicator,dc=lan,dc=martin" write
by * read
3.3. Configuration terminale pour Ldap sur srvldap2. —
2003-2004
http://rzomt.free.fr
5/??
Serveur Ldap
3.3.1. Récupération de la base. —
Pour pouvoir utiliser correctement le serveur esclave, il faut faire une copie des fichiers de la base qui se
trouvent sur le maı̂tre. Pour ceci, il est prudent d’arrêter le daemon slapd du serveur maı̂tre srvldap1 :
srvdns1:~# /etc/init.d/slapd stop
On peux alors copier le contenu entier du répertoire /var/lib/ldap du maı̂tre vers l’esclave :
SRVLDAP1:˜# scp [email protected]:/var/lib/ldap/* /var/lib/ldap/
3.3.2. Effacement des fichiers inutiles. —
Dans la mesure où seul le serveur maı̂tre a besoin des fichiers d’information sur la réplication, on peut
supprimer ceux-ci sur l’esclave :
SRVDNS1:~# rm /var/lib/ldap/replog*
3.3.3. Précision. —
Cette installation sur srvldap2 est faite de telle sorte que toutes les modifications sur la base doivent être
faites sur le serveur maı̂tre et non sur l’esclave. C’est pourquoi ici on n’installe pas le paquet ldap-utils.
4. Manipulations finales
4.1. Démarrage des serveurs dans le bon ordre. —
1. Démarrage de Ldap sur le serveur esclave
Au démarrage du maı̂tre les nouvelles informations sont envoyées à l’esclave, il est donc nécessaire
que ce dernier soit allumé en premier.
(Ici, aucune information nouvelle n’a été ajoutée à la base du maı̂tre puisque nous venons de finir
les deux installations)
srvdns1:~# /etc/init.d/slapd start
2. Démarrer de Ldap sur le serveur ma^
ıtre :
srvldap1:~# /etc/init.d/slapd start
4.2. Vérification du méchanisme de réplication. —
4.2.1. Sur le serveur maı̂tre. —
1. Création
On crée un fichier de création d’un utilisateur. Ce fichier aura pour nom creation_ldapuser.ldif
et son contenu sera :
dn: uid=ldapuser,ou=comptes,dc=lan,dc=martin
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
uid: ldapuser
cn: ldapuser
userPassword: {crypt}$1$fyPOYgz8$hnRVerWp2a0Z$v8CkKs.g1
shadowLastChange: 12073
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 1032
gidNumber: 100
homeDirectory: /home/commun
2003-2004
http://rzomt.free.fr
6/??
Serveur Ldap
Il suffit alors d’ajouter ces données à la base :
srvldap1:~# ldapadd -x -D "cn=admin,dc=martin" -W -f /root/REP_SLPAD/creation_gbonhomme.ldif
2. Vérification
On peut voir que la base a été augmenté d’un enregistrement par la commande :
srvldap1:~# slapcat
qui renvoie ici une section relative à l’utilisateur :
. . .
dn: uid=ldapuser,ou=comptes,dc=lan,dc=martin
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
uid: ldapuser
shadowLastChange: 12073
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 1032
gidNumber: 100
homeDirectory: /home/commun
creatorsName: cn=admin,dc=martin
createTimestamp: 20030218142943Z
userPassword:: e***************************************E=
cn: ldapuser
modifiersName: cn=admin,dc=martin
modifyTimestamp: 20030218150938Z
. . .
4.2.2. Sur le serveur esclave. —
Sur l’esclave, on lance la même commande :
srvdns1:~# slapcat
qui renvoie la section :
. . .
dn: uid=ldapuser,ou=comptes,dc=lan,dc=martin
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
uid: ldapuser
shadowLastChange: 12073
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 1032
gidNumber: 100
homeDirectory: /home/commun
creatorsName: cn=admin,dc=martin
createTimestamp: 20030218142943Z
userPassword:: e**************************************E=
2003-2004
http://rzomt.free.fr
7/??
Serveur Ldap
cn: ldapuser
modifiersName: cn=admin,dc=martin
modifyTimestamp: 20030218150938Z
. . .
5. Installation de Ldapbrowser
Il s’agit d’un utilitaire permettant de parcourir la base Ldap, d’y modifier, effacer, ajouter tout élément.
(pas besoin d’être root, le logiciel s’utilise depuis le répertoire où il a été extrait)
5.1. Installation. —
Pour télécharger LdapBrowser il faut passer par ce site :
http://www.iit.edu/~
gawojar/ldap/
1. Télécharger Browser282b2.tar.gz
2. Décompression du fichier : (en étant dans le même dossier)
tar -zxvf Browser282.tar.gz
3. Rentrez dans le répertoire ldapbrowser :
# cd ldapbrowser
4. Lancer LdapBrowser avec : ./lbe.sh
5.2. Accès à srvldap1. —
Cliquer sur l’onglet Quick Connect et remplir les champs suivant:
– Host : adresseIP srvldap1
– Port : 389
– Base DN : dc=martin
Ensuite, Cliquer sur le bouton Connect.
Dernière mise à jour le 3 mars 2004
P.Muller, D.To, G.Haberer, A.Peuch, P.Saadé
2003-2004
http://rzomt.free.fr
8/??