1/169 Administration Système Thierry Hamon Bureau H202 - Institut Galilée Tél. : 33 1.48.38.35.53 Bureau 150 LIM&BIO EA 3969 Université Paris 13 - UFR Léonard de Vinci 74, rue Marcel Cachin, F-93017 Bobigny cedex Tél. : 33 1.48.38.73.07, Fax. : 33 1.48.38.73.55 thierry.hamon@univ-paris13.fr http://www-limbio.smbh.univ-paris13.fr/membres/hamon/adsys-20112012 ADSYS
2/169 Switching Hub Ethernet Switch Ether 10/100 12345678 100 101236 125080 1 0 Quatrième partie Configuration/installation d une station de travail COL! Power Intégration dans un réseau informatique Configuration/installation d un réseau informatique Configuration réseau d une station de travail Services orientés utilisateurs Sécurité Services orientés adminstration réseau
3/169 Serveur de nom du domaine : DNS Annaires : NIS, NIS+, LDAP Autres services : DHCP, Serveur de temps (NTP)
4/169 Annuaires Problème de l administration système : assurer la consistance des fichiers de base du système Solution : centraliser les informations Utiliser une structure client/serveur Serveur : centralise les informations Client : ne possède aucune donnée localement (ou un minimum) et demande les informations au serveur Utilisation de services (non exclusifs) tels que DNS, NIS, NIS+
5/169 DNS Serveur de nom (DNS) (1) Domain Name Serveur ou BIND Berkeley Internet Domain Gestion de machines nommées dans un espace de nom (domaine, zone) (FQDN Fully Qualified Domain Name) Et résolution des adresses IP RFC 1032, 133, 1034, 1035 Implémenté sur quasiment toutes les plates-formes
6/169 DNS Serveur de nom (DNS) (2) Structure hiérarchique permettant une grande souplesse d administration Zone : ensemble de machines clientes de cette zone serveurs de cette zone, clients d une autre zone Principe de référence identique à celui d UNIX
7/169 DNS Extrait de la hiérarchie..edu.com.fr univ paris13 loria jussieu iutv ig edu biomath painleve nantes armen glénant
8/169 DNS Service DNS (1) Correspondance entre les adresses IP et le nom des machines d une zone Le serveur DNS possède tous les renseigenements sur la zone peut faire autorité (serveur primaire) délègue l autorité sur les zones de niveau inférieur
9/169 DNS Service DNS (2) Organisation hiérarchique suivant deux critères : Par secteur d activité (uniquement aux Etat-Unis) : nom de domaine sur 3 lettres Par pays : 2 lettres Domaines particuliers. : la racine de l arbre toplevels domains : domaine juste sous la racine Domaines de plus haut niveau dans chaque pays du monde, les prestataires de connexion, les universités (cf. norme ISO 3166)
10/169 DNS Types de serveurs DNS (1) serveur primaire : Contient la liste des correspondances entre les adresses IP et les noms de machines Les mises à jour doivent être effectuées sur le primaire serveur secondaire : Contient une copie de la base du serveur primaire Mise à jour automatique assurée par le serveur primaire Evite la surcharge du serveur primaire
11/169 DNS Types de serveurs DNS (2) serveur cache : Stocke en mémoire principale une partie de la liste Les serveurs primaires et secondaires sont des serveurs caches autres serveurs : forwarding server, stealth server
12/169 DNS Installation d un serveur Lancement du service : démon named Fichier de configuration : /etc/named.conf Informations : Type de serveur (primaire ou secondaire) Répertoire de travail où sont stockés les fichiers (correspondances IP/Nom, ) Nom du fichier contenant les 7 zones racines pour le serveur primaire, nom du fichier contenant la zone primaire et la zone primaire inverse
