Christophe : /* Rajouter des entrées dans la base */

2012-06-10T08:01:21Z

Rajouter des entrées dans la base

← Version précédente		Version du 10 juin 2012 à 08:01
Ligne 240 :		Ligne 240 :
	homePostalAddress:: MTMgYXYgU3TDqXBoYW5lIE1hbGxhcm3DqSA3NTAxNyBQYXJpcw==		homePostalAddress:: MTMgYXYgU3TDqXBoYW5lIE1hbGxhcm3DqSA3NTAxNyBQYXJpcw==
	homePhone: 01 40 71 93 22		homePhone: 01 40 71 93 22
	mail: ~~christophe~~@livois.com		mail: chris@livois.com
	</licode>		</licode>
	<blockquote>Lorsqu'un champ contient des accents, il doit être encodé en base64 et indiqué comme tel par les "::". Le homePostalAddress est un exemple ici.</blockquote>		<blockquote>Lorsqu'un champ contient des accents, il doit être encodé en base64 et indiqué comme tel par les "::". Le homePostalAddress est un exemple ici.</blockquote>

Christophe : 1 version

2012-05-28T20:31:42Z

1 version

Nouvelle page

[[Category:Applications]]

<blockquote>
'''Objet du document :''' Installation et configuration d’une authentification LDAP sous Linux pour les applications suivantes:
* login / ssh (pam)
* postfix
* courier
* apache
* samba
* proftpd
</blockquote>

L'administration et l'accès à l'annuaire est aussi abordé.

=Authentification LDAP=
http://www.openldap.org/doc/admin22/quickstart.html

http://www.topology.org/linux/ldap.html

LDAP = Lightweight Directory Access Protocol.
C'est un standard d'annuaire couramment utilisé comme base de comptes utilisateurs.

Elle constituée d'entrées qui sont une liste d'attributs avec un unique DN (Distinguished Name).

Openldap est constitué de :
* slapd le service d'annuaire LDAP
* slurpd un service de réplication

Chaque compte est constitué d'un ou plusieurs objets (classObjects) définis dans les schémas(<tt>/etc/openldap/schema</tt>).
A chaque objet correspondent des champs.

Ex: l'objet posixAccount permet de définir les comptes utilisateurs Unix. On y trouve, entre autre, les champs suivants:
* cn (obligatoire)
* uid (obligatoire)
* uidNumber (obligatoire)
* gidNumber (obligatoire)
* userPassword
* homeDirectory (obligatoire)
* loginShell

Tous les objets contiennent un champ <tt>cn</tt> (<tt>common name</tt>) obligatoire et unique qui permet de retrouver l'objet.

==/etc/openldap/slapd.conf==
Il se compose de 3 sections :
* global
* backend specific(non utilisé dans notre configuration)
* database specific

Cf annexe

<pre>
#chown ldap /var/lib/openldap-data
#chmod 700 /var/lib/openldap-data
</pre>

==Authentification système (pam)==
http://www.metaconsultancy.com/whitepapers/ldap.htm

http://www.idealx.org/prj/samba/smbldap-howto.fr.html

http://people.debian.org/~torsten/ldapnss.html

Notre base LDAP est du type:
* sambaDomain
Users
Groups
Computers
===Création de comptes===
Les outils smbldap permettent de créer des comptes facilement.

Editer <tt>smbldap.conf</tt> & <tt>smbldap_bind.conf</tt> dans <tt>/etc/smbldap-tools</tt>
Ces fichiers sont à éditer sur le serveur de gestion des comptes.

smbldap.conf

<pre>#net getlocalsid</pre> permet de récuper le SID du serveur

<licode file=/etc/smbldap.conf>
SID=SID="S-1-5-21-3081181328-245241861-234644524"
slaveLDAP=ldap.livois.com
masterLDAP=ldap.livois.com
suffix="dc=livois,dc=com"
usersdn="ou=Users,${suffix}"
computersdn="ou=Computers,${suffix}"
groupsdn="ou=Groups,${suffix}"
</licode>

On peut aussi définir les paramètres par défaut des comptes (gid, home, shell, ..., mail)

smbldap_bind.conf

<licode file=smbldap_bind.conf>
slaveDN="cn=Manager,dc=livois,dc=com"
slavePw="xxxxxxx"
masterDN="cn=Manager,dc=livois,dc=com"
masterPw="xxxxxx”
</licode>

Créer la structure de la base avec la commande:
<pre>#smbldap-populate</pre>

les options -u 2000 et -g 2000 permettent de préciser le point de départ des compteurs uid et gid.

