PARTIE 1 : INSTALLATION D'OpenLDAP

Documents pareils
INSTALLATION ET CONFIGURATION DE OPENLDAP

LDAP et carnet d'adresses mail

Authentification des utilisateurs avec OpenLDAP

LINUX Préparation à la certification LPIC-3 (examen LPI 300) - 2ième édition

Déploiement d'un serveur ENT

OpenLDAP, un outil d administration Réseau. Une implémentation d OpenLDAP

Outils Logiciels Libres

TP administration système

Couplage openldap-samba

RTN / EC2LT Réseaux et Techniques Numériques. Ecole Centrale des Logiciels Libres et de Télécommunications

Imprimantes et partage réseau sous Samba avec authentification Active Directory

Client Debian Squeeze et serveur SambaEdu3

Authentification des utilisateurs avec OpenLDAP et Samba 3.0

Serveur de partage de documents. Étude et proposition d'une solution afin de mettre en place un serveur de partage de documents.

Introduction...3. Objectif...3. Manipulations...3. Gestion des utilisateurs et des groupes...4. Introduction...4. Les fichiers de base...

TP Service HTTP Serveur Apache Linux Debian

PPE GESTION PARC INFORMATIQUE

Classe et groupe : 1P 3 SEN TRI. Ubuntu : serveur Contrôleur de Domaine (PDC) avec SAMBA

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons Jérémie Jourdin

Serveur Linux : FTP. Mise en place d un service FTP sous Linux. Bouron Dimitri 20/04/2014

OpenLDAP, un outil d administration réseau. (Implémentation d openldap à l INRA de Rennes)

Annuaire LDAP + Samba

Configuration d'un annuaire LDAP

TP n 2 : Installation et administration du serveur ProFTP. Partie 1 : Fonctionnement du protocole FTP (pas plus de 15min)

Serveur FTP. 20 décembre. Windows Server 2008R2

Afin d'éviter un message d'erreur au démarrage du service Apache du type :

Authentification des utilisateurs avec OpenLDAP et Samba 3.0

Serveur DNS et DHCP couplé à LDAP Debian GNU/Linux

OpenLDAP. Astuces pour en faire l'annuaire d'entreprise idéal THÈME TECHNIQUE - ADMINISTRATION SYSTÈME. Jonathan CLARKE - jcl@normation.

M2-ESECURE Rezo TP3: LDAP - Mail

Utiliser Améliorer Prêcher. Introduction à LDAP

DOCUMENTATION ADMINISTRATEUR

Jeudis du libre, Samba ou comment donner le rythme aux stations Windows

Institut Universitaire de Technologie

SQUID Configuration et administration d un proxy

NOTE: Pour une meilleure sécurisation, nous vous recommandons de faire l installation des outils web à l intérieur d un serveur virtuel.

TP 7, 8 & 9 : Installation et Gestion de GLPI et Télédéploiement SISR 1 HUBERT JULIEN LABBE RICHARD DAY MICKAEL DOGNY CHRISTOPHE

Service d'authentification LDAP et SSO avec CAS

Configuration matériel. Tâche 2 : Installation proprement dite de l application sur un serveur de test virtualisé sous VmWare Workstation.

Active Directory. Structure et usage

Architecture PKI en Java

TD4 - Supervision et métrologie des réseaux. 1 Supervision des applications et services réseaux et des ressources locales

TP réseaux 4 : Installation et configuration d'un serveur Web Apache

Installation UpdatEngine serveur (CentOs apache2 / MySQL)

OpenLDAP au quotidien: trucs et astuces

WEB APPLICATION FIREWALL AVEC APACHE ET MOD_SECURITY

Mise en place d annuaires LDAP et utilisation dans plusieurs applications

Installation d OwnCloud 8.0 sous Debian Avec connexion des utilisateurs active directory et mise en place de HTTPS

Tutoriel Création d une source Cydia et compilation des packages sous Linux

UE5A Administration Réseaux LP SIRI

Mise en place Active Directory / DHCP / DNS

Une unité organisationnelle (Staff) comporte une centaine d'utilisateur dans Active Directory.