13/169 DNS Fichier de configuration (1) options { directory "/var/named"; forward first; forwarders { 194.254.164.6; 192.33.182.2; }; }; zone "." IN { type hint; file "root.hints"; }; zone "0.0.127.in-addr.arpa" IN { type master; file "pz/127.0.0"; notify no; allow-update { none; }; };
14/169 DNS Fichier de configuration (2) zone "ig-edu.univ-paris13.fr" { type master; notify no; file "pz/ig-edu.univ-paris13.fr"; }; zone "0.168.192.in-addr.arpa" { type master; notify no; file "pz/192.168.0"; };
15/169 DNS Fichier de la zone racine A reconstruire régulièrement avec la commande dig. 6D IN NS M.ROOT-SERVERS.NET.. 6D IN NS I.ROOT-SERVERS.NET.. 6D IN NS E.ROOT-SERVERS.NET.. 6D IN NS D.ROOT-SERVERS.NET.. 6D IN NS A.ROOT-SERVERS.NET.. 6D IN NS H.ROOT-SERVERS.NET.. 6D IN NS C.ROOT-SERVERS.NET.. 6D IN NS G.ROOT-SERVERS.NET. M.ROOT-SERVERS.NET. 6D IN A 202.12.27.33 I.ROOT-SERVERS.NET. 6D IN A 192.36.148.17 E.ROOT-SERVERS.NET. 6D IN A 192.203.230.10 D.ROOT-SERVERS.NET. 6D IN A 128.8.10.90 A.ROOT-SERVERS.NET. 6D IN A 198.41.0.4 H.ROOT-SERVERS.NET. 6D IN A 128.63.2.53 C.ROOT-SERVERS.NET. 6D IN A 192.33.4.12 G.ROOT-SERVERS.NET. 6D IN A 192.112.36.4
16/169 DNS Zone primaire (1) Correspondance entre nom et adresse IP Définition : adresses en notation décimal (A) alias (CNAME) informations (HINFO) nom du DNS pour le domaine indiqué (NS) centre de tri de la messagerie MX etc.
17/169 DNS Zone primaire (2) $TTL 3D @ IN SOA ns.ig-edu.univ-paris13.fr. hostmaster.ig-edu.univ-paris13.fr. ( 199802151 ; serial, todays date + todays serial # 8H ; refresh, seconds 2H ; retry, seconds 4W ; expire, seconds 1D ) ; minimum, seconds ; NS ns ; Inet Address of name server MX 10 mail.ig-edu.univ-paris13.fr. ; Primary Mail Exchanger ; $ORIGIN ig-edu.univ-paris13.fr. localhost A 127.0.0.1 ns A 192.168.0.1 dns1.ig-edu.univ-paris13.fr. A 192.168.0.1
18/169 DNS Zone primaire inverse Correspondance inverse : entre adresse IP et nom $TTL 3D @ IN SOA ns.ig-edu.univ-paris13.fr. hostmaster.ig-edu.univ-paris13.fr. ( 199802151 ; Serial, todays date + todays serial 8H ; Refresh 2H ; Retry 4W ; Expire 1D) ; Minimum TTL NS ns.ig-edu.univ-paris13.fr. $ORIGIN 0.168.192.in-addr.arpa. 1 PTR ns.ig-edu.univ-paris13.fr.
19/169 DNS Installation d un client (1) Recherche de l association adresse IP / nom de machine sur un DNS Appelé aussi solveur (resolver) Fichier de configuration /etc/resolv.conf : Nom du domaine Mot-clé : domain
20/169 DNS Installation d un client (2) Liste ordonnée des serveurs DNS à interroger ; Mot-clé : nameserver Exemple : domain ig-edu.univ-paris13.fr nameserver 194.254.167.2 nameserver 194.254.167.10 Informations sur la manière d effectuer la résolution : /etc/host.conf order hosts, bind multi on
21/169 DNS Interrogation d un DNS (1) Commandes nslookup ou dig (Linux) Commandes avec nslookup : Affichage des informations sur une machine : nom de la machine Exemple : >nantes.ig-edu.univ-paris13.fr Default Server: ns.ig-edu.univ-paris13.fr Address: 192.168.0.1 Name: nantes.ig-edu.univ-paris13.fr Address: 194.254.167.1
22/169 DNS Interrogation d un DNS (2) définition du serveur DNS : server Exemple : server f0f.univparis13.fr définition du type de requêtes : set q=type de requête Recherche d un DNS sur un domaine : set q=ns puis domaine Exemple : set q=any puis ig-edu.univ-paris13.fr. Recherche d une information quelconque sur le DNS : set q=any Affichez les informations sur des machines d enseignement telles que nantes.