Définir le mot de passe de l'administrateur
<pre>#smbldap-passwd administrator</pre>

Créer un compte
<pre>#smbldap-useradd -m compte1</pre>

Cette commande comprend de nombreuses options. On peut, par exemple, choisir:
* l'organisation (-o)
* la création d'un compte samba (-a) => objet sambaSamAccount

<pre>#smbldap-passwd compte1</pre>

<blockquote class=gentoo>
'''Remarque :''' pour gentoo, les outils de gestions de comptes se trouvent dans <tt>/usr/share/samba/scripts/</tt>.
</blockquote>

===Configuration de pam & Linux===
<blockquote class=gentoo>
Packages Gentoo: pam_ldap, nss_ldap, + nscd (optionnel)
</blockquote>
<blockquote>
Package Debian: libpam-ldap,libpam-cracklib, libnss-ldap +nscd (optionnel) (libpam-smb ?)
</blockquote>

Ajouter ldap aux champs passwd, shadow, group
<licode file=/etc/nsswitch.conf>
passwd: files ldap
shadow: files ldap
group: files ldap
</licode>

<licode file="/etc/ldap.conf et /etc/ldap/ldap.conf (gentoo) ou /etc/pam_ldap et /etc/libnss_ldap.conf (debian)">
host ldap.livois.com
base dc=livois,dc=com
pam_password exop

# The distinguished name to bind to the server with if the effective user ID
# is root. Password must be stored in /etc/ldap.secret (mode 600)
rootbinddn cn=Manager,dc=livois,dc=com

# RFC2307bis naming contexts
nss_base_passwd dc=livois,dc=com?sub
nss_base_shadow dc=livois,dc=com?sub
nss_base_group ou=Groups,dc=livois,dc=com?one

# Security options
ssl no
</licode>

ldap.secret (dans /etc)

en chmod 600, ce fichier ne contient que le mdp de la base ldap

/etc/pam.d

gentoo: system-auth
<licode>
auth required /lib/security/pam_env.so
auth sufficient /lib/security/pam_unix.so likeauth nullok shadow
auth sufficient /lib/security/pam_ldap.so use_first_pass
auth required /lib/security/pam_deny.so

account sufficient /lib/security/pam_unix.so
account sufficient /lib/security/pam_ldap.so
account required /lib/security/pam_deny.so

password required /lib/security/pam_cracklib.so retry=3
password sufficient /lib/security/pam_unix.so nullok use_authtok shadow md5
password sufficient /lib/security/pam_ldap.so use_authtok
password required /lib/security/pam_deny.so

session required /lib/security/pam_limits.so
session required /lib/security/pam_unix.so
session required /lib/security/pam_mkhomedir.so skel=/etc/skel/ umask=0
session optional /lib/security/pam_ldap.so
</licode>

debian
Le fichier est séparé en quatre:

<licode file=common-auth>
auth sufficient /lib/security/pam_unix.so likeauth nullok shadow
auth sufficient /lib/security/pam_ldap.so use_first_pass
auth required /lib/security/pam_deny.so
</licode>

<licode file=common-account>
account sufficient /lib/security/pam_unix.so
account sufficient /lib/security/pam_ldap.so
</licode>

<licode file=common-password>
password required /lib/security/pam_cracklib.so retry=3
password sufficient /lib/security/pam_unix.so nullok use_authtok shadow md5
password sufficient /lib/security/pam_ldap.so use_authtok
password required /lib/security/pam_deny.so
</licode>

<licode file=common-session>
session required /lib/security/pam_limits.so
session required /lib/security/pam_unix.so
session required /lib/security/pam_mkhomedir.so skel=/etc/skel/ umask=0
session optional /lib/security/pam_ldap.so
</licode>

===Utilisation des comptes===
Tester d'abord avec su, ssh (il faut relancer sshd)

En cas de problème, regarder dans ldap.log et les logs systèmes.

===Migration de comptes===
Il est possible de migrer les comptes Unix vers des comptes LDAP:

<pre>#emerge migrationtools</pre>

Editer <tt>/usr/share/migrationtools/migrate-common.ph</tt>

=Administration de l'annuaire=
==Rajouter des entrées dans la base==
slappasswd pour créer le mot de passe de la base

#ldapadd -x -D “cn=Manager,dc=livois,dc=com” -w secret –f fichier.ldif -c continue malgré erreurs

#slapadd –l fichier.ldif -f slapd.conf

Fichier d'exemple:
<licode file=fichier.ldif>
dn: cn=Christophe de LIVOIS,o=annuaire,dc=livois,dc=com
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
cn: Christophe de LIVOIS
sn: de LIVOIS
givenName: Christophe
homePostalAddress:: MTMgYXYgU3TDqXBoYW5lIE1hbGxhcm3DqSA3NTAxNyBQYXJpcw==
homePhone: 01 40 71 93 22
mail: christophe@livois.com
</licode>
<blockquote>Lorsqu'un champ contient des accents, il doit être encodé en base64 et indiqué comme tel par les "::". Le homePostalAddress est un exemple ici.</blockquote>