Installation de la plate-forme Liberacces 2.0 «Intégrale» avec LiberInstall

But de cette présentation. Contrôleur de domaine avec Samba (rédigé pour Ubuntu Server) Introduction. Samba: principes

Windows 2000 Server Active Directory

PRO CED U RE D I N STALLATI O N

Maintenance et gestion approfondie des Systèmes d exploitation Master 2 SILI. Année universitaire David Genest

Tutorial OpenLDAP. Installation et configuration (clients/serveurs) Migration NIS LDAP dans GRID5000 Sécurisation par SSL et optimisations

Installation de Zabbix

Installation des outils OCS et GLPI

INFO-F-309 Administration des Systèmes. TP7: NFS et NIS. Sébastien Collette Résumé

BTS SIO SISR3 TP 1-I Le service Web [1] Le service Web [1]

CASE-LINUX MAIL. Introduction. CHARLES ARNAUD Linux MAIL

TP PLACO. Journées Mathrice d'amiens Mars 2010

FILTRAGE de PAQUETS NetFilter

Présentation, mise en place, et administration d'ocs Inventory et de GLPI

Installation d un serveur HTTP (Hypertext Transfer Protocol) sous Débian 6

Joomla! Création et administration d'un site web - Version numérique

Le projet d'annuaire LDAP à Rennes 1. - Raymond Bourges - Gérard Delpeuch

Kerberos/AD/LDAP/Synchro

Conférence technique sur Samba (samedi 6 avril 2006)

Bon ben voilà c est fait!

Machine virtuelle W4M- Galaxy : Guide d'installation

Projet Semestre2-1SISR

Chapitre 02. Configuration et Installation

Installation et configuration de Vulture Lundi 2 février 2009

KAJOUT WASSIM INTERNET INFORMATION SERVICES (IIS) 01/03/2013. Compte-rendu sur ISS KAJOUT Wassim

Symantec Backup Exec Remote Media Agent for Linux Servers

Les cahiers pratiques de Anonymat.org. SocksCap32. Edition du 20 Octobre 2000

Table des matières Hakim Benameurlaine 1

Stratégie de groupe dans Active Directory

Groupe Eyrolles, 2004 ISBN :

NFS Maestro 8.0. Nouvelles fonctionnalités

Service WEB, BDD MySQL, PHP et réplication Heartbeat. Conditions requises : Dans ce TP, il est nécessaire d'avoir une machine Debian sous ProxMox

Ce guide détaille pas à pas les étapes d installation et de configuration de la solution jusqu'à la sauvegarde des BDD.

Note : Ce tutoriel a été réalisé sur GNU/Linux (Ubuntu) avec un serveur LAMP installé en local.

Service de certificat

MISE EN PLACE DU FIREWALL SHOREWALL

Exposé Nouvelles Technologies et Réseaux LDAP 22/01/ Exposé Nouvelle Technologies Réseaux - LDAP. Lightweight Directory Access Protocol

Chapitre 2 Accès aux partages depuis votre système d'exploitation


Création d un contrôleur de domaine sous Linux

INSTALLATION NG V2.1 D OCS INVENTORY. Procédure d utilisation. Auteur : GALLEGO Cédric 23/10/2014 N version : v1

LDAP : pour quels besoins?

Linux et le Shell. Francois BAYART. Atelier du samedi 20 Novembre

MANUEL UTILISATEUR KIWI BACKUP V 3

TP LINUX : MISE EN PLACE DU SERVEUR DE MESSAGERIE QMAIL

Le logiciel. OpenLDAP. Formation. Administration et sécurité. Auteurs : Clément OUDOT, Raphaël OUAZANA et Sébastien BAHLOUL

Déploiement de (Open)LDAP

Transcription:

TP RESEAUX SRC Semestre 4 LDAP Ce TP traite de la mise en œuvre d'un annuaire LDAP à travers une implémentation libre : Le projet OpenLDAP. La configuration utilisée est la même que dans le TP précédent : Remplacez N par votre numéro de table. Distribution Debian 7.0 Nom de machine : debiann.domn.net (à modifier dans hosts et hostname) Adresse IP : 172.16.N.2 Serveur DNS : 172.16.N.2 Utilisateurs existants : root (PASSWORD), usern1 (123) et usern2 (123) Votre serveur DNS ne connait que votre domaine (domn.net) et celui de la salle (a203.net) PARTIE 1 : INSTALLATION D'OpenLDAP Pour mettre en œuvre notre annuaire LDAP, nous aurons besoin de deux paquets : slapd ldap-utils : Le Serveur OpenLDAP : Les outils clients LDAP Installez ces deux paquets sur votre serveur Debian. Mettre PASSWORD comme mot de passe administrateur PARTIE 3: CONFIGURATION D'OpenLDAP : Les fichiers de configuration d'openldap se trouvent dans le dossier /etc/ldap slapd.conf ldap.conf permet de configurer le serveur permet de configurer la partie cliente REMARQUE : Depuis la version 2.4 d'openldap, le fichier slapd.conf n'est plus créé automatiquement lors de l'installation. Pour ne pas perdre de temps à tout saisir, téléchargez le fichier slapd.conf qui se trouve sur le serveur FTP de la salle. L'objectif final de ce TP est la mise en place d'un annuaire permettant de gérer notre serveur SAMBA (vu dans le TP précédent) comme un domaine Windows NT/2000. Nous avons vu dans le TP précédent que SAMBA nécessitait deux types de comptes : Un compte POSIX (LINUX), mais aussi un compte SAMBA. Notre annuaire LDAP devra permettre de centraliser ces deux comptes. Un domaine Windows est construit de la façon suivante :

Notre annuaire devra donc ressembler à cette arborescence. Notre racine sera : dc=domn,dc=net Nous devrons disposer de 3 OU (Unité d'organisation) : users, groupes et machines dans lesquels nous créerons nos utilisateurs, nos groupes et nos machines. Pour finalisez la configuration de notre fichier, adaptez le fichier de configuration téléchargé en changeant le nom du domaine : domn Ensuite, ajoutons un mot de passe au compte admin : Exécutez la commande : slappasswd -s PASSWORD h {CRYPT} Notez le résultat ou faites un "copier" du résultat obtenu (le mot de passe crypté) Dans le fichier slapd.conf, modifiez la ligne suivante (après la ligne rootdn) : rootpw "mot de passe crypté" Remplacez "mot de passe crypté" par le résultat de la commande slappasswd entre guillemets. Votre fichier slapd.conf doit maintenant ressembler à ceci : ################################################################### # Directives Globales: # Définitions des Schémas et des objectclass include /etc/ldap/schema/core.schema include /etc/ldap/schema/cosine.schema include /etc/ldap/schema/nis.schema include /etc/ldap/schema/inetorgperson.schema include /etc/ldap/schame/samba.schema pidfile /var/run/slapd/slapd.pid argsfile /var/run/slapd/slapd.args loglevel none modulepath /usr/lib/ldap moduleload back_hdb sizelimit 500 tool-threads 1 ################################################################### backend hdb ################################################################### # Directives de la première de type hdb: database hdb # Racine de l'annuaire et compte administrateur suffix "dc=domn,dc=net" rootdn "cn=admin,dc=domn,dc=net" rootpw "{CRYPT}ZcoRjvqpDPlWM" # Emplacement physique de la base hdb