23/169 DNS Fichier /etc/nsswitch.conf (1) Définition de l ordre de résolution des services par les serveurs de nom Services : Définition des utilisateurs : passwd et shadow Définition des groupes : group Correspondance IP/Nom de machine Alias utilisateur pour la messagerie Autres données : services, networks, procotoles, rpc, etc.
24/169 DNS Fichier /etc/nsswitch.conf (2) Serveurs de nom : DNS (dns) LDAP (ldap) NIS (nis) NIS+ (nisplus) Fichiers locaux (files) Bases locales db etc.
DNS Fichier /etc/nsswitch.conf (3) Exemple standard : passwd: shadow: group: files ldap files ldap files ldap hosts: files dns bootparams: nisplus [NOTFOUND=return] files 25/169 #services: #networks: #protocols: #rpc: #ethers: #netmasks: ethers: nisplus [NOTFOUND=return] files nisplus [NOTFOUND=return] files nisplus [NOTFOUND=return] files nisplus [NOTFOUND=return] files nisplus [NOTFOUND=return] files nisplus [NOTFOUND=return] files files
26/169 NIS NIS Network Information Service Appelé à l origine Yellow Page (YP) Nom des commandes NIS : généralement préfixé par yp. Service d administration centralisée des principales bases de données système (passwd, gropup, hosts, networks, etc.) Implémentation par SUN dans les années 80 Portabilité de NIS : disponible sur PC, VMS et sur la plupart des systèmes UNIX
27/169 NIS Fonctionnalités de NIS Déploiement sur un réseau local Autour d un machine centrale : NIS Master Server Clients : Référence aux informations présentes sur un domaine NIS Initialisation en broadcast Limitations : Absence de hiérarchie Impossibilité de communiquer entre deux domaines NIS
28/169 NIS Domaine NIS (1) Organisation des machines autour d un domaine NIS (espace de nom) Pas de hiérarchie possible Impossibilité de relier deux domaines NIS Nom : quelconque, pouvant être différent (souvent) du nom du domaine Défini dans le fichier defaultdomain ou dans des variables des fichiers de configuration rc* Exemple : Nom de domaine : ig-edu.univ-paris13.fr Nom du domaine NIS : enseignement.galilee
29/169 NIS Domaine NIS (2) Serveur NIS Client NIS Client NIS Serveur Esclave NIS
30/169 NIS Machines sur un réseau NIS 3 types de machines sur un domaine NIS : Serveur maître NIS (NIS Master Server) Gestion des informations disponibles sur le domaine Serveur esclave NIS (NIS Slave Server) Possession d une copie de la base du serveur maître Remplacement en cas de défaillance du serveur maître NIS Répartition de la charge sur le réseau Client NIS Exploitation des services de nom (/etc/nsswitch.conf) Dialogue avec les serveurs (maître ou esclave)
31/169 NIS Informations gérées par NIS Utilisateurs (passwd) Groupes (group) Résolution de nom (hosts) etc. (aliases, services, rpc, protocols, netgroup, tables d automontage)
32/169 LDAP LDAP : introduction Lightweight Directory Access Protocol Protocole d annuaire sur TCP/IP Historique : A l origine, passerelle d accès aux annuaires X500 Adaptation du protocole DAP à TCP/IP Depuis 1995, annuaire natif grâce à une équipe de l Université du Michigan (logiciel U-M LDAP) Formart de type dbm Caractéristiques : Stockage d une grande quantité de données mais de faible volume Accès en lecture très rapide grâce au modèle hiérarchique
33/169 LDAP Concepts de LDAP (1) Annuaire standard et extensible fournissant : protocole (accès à l informations dans l annuaire) modèle d information (définition du type de données contenues dans l annuaire) modèle de nommage (définition de l organisation et du référencement de l information) modèle fonctionnel (définition de l accès à l information)
