Installation et configuration d un serveur OpenLDAP sous Debian



Documents pareils
Authentification des utilisateurs avec OpenLDAP

Conférence technique sur Samba (samedi 6 avril 2006)

LDAP : pour quels besoins?

RTN / EC2LT Réseaux et Techniques Numériques. Ecole Centrale des Logiciels Libres et de Télécommunications

Annuaire LDAP + Samba

OpenLDAP, un outil d administration Réseau. Une implémentation d OpenLDAP


OpenLDAP au quotidien: trucs et astuces

Authentification des utilisateurs avec OpenLDAP et Samba 3.0

INSTALLATION ET CONFIGURATION DE OPENLDAP

Serveur Linux : FTP. Mise en place d un service FTP sous Linux. Bouron Dimitri 20/04/2014

LDAP et carnet d'adresses mail

Institut Universitaire de Technologie

Description de la maquette fonctionnelle. Nombre de pages :

Annuaire LDAP, SSO-CAS, ESUP Portail...

M2-ESECURE Rezo TP3: LDAP - Mail

Serveur DNS et DHCP couplé à LDAP Debian GNU/Linux

Configuration d'un annuaire LDAP

Création d un contrôleur de domaine sous Linux

Utiliser Améliorer Prêcher. Introduction à LDAP

OpenLDAP. Astuces pour en faire l'annuaire d'entreprise idéal THÈME TECHNIQUE - ADMINISTRATION SYSTÈME. Jonathan CLARKE - jcl@normation.

Administration Système

Déploiement de (Open)LDAP

Administration et Architectures des Systèmes

Synchronisation d'annuaire Active Directory et de base LDAP

Master 2 TIIR. Systèmes UNIX TP Administration avancée septembre 2013

Client Debian Squeeze et serveur SambaEdu3

Introduction...3. Objectif...3. Manipulations...3. Gestion des utilisateurs et des groupes...4. Introduction...4. Les fichiers de base...

Outils Logiciels Libres

Installation et configuration de Vulture Lundi 2 février 2009

Couplage openldap-samba

Environnements informatiques

Tutorial OpenLDAP. Installation et configuration (clients/serveurs) Migration NIS LDAP dans GRID5000 Sécurisation par SSL et optimisations

TP n 2 : Installation et administration du serveur ProFTP. Partie 1 : Fonctionnement du protocole FTP (pas plus de 15min)

Live box et Nas Synology

Authentification des utilisateurs avec OpenLDAP et Samba 3.0

L annuaire et le Service DNS

Méta-annuaire LDAP-NIS-Active Directory

Imprimantes et partage réseau sous Samba avec authentification Active Directory

Zimbra Forum France. Montée en charge et haute disponibilité. Présenté par Soliman HINDY Société Netixia

Windows 2000 Server Active Directory

Phase 1 : Introduction 1 jour : 31/10/13

arcopole Studio Annexe 4 Intégration LDAP et processus d authentification Site du programme arcopole :

OpenLDAP, un outil d administration réseau. (Implémentation d openldap à l INRA de Rennes)

Administration Système

But de cette présentation. Contrôleur de domaine avec Samba (rédigé pour Ubuntu Server) Introduction. Samba: principes

Chapitre 32 : Authentification des comptes utilisateurs

Une unité organisationnelle (Staff) comporte une centaine d'utilisateur dans Active Directory.

LP Henri Becquerel - Tours

IUP GMI Avignon. Projet - IUPBox II. Tuteur : Rachid Elazouzi

Déploiement d'un serveur ENT

Authentification unifiée Unix/Windows

Administration système UNIX version 7.0

sshgate Patrick Guiran Chef de projet support

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

1. Présentation du TP

Active Directory. Structure et usage

Architecture PKI en Java

1 Introduction à l infrastructure Active Directory et réseau

Automatiser la création de comptes utilisateurs Active Directory

Les clients GNU/Linux

Client windows Nagios Event Log

Jeudis du libre, Samba ou comment donner le rythme aux stations Windows

MANUEL D INSTALLATION D UN PROXY

Intégration de Cisco CallManager IVR et Active Directory

Authentification sur réseau sans-fil Utilisation d un serveur radius Expérience du CENBG

Groupe Eyrolles, 2004 ISBN :

Introduction. Pourquoi LTSP? Comment fonctionne-t-il? CIP Kevin LTSP BTS SIO

ZIMBRA Collaboration Suite SAMBA OPENVPN

PARAMETRER SAMBA 2.2

Kerberos : Linux, Windows et le SSO

Installation de Zabbix

TD3 - Radius et IEEE 802.1x

et Active Directory Ajout, modification et suppression de comptes, extraction d adresses pour les listes de diffusion

Integration à un domaine AD SOMMAIRE

Installation de la plate-forme Liberacces 2.0 «Intégrale» avec LiberInstall

L'AAA, késako? Bruno Bonfils, fr.org>, Novembre Sous ce terme d'apparence barbare est regroupé l'ensemble des concepts suivants :

LINUX Préparation à la certification LPIC-3 (examen LPI 300) - 2ième édition

Les cahiers pratiques de Anonymat.org. SocksCap32. Edition du 20 Octobre 2000

Catalogue des formations 2015

Linux et le Shell. Francois BAYART. Atelier du samedi 20 Novembre

Utilisation des services de noms et d'annuaire Oracle Solaris 11.2 : LDAP

Annuaires LDAP et méta-annuaires

Cisco Certified Network Associate

BTS SIO option SISR Lycée Godefroy de Bouillon Clermont-Ferrand

Projet Administration Réseaux

Journée Josy/PLUME. Outils logiciels libres utiles à tout ASR SAMBA. Maurice Libes. Centre d'océanologie de Marseille UMS 2196 CNRS

NFS Maestro 8.0. Nouvelles fonctionnalités

Installation du transfert de fichier sécurisé sur le serveur orphanet

- FICHE DE PROCEDURE - Configurer un serveur DNS avec Bind9 sur Debian

Documentation FOG. 3. Choisir le nom de la machine, le nom d utilisateur et le mot de passe correspondant (par exemple : fog, password)

Administration système UNIX version 8.0

PUPPET. Romain Bélorgey IR3 Ingénieurs 2000

SQL Server et Active Directory

Sécurité en MAC