directory "/var/lib/ldap" dbconfig set_cachesize 0 2097152 0 dbconfig set_lk_max_objects 1500 dbconfig set_lk_max_locks 1500 dbconfig set_lk_max_lockers 1500 # Index index objectclass eq lastmod on checkpoint 512 30 # ACLs access to attrs=userpassword,shadowlastchange by anonymous auth by self write by * none access to dn.base="" by * read access to * by * read (En rouge la partie devant être modifiée) Faites une copie de votre fichier modifié : sladp.conf dans votre dossier /root PARTIE 4: TEST et DEMARRAGE DE L'ANNUAIRE : Notre annuaire est prêt à être initialisé. Commençons par démarrer le service avec notre nouvelle configuration : Arrêter le service : /etc/init.d/slapd stop Créez les index : slapindex (ne tenait pas compte de l'avertissement) Relancez le service : /etc/init.d/slapd start PARTIE 5: INITIALISATION DE L'ANNUAIRE : L'initialisation de l'annuaire n'est qu'un ajout massif de plusieurs entrées. Il suffit de créer un fichier au format LDIF contenant la description du de la RACINE de notre domaine, ainsi que celles des OU. Les feuilles (groupe et utilisateurs) seront rajoutées par la suite. Pour commencer, téléchargez le fichier domaine.ldif se trouvant sur le serveur FTP de la salle et adaptez-le à votre configuration en modifiant le nom du domaine (domn) Contenu du fichier domaine.ldif dn: dc=domn,dc=net objectclass: dcobject objectclass: organization dc: domn o: domn description: domn dn: ou=users,dc=domn,dc=net objectclass: top objectclass: organizationalunit ou: users dn: ou=groups,dc=domn,dc=net objectclass: top objectclass: organizationalunit ou: groups dn: ou=machines,dc=domn,dc=net

objectclass: top objectclass: organizationalunit ou: machines Pour initialiser l'arborescence, tapez les commandes : Arrêter le service : /etc/init.d/slapd stop Vider l'annuaire existant : rm /var/lib/ldap/* Redémarrez le service : /etc/init.d/slapd start Ajouter les entrées : ldapadd W D "cn=admin,dc=domn,dc=net" H ldap://localhost f domaine.ldif Le mot de passe demandé est : PASSWORD (comme spécifié avec la commande slappasswd précédemment) Vous pouvez vérifier le résultat avec la commande : slapcat Le résultat de la commande slapcat doit vous donne la description de votre domaine et de ses unités d'organisation au format LDIF. PARTIE 6: CONFIGURATION DES OUTILS CLIENTS : Afin de ne pas avoir à retaper toute la syntaxe à chaque commande ldap, nous allons configurer le fichier ldap.conf pour l'adapter à notre domaine. Editez le fichier ldap.conf et modifier les deux lignes suivantes (n'oubliez pas d'enlever les # devant) : BASE URI dc=domn,dc=net ldap://debiann.domn.net:389 Vous pouvez maintenant, utilisez les commandes ldap sans spécifier le domaine, ni le serveur. Vous pouvez vérifier avec la commande : ldapsearch x Cette commande fait une recherche et vous affiche tout le contenu de l'annuaire. PARTIE 7: INSTALLATION D'UN OUTIL CLIENT GRAPHIQUE : Pour mieux visionner l'arborescence de notre annuaire, nous allons installer un client graphique écrit en php : phpldapadmin. Cet outil est packagé pour Debian, nous avons juste à l'installer avec la commande : apt-get install phpldapadmin L'installation redémarre automatiquement apache, nous pouvons donc vérifier le fonctionnement de notre annuaire en ouvrant notre navigateur Web (sous Ubuntu) à l'adresse : 172.16.N.2/phpldapadmin/ Cliquez sur Login (à gauche) pour vous identifier. Login DN: cn=admin,dc=domn,dc=net Password : PASSWORD