34/169 LDAP Concepts de LDAP (2) modèle de sécurité (définition de la protection des données et des accès) Mécanisme d authentification pour le client modèle de duplication (définition de la répartition de la base entre les serveurs) APIs (développement d applications clientes) LDIF (format d échange des données) Reprise du modèle X500 (service annuaire mondial comme le DNS) Mais espace de nommage local
35/169 LDAP Le protocole LDAP (1) Définition de la communication client-serveur Commandes fournies : connexion et déconnexion recherche, comparaison, création, modification et effacement des entrées Protections des transactions et de l accès aux données : Mécanismes de chiffrement (SSL ou TLS) Mécanismes d authentification (SASL) Mécanismes de règles d accès (ACL Access Control List)
36/169 LDAP Le protocole LDAP (2) Communication client-serveur : Normalisation par l IETF (version 3 de LDAP), RFC 2251 Egalement : protocole de communication serveur-serveur pour l échange et la synchronisation des contenus (replication service) la création de liens entre annuaires (referral service) Communication normalisée sous le nom LDAP Duplication Protocol (LDUP) Dialogue LDAP au format de codage Basic Encoding Rule (DER), et non l ASCII = Sécurisation de l accès aux informations stockés dans la base
37/169 LDAP Le protocole LDAP (2) Possibilité d avoir une seule connexion pour passer plusieurs requêtes Possibilité d extensions sans modification de la norme LDAP extended operations : ajout d opération en plus des 9 opérations de base LDAP control : Ajout de paramètres associés à un opération, modification du comportement Simple Authentification and Security Layer : couche supplémentaire Utilisation de méthodes d authentification externes
38/169 LDAP Une arborescence d information (DIT) (1) Directory Information Tree Représentation des informations gérées sous LDAP dans une arborescence : DIT Entrées : branche DSE (Directory Service Entry) correspond à un objet abstrait ou réel (utilisateur, paramètres, etc.) constituée de couples clés/valeurs (attributs)
39/169 LDAP Une arborescence d information (DIT) (2) (C) FR (O) univ paris13 jussieu (OU) iutv lipn ig edu ccr biomath (...) (CN) 180345930 th hamon 101098123
40/169 LDAP Modèle de nommage (1) Structuration des données dans une arborescence hiérarchique : Directory Information Tree Chaque nœud correspond à une entrée de l annuaire : Directory Service Entry Sommet de l arbre : racine ou suffixe Schéma : ensemble des définitions relatives aux objets gérés par le serveur LDAP. Description des classes, les types d attibuts et la syntaxe Entrées : objets abstraits ou concrets (personne, imprimante) Attribut : champs contenant des valeurs Entrée spéciale : root directory specific entry (rootdse), description de l arbre et du contenu
41/169 LDAP Modèle de nommage (2) Possibilité de contrôle des attributs d une entrée à l aide de l attribut spécial objectclass attributs normaux : accessibles aux utilisateurs (givenname) attributs opérationnels : utilisés par le serveur pour l administration des données (modifytimestamp)
42/169 LDAP Modèle d information Basé sur des entrées : collection d attributs désignée par un nom unique : Distinguish Name (DN RFC2253) Chemin absolu de l entrée depuis le sommet de la hiérarchie (similaire à la hiérarchie UNIX) Exemple : uid=dupond,ou=etudiant,dc=institutgalilee,dc=fr Relative Distinguished Name : uid=dupond Schéma : ensemble des définitions d objets et d attributs gérés par un serveur LDAP
43/169 LDAP Les attributs (1) Entrée de l annuaire : suite de couple type d attributs valeur d attributs Exemple : type : cn (common name), valeur : Pierre Dupond type : mail, valeur : pierre.dupond@home.com type : jpegphoto, valeur : une photo au format JPEG