==Modifier ou supprimer des données==
<licode file=fichier.ldif>
DN: cn=Christophe de LIVOIS,o=annuaire,dc=livois,dc=com
changetype: delete

DN:: Y249R3LDqWdvaXJlIGRlIE1PTlRDSEFMSU4sbz1hbm51YWlyZSxkYz1saXZvaXMsZGM9Y29t
changetype: delete
</licode>

#ldapmodify -c -D “cn=Manager,dc=livois,dc=com” -w secret –f fichier.ldif -c

<blockquote>Il est aussi possible d'utiliser la commande ldapdelete mais je ne sais pas l'utiliser avec les accents ....</blockquote>

==Rechercher des entrées et vérifier le fonctionnement de la base==
#ldapsearch -x -b '' -s base '(objectclass=*)' namingContexts
#ldapsearch -x -h ldap.livois.com -b "dc=livois,dc=com" "(mail=*info.test)" mail
#ldapsearch -x -b "dc=livois,dc=com" -D "cn=manager,dc=livois,dc=com" -w secret "(mail=*info.test)" mail

<blockquote class="warning">
'''Attention :''' /var/lib/openldap-data doit être en lecture pour ldap.
</blockquote>

==Dump et restauration de la base==
Dump
#/etc/init.d/slapd stop
#slapcat -f /etc/openldap/slapd.conf > ldap.dump
#/etc/init.d/slapd start

Restauration
#slapadd -f /etc/openldap/slapd.conf -l ldap.dump -v

Mise à jour des index
#slapindex -f slapd.conf

==Mise à jour (2.4.19)==
# /etc/init.d/slurpd stop ; /etc/init.d/slapd stop
# slapcat -l /root/ldapdump.1257549753.raw
# egrep -v '^entryCSN:' </root/ldapdump.1257549753.raw >/root/ldapdump.1257549753
# mv /var/lib/openldap-data/ /var/lib/openldap-data-backup/
# emerge --update \=net-nds/openldap-2.4.19
# etc-update, s'assurer que tous les fichiers sont mis à jour - attention aux schémas pour la commande suivante
# remplacer ldbm par hdb dans le champ database de slapd.conf
# slapadd -l /root/ldapdump.1257549753
# chown ldap:ldap /var/lib/openldap-data/*
# /etc/init.d/slapd start

A noter que la base ldbm n'existe plus dans la version 2.4. Il faut la remplacer par la base hdb ou bdb.

http://www.openldap.org/faq/data/cache/1167.html

http://www.openldap.org/faq/data/cache/1085.html

==Réplication (TODO)==

=Outils de gestion – accès à l'annuaire=
==Lecture de l'annuaire==
===Mozilla - Thunderbird===
http://www.mozilla.org/projects/thunderbird/specs/ldap.html donne en particulier le schema ldap de thunderbird.

http://kb.mozillazine.org/Sharing_address_books

http://wiki.mozilla.org/MailNews:LDAP_Address_Books

[[Image:Thunderbird-ldap.png|center]]

Thunderbird n'est pas capable d'écrire dans une base LDAP. Il en sera sans doute capable un jour (cf https://bugzilla.mozilla.org/show_bug.cgi?id=86405).

Comme indiqué http://wiki.mozilla.org/MailNews:LDAP_Address_Books, il est possible d'attribuer un champ ldap à un champ affiché par thunderbird
Pour cela il est nécessaire de modifier le fichier prefs.js
<licode file=.mozilla-thunderbird/nn43lfzx.default/prefs.js>
user_pref("ldap_2.servers.default.attrmap.WorkAddress", "homePostalAddress");
</licode>

==Navigateur LDAP==
===GQ===
http://gq-project.org/index.php

L'outil Gq sous Linux permet de naviguer à travers la base LDAP.

===LDAP exporter===
http://www.novell.com/coolsolutions/tools/14287.html

LDAP exporter est un navigateur LDAP pour Windows.
===phpldapadmin===
Cet outil est une sorte de gq en php.

http://phpldapadmin.sourceforge.net/

http://phpldapadmin.sourceforge.net/screenshots.php

====Création de nouveaux comptes avec un template====
http://wiki.phpldapadmin.info/tiki-index.php?page_ref_id=24

L'idée est de créer un modèle pour la création de nouveaux comptes.
Les modèles se trouvent dans le répertoire templates. De nombreux exemples sont proposés.
En cas d'adaption d'un modèle, il ne faut pas oublier de cliquer sur "purge caches".