Votre arborescence doit apparaitre dans la partie gauche. Vous pouvez la développez en cliquant sur le signe + à gauche de la mappemonde. Pour l'instant, vous ne voyez que votre domaine et vos unités d'organisation. Nous allons compléter l'arborescence avec des groupes et des utilisateurs. PARTIE 8: GESTION DES COMPTES POSIX : Comme indiqué en partie3, Samba à besoin de deux types de compte, des comptes POSIX qui sont nos comptes Debian, des comptes SAMBA. Il faut donc que notre annuaire puisse aussi dialoguer avec ces deux types de comptes pour être opérationnel. La première étape est donc de configurer notre serveur GNU/Linux pour aller chercher les comptes POSIX sur l'annuaire. Nous allons pour ceci utiliser le mécanisme "nsswitch". nsswitch (Name Service Switch) permet de rediriger les requêtes de noms vers des sources très diverses. Une requête de nom est le fait d'obtenir des informations concernant un nom particulier (résoudre un login en uid, un nom de machine en adresse IP, connaître le répertoire home d'un utilisateur, etc...). La source de ces données est habituellement un fichier (/etc/passwd, /etc/shadow, /etc/hosts) mais elle peut être une base de données ou un annuaire car nsswitch propose un mécanisme de plugins qui permet d'étendre ses capacités d'interconnexion. Le plug-in pour ldap s'appelle : libnss-ldap. Commencez par installer le paquet du même nom. Un assistant de configuration vous pose quelques questions. Validez rapidement (avec entreé), nous allons revoir la configuration manuellement. Le fichier de configuration de la librairie se nomme /etc/libnss-ldap.conf Par sécurité, commencez par renommer (mv) ce fichier en libnss-ldap.old Créez ensuite un nouveau fichier /etc/libnss-ldap.conf avec le contenu suivant : host 127.0.0.1 port 389 base dc=domn,dc=net ldap_version 3 scope sub # Emplacement des comptes nss_base_passwd dc=domn,dc=net?sub nss_base_group ou=groups,dc=domn,dc=net?one nss_base_shadow dc=domn,dc=net?sub nss_base_hosts ou=machines,dc=domn,dc=net?one La partie importante du fichier concerne l'emplacement des comptes : il faut spécifier où trouver les informations fournies habituellement par /etc/passwd (les comptes utilisateurs) et celles fournies par /etc/group (les comptes de groupes). Une fois notre librairie configurée, il faut activer la recherche dans LDAP au niveau de nsswitch. Ceci se fait très simplement en modifiant le fichier /etc/nsswitch.conf : passwd: compat ldap group: compat ldap shadow: compat ldap hosts: networks: protocols: services: ethers: db files rpc: files dns files db files db files db files netgroup: nis

Il suffit d'ajouter "ldap" à la fin des entrées passwd, group et shadow. Ceci signifie que pour chaque type de résolution, nsswitch utilisera tout d'abord le mode compat (recherche dans les fichiers appropriés) en priorité, puis le mode LDAP. Rebootez la machine Debian pour que ces modifications soient prises en compte. PARTIE 9: AJOUT D'UN GROUPE ET D'UN UTILISATEUR: Notre annuaire LDAP est maintenant prêt à recevoir des groupes et des utilisateurs. Pour les ajouter à notre arborescence, nous utiliserons l'outil client ldapadd comme lors de l'initialisation de l'annuaire. Afin de ne pas fausser le TP, nous allons supprimer les comptes existants. userdel usern1 userdel usern2 groupdel smbusers Ensuite, récupérez les deux fichiers suivants sur le serveur ftp : utilisateur.ldif groupe.ldif Modifiez ces fichiers pour les adapter à votre configuration (domn et usern). Dans le fichier utilisateur, indiquez votre Nom et votre Prénom dans l'attribut Description. Insérer les entrées dans l'annuaire avec la commande ldapadd : ldapadd W D "cn=admin,dc=domn,dc=net" f groupe.ldif ldapadd W D "cn=admin,dc=domn,dc=net" f utilisateur.ldif Le mot de passe demandé est toujours celui du compte admin : PASSWORD Vous pouvez vérifier que tout c'est bien passé avec les commandes : getent passwd getent shadow getent group id usern Ces commandes interrogent les fichiers indiqués, vous devez voir apparaitre votre utilisateur avec l'uid 10001 et votre groupe avec le GID 2000. La dernière commande vous renvoie l'uid de l'utilisateur (10001), ainsi que le groupe auquel il appartient et son GID (2000). Vous pouvez aussi voir le résultat avec phpldapadmin

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back