44/169 LDAP Les attributs (2) Définis par : identificateur Object Identificateur (OID) Indication si mono ou multi-valué Syntaxe et règle de comparaison Indicateur d usage Format ou limite de taille de valeur associée
45/169 LDAP Les attributs (3) Syntaxe : Type de données associées Type de comparaison des valeurs lors de la recherche Possibilité de hiérarchisation des attributs (standard X500), héritage de caractéristiques
46/169 LDAP Les classes d objets (1) Modélisation d objets réels ou abstraits à l aide d une liste d attributs optionnels ou obligatoires Définies par : identificateur OID Attributs obligatoires Attributs optionnels type (structurel, auxiliaire ou abstraits)
47/169 LDAP Les classes d objets (2) Type d une classe : Structurel : description d objets basiques de l annaire : personne, groupe, unité organisationnelles Une entrée appartient à au moins une classe d objet structurelle Auxiliaire : objets autorisant l ajout d informations complémentaires à des objets structurels mailrecipient ajoute des attributs concernant la messagerie d une personne. Idem pour labeleduriobject, pour les infos Web. Abstrait : objets basique de LDAP, top ou alias
48/169 LDAP Les classes d objets (3) Organisation dans une hiérarchie dont le sommet est l objet top Héritage des attributs du père Enrichissement d un objet par création d un objet fils avec ajout d attribut supplémentaire Appartenance d une entrée à un nombre non limité de classes d objets Attributs obligatoires : union des attributs obligatoires de chaque classe
49/169 LDAP Les classes d objets (4) Exemple, objet inetorgperson : objectclass : top objectclass : person objectclass : organizationalperson objectclass : inetorgperson
50/169 LDAP Les classes d objets (5) Attributs : commonname, surname description, seealso, telephonenumber, userpassword (objet person) ; organizationunitname, title, postaladdress... (objet organizationalperson) ; mail, labeleduri, uid, photo,... (objet inetorgperson
51/169 LDAP Modèle fonctionnel Définition des opérations d interrogation et de mise à jour des répertoires : Ajout d une entrée Suppression d une entrée Modification d une entrée Modification du nom d une entrée Recherche sur une partie de l annuaire à l aide de filtres
52/169 LDAP Modèle de sécurité Protection des données Plusieurs niveaux authentification pour la connexion à un service modèle de contrôle des données chiffrement des transactions (client/serveur, serveur/serveur)
53/169 LDAP Authentification (1) LDAP : protocole avec connexion ouverture de session : identification et mot de passe (optionel dans la version 3) Plusieurs types d authentification : Anonymous authentification : accès sans authentification Accès à des données sans restriction Root DN authentification : accès administrateur (tous les droits) Mot de passe en clair sur le réseau Kerberos V4
54/169 LDAP Authentification (2) Mot de passe + SSL (LDAPS) ou TLS Session chiffrée Certificats SSL : échange de certificats SSL (clefs publiques/privées) Simple Authentification and Security Layer (SASL) authentification externe (version 3) RFC 2222
55/169 LDAP Contrôle d accès aux données Attribution à un utilisateur identifié de droits d accès aux données (lecture, écriture, recherche et comparaison) Droits définis par l administrateur : ACLs ACLs placés : au niveau des entrées au sommet de l arbre sur un sous-arbre Application : utilisateur et groupe en fonction des adresses IP, des noms de domaine des clients ou les jours et heures Placement et portée dépendant du logiciel