==Gestion de comptes utilisateurs==
===Phamm===
http://www.phamm.org

Cf document [[Interface_utilisateurs|Interfaces utilisateurs]].

===LAM - LDAP account Manager===

http://lam.sourceforge.net/

N'existe pas en package Gentoo (mars 2005) mais semble intéressant.

Features:
* management of Unix user and group accounts (posixAccount/posixGroup)
* management of Samba 2.x/3 user and host accounts (sambaAccount/sambaSamAccount)
* profiles for account creation
* editor for organizational units (OU)
* account creation via file upload
* automatic creation/deletion of home directories
* setting quotas
* support for LDAP+SSL
* multi-language support (English, French, German, Hungarian, Japanese)
* multiple configuration files
* PDF output for user/group/host accounts
* additional text for user PDFs
* supports multiple password hashes

===Samba-console===
http://imc.sourceforge.net/samba-console.html

===Luma===

=Annexes=
==Description de la base==
===Champs===
<center>
{| class=wikitable
!ObjectClass||width=200|must||width=200|may
|-
|inetOrgPerson|| ||
|-
|posixAccount|| ||
|-
|shadowAccount|| ||
|-
|sambaSamAccount|| ||
|-
|MailAccount|| ||
|-
|VirtualForward|| ||
|-
|Vacation|| ||
|}
</center>

===Définition des groupes===
<center>
{|class=wikitable
! width=100 |
! width=100 |admin
! width=100 |famille
! width=100 |amis
! width=100 |public
|-
|postfix|| || || ||
|-
|courier|| || || ||
|-
|apache|| || || ||
|-
|annuaire|| || || ||
|-
|samba|| || || ||
|-
|proftp|| || || ||
|}
</center>

===Slapd.conf===

<licode file=/etc/openldap/slapd.conf>
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/amavisd-new.schema
include /etc/openldap/schema/samba.schema

include /etc/openldap/schema/phamm.schema
include /etc/openldap/schema/pureftpd.schema
include /etc/openldap/schema/dnsdomain2.schema
include /etc/openldap/schema/ISPEnv2.schema

allow bind_v2
database bdb
suffix "dc=livois,dc=com"
rootdn "cn=Manager,dc=livois,dc=com"
rootpw {SSHA}h+2e7I6pslu4njRCl0vCPo3nD4NXJGaV
directory /var/lib/openldap-data/

# specific for mail
index objectClass eq
index cn,mail eq,subinitial
index vd,delete eq,pres
index accountActive,forwardActive eq,pres
index smtpAuth eq,pres
index associatedDomain pres,eq,sub
index aAAARecord pres,eq
index aRecord pres,eq
index sn,uid,displayName pres,eq,sub
index uidNumber,gidNumber eq
index default sub
</licode>

ACLs

<licode>
# lock down passwords
access to dn.regex="vd=([^,]+),o=hebergement,dc=livois,dc=com$" attrs=userPassword
by dn="cn=Manager,dc=livois,dc=com" write
by dn.exact="cn=phamm,o=hebergement,dc=livois,dc=com" write
by dn.exact,expand="cn=postmaster,vd=$1,o=hebergement,dc=livois,dc=com" write
by self write
by anonymous auth
by * none

# allow users to write some stuff
access to dn.regex="vd=([^,]+),o=hebergement,dc=livois,dc=com$"
by dn="cn=Manager,dc=livois,dc=com" write
by dn.exact="cn=phamm,o=hebergement,dc=livois,dc=com" write
by dn.exact,expand="cn=postmaster,vd=$1,o=hebergement,dc=livois,dc=com" write
by self write
by * read

# lock down passwords
access to attrs=userPassword
by dn="cn=Manager,dc=livois,dc=com" write
by self write
by anonymous auth
by * none

# everything else is read-only
access to *
by dn="cn=Manager,dc=livois,dc=com" write
by * read

access to dn="" by * read
</licode>

==Configuration Gentoo==
slapd

slurpd (si la réplication est mise en place)

puis les services qui utilisent openldap

<center>
{|class=wikitable
!openldap!!D!!
|-
|openldap||slapd||
/etc/openldap/slapd.conf
/etc/openldap/schema/
/var/lib/openldap-data
|-
|nss_ldap|| ||
/etc/nsswitch.conf
/etc/pam.d/system-auth
/etc/openldap/ldap.conf
/etc/ldap.conf
|}
</center>

{{Copy|2006-2009|Christophe de Livois|FDL}}

LDAP - Historique des versions

Christophe : /* Rajouter des entrées dans la base */

Christophe : 1 version

Christophe : /* Rajouter des entrées dans la base */

Christophe : 1 version