56/169 LDAP Les ACLs Expression générique : <quoi> <qui> <comment> <quoi> : point d entrée de l annuaire sur lequel la règle <qui> : utilisateur, groupe ou machine sur lequel s appliquent ces droits (également tout le monde) <comment> : opérations autorisées/refusées Read Write Search Compare Selfwrite Add Delete Exemple (openldap) : access to * by self write by * read
57/169 LDAP Chiffrement des transactions Chiffrement LDAP versionx 3 : utilisation de SSL et TLS (starttls extended operation) Egalement pour l authentification par certificat Envoi de preuve d identité par le client au serveur, et réciproquement
58/169 LDAP Le modèle de duplication (1) (replication service) Définition de la copie d un annuaire sur plusieurs serveurs Objectif : pallier une panne de serveurs une coupure du réseau surcharge du service
59/169 LDAP Le modèle de duplication (2) Permet : garantie de la qualité de service (temps de réponse et sûreté de fonctionnement) amélioration des performances (placement des serveurs près des clients) répartition de la charge de travail entre plusieurs serveurs (load balancing) gestion locale des entrées et diffuser sur plusieurs sites
60/169 LDAP Le modèle de duplication (3) Duplication : arborescence entière sous-arbre partie des entrées et leurs attributs (spcification grâce à un filtre)
61/169 LDAP Le modèle de duplication (4) Synchronisation : mise à jour totale mise à jour incrémentale En temps réel ou à heure fixe
62/169 LDAP Le modèle de duplication (5) Stratégie de duplication : single-master replication : un serveur en lecture/écriture (master), les serveur répliques en lecture seulement multiple-master replication : plusieurs serveurs en lecture/écriture nécessite une synchronisation cascading replication : duplication en cascade
63/169 LDAP Le modèle de duplication (6) Contraintes : les serveurs doivent posséder le même schéma de données les règles d accès aux données dupliquées doivent être dupliquées La duplication doit être prévue au moment de la conception du DIT
64/169 LDAP Le format LDIF (1) LDAP Data Interchange Format Représentation des données LDAP au format texte standard Accès lisible aux données Deux objectifs : Importer/exporter la base Modifier les données
65/169 LDAP Le format LDIF (2) Syntaxe : nom d attribut suivi de la valeur (uid: dupond) premier attribut d une entrée : le DN (dn: uid=dupond,ou=etudiant,dc=institutgalilee,dc=fr Format : ASCII Données binaires codées en base 64 Jeu de caractères Unicode Transformation Format-8 (UTF-8)
66/169 LDAP Le format LDIF (3) Forme générale : dn: <distinguished name objectclassclass: <object class objectclassclass: <object class... <attribute type: <attribute value <attribute type: <attribute value..
67/169 LDAP Déploiement de LDAP Définir : la nature des données stockées la manière de récupérer les données l utilisation des données la gestion des données Mise en place d un annuaire LDAP : plusieurs phases de conception En général : mise en place ou du remplacement d un annuaire Élargir le service à d autres types d applications? Évaluer toutes les applications possibles, actuelles ou futures, d un annuaire LDAP
68/169 LDAP Informations nécessaires (1) Inventaire des applications, des données et leurs caractéristiques : format taille nombre d occurrence droits d accès dynamiques ou statiques partagées ou spécifiques à une application Mais aussi définir comment les récupérer et les maintenir à jour
69/169 LDAP Informations nécessaires (2) La plupart des données sont issues : d autres annuaires ou bases systèmes : Unix NIS, DNS, NT domain controler, etc Bases de données de l organisation : base du personnel, Apogée (université), etc. fichiers textes ou feuilles de calcul d utilisateurs bases propres à des applications : fichier htpasswd d Apache, carnet d adresses, etc.
70/169 LDAP Informations nécessaires (3) Définition des schémas : Choix des classes d objets et types d attributs à utiliser en fonction des données retenues Utilisation possible de schémas standards ou fournis avec les serveurs
71/169 LDAP Informations nécessaires (4) Conseils : Éviter de modifier le schéma existant : risque de rendre l annuaire inutilisable par les applications clientes ou les autres serveurs Préférer l ajout d une classe d objet et l exploitation du mécanisme d héritage d attributs des classes objets Documenter le schéma pour en faciliter la maintenance et l évolution Éviter de désactiver l option de la vérification de schéma (schema checking)
72/169 LDAP Conception du modèle de nommage Définition de l organisation, l accès et le nommage des entrées de l annuaire Plusieurs paramètres à prendre en compte : nombre d entrées prévu et son évolution nature des entrées actuelles et futures (type d objet) Choix de la centralisation ou de la distribution ds données Administration centrale ou déléguée partiellement Duplication liste des applications utilisant l annuaire (identification de leurs contraintes) Attribut de nommage des entrées (garantie d unicité)
73/169 LDAP Choix du suffixe suffixe = identifiant de l annuaire Choisir de préférence un suffixe unique au monde Pas de standard Pas d organisme de contrôle d attribution des suffixes : Pas de garantie d unicité Exemple de suffixe : utilisation de l attribut organisation(or) : o=université Paris13, c=fr utilisation de l attribut Domain Component (dc) (RFC 2377) conseillée dc=univ-paris13, dc=fr
74/169 LDAP Nommage des entrées Choix du RDN (Relative Distinguished Name) Contraintes : garantir l unicité éviter les changements de DN (Distinguished Name) donner une information pertinente prise en compte des clients Recommendations de letf : Identification des utilisateurs par leur email Exemple : dn = cn=thierry hamon,ou=ig-edu,dc=univ-paris13,dc=fr dn = uid=hamon,ou=ig-edu,dc=univ-paris13,dc=fr dn = uid=hamon@ig-edu.univ-paris13.fr,ou=ig-edu, dc=univ-paris13,dc=fr
75/169 LDAP Gestion des données Définition des administrateurs des données en fonction des attributs Plusieurs catégories : administrateurs de l annuaire (contrôle d accès...) les fournisseurs de données (service du personnel...) utilisateurs finaux (photo, téléphone...) applications (préférences...) services d annuaire Décrire la méthode et la fréquence de mise à jour Evaluer la qualité des données et les incidences sur les performances du serveur (notamment pour les données utilisateurs)
76/169 LDAP LDAP et la sécurité (1) Sécurité à prendre en compte lors de la conception Possibilité de configurer le serveur en lecture seulement ou en lecture/écriture Définir pour chaque attribut : niveau de confidentialité (numéro de sécurité sociale, adresse mail) les utilisateurs ou les applications ayant le droit d y accéder en lecture (tout le monde, cer tains utilisateurs, uniquement les administrateurs...) en écriture (utilisateur, manager, administrateur)
77/169 LDAP LDAP et la sécurité (2) Mécanismes de sécurité classiques : authentification signatures électroniques chiffrement filtrage réseau règles d accès (ACLs LDAP) aux données audit des journaux
78/169 LDAP Mise en place de LDAP from scratch Environnement général Fichiers de configuration : Fichier de configuration serveur : /etc/ldap/slapd.conf Vérification de la syntaxe : commande slapd -t Schémas prédéfinis : /etc/shema ou /usr/share/openldap/schema/ Référencement des définitions normalisées (ordre de définition, règles d héritage, etc.) Services : Fichier de configuration client : /etc/ldap/lapd.conf Démon : slapd Script de démarrage : /etc/init.d/slapd
79/169 LDAP Mise en place de LDAP from scratch Configuration du serveur - slapd.conf Include /usr/share/openldap/schema/cosine.schema include /usr/share/openldap/schema/corba.schema include /usr/share/openldap/schema/inetorgperson.schema include /usr/share/openldap/schema/java.schema include /usr/share/openldap/schema/krb5-kdc.schema include /usr/share/openldap/schema/kerberosobject.schema include /usr/share/openldap/schema/misc.schema include /usr/share/openldap/schema/nis.schema include /usr/share/openldap/schema/openldap.schema include /usr/share/openldap/schema/autofs.schema include /usr/share/openldap/schema/samba.schema include /usr/share/openldap/schema/kolab.schema # Inclusion des schémas utilisateurs include /etc/openldap/schema/local.schema
80/169 LDAP Mise en place de LDAP from scratch Configuration du serveur - slapd.conf # Définition des ACLs include /etc/openldap/slapd.access.conf pidfile /var/run/ldap/slapd.pid argsfile /var/run/ldap/slapd.args modulepath /usr/lib/openldap # Support de TLS, il faut créer un certificat dans /etc/ssl/openldap/lda # et décommenter les lignes ci-dessous #TLSCertificateFile /etc/ssl/openldap/ldap.pem #TLSCertificateKeyFile /etc/ssl/openldap/ldap.pem #TLSCACertificateFile /etc/ssl/openldap/ldap.pem # Journalisation loglevel 256
81/169 LDAP Mise en place de LDAP from scratch Configuration du serveur - slapd.conf ########################################################### # database definitions ########################################################### database bdb suffix "dc=foo,dc=org" rootdn "cn=manager,dc=foo,dc=org" # Mot de passe d accès à la racine de l arbre. rootpw secret # rootpw {crypt}ijfyncsnctbyg # Emplacement de la base de la base de données # The database directory MUST exist prior to running slapd AND # should only be accessable by the slapd/tools. Mode 700 recommended. directory /var/lib/ldap
82/169 LDAP Mise en place de LDAP from scratch Configuration du serveur - slapd.conf # Création des index sur la base index objectclass,uid,uidnumber,gidnumber eq index cn,mail,surname,givenname eq,subinitial # Contr^ole d accès aux données # Basic ACL (deprecated in favour of ACLs in /etc/openldap/slapd.access. access to attr=userpassword by self write by anonymous auth by dn="cn=manager,dc=foo,dc=org" write by * none access to * by dn="cn=manager,dc=foo,dc=org" write by * read
83/169 LDAP Mise en place de LDAP from scratch Configuration du serveur Démarrage et vérification # /etc/init.d/slapd start Starting OpenLDAP: slapd. # ps aux grep slapd root 17433 0.1 1.6 7780 2144? S 12:54 0:00 /usr/sbin/slapd root 17434 0.0 1.6 7780 2144? S 12:54 0:00 /usr/sbin/slapd root 17435 0.0 1.6 7780 2144? S 12:54 0:00 /usr/sbin/slapd root 17437 0.0 0.5 1716 716 pts/3 R 12:54 0:00 grep slapd # netstat -natup grep LISTEN tcp 0 0 0.0.0.0:389 0.0.0.0:* LISTEN 17433/slapd tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 290/sshd
84/169 LDAP Mise en place de LDAP from scratch Configuration du serveur Fichiers de logs : /var/log/ldap.log Par defaut, mode local LOCAL4 de syslog local4.debug /var/log/ldap.log
85/169 LDAP Mise en place de LDAP from scratch Exemple de fichier base.ldif : dn: dc=univ-paris13, dc=fr objectclass: dcobject objectclass: organization dc: univ-paris13 o: univ-paris13 description: Universite Paris 13 street: avenue JB Clement postalcode: 93430 postaladdress: Villetaneuse l: Villetaneuse st: Ile de France
86/169 LDAP Mise en place de LDAP from scratch dn: ou=adsys, dc=univ-paris13, dc=fr objectclass: top objectclass: organizationalunit ou: adsys description: TP Adsys telephonenumber: 01 49 40 35 53 dn: cn=admin, dc=univ-paris13, dc=fr objectclass: top objectclass: person userpassword: secret cn: admin sn: Administrateur
87/169 LDAP Mise en place de LDAP from scratch Remplissage de la base Création de l annuaire : slapadd < base.ldif NB : deux commandes pour le remplissage de l annuaire : Avec ce fichier ldif ou ces fichiers, vous pouvez appeler la commande slapdadd ou ldapadd pour remplir l annuaire. ldapadd : le serveur LDAP doit être soit actif ldapadd -h localhost -x -f base.ldif slapadd : ajout d entrées vers une base ldap slapadd -l people.ldif Vérification (après redémarrage du serveur) : slapcat
88/169 LDAP Mise en place de LDAP from scratch Remplissage de la base Ajout d utilisateurs : fichier Personnes.ldif dn: uid=thierry,ou=adsys, dc=univ-paris13,dc=fr givenname: Thierry sn: Thierry loginshell:/bin/bash uidnumber: 6167 gidnumber: 502 objectclass: top objectclass: person objectclass: organizationalperson objectclass: inetorgperson objectclass: posixaccount objectclass: shadowaccount uid: thierry cn: Thierry Hamon homedirectory: /home/thierry shadowlastchange: -1 shadowmin: -1 shadowmax: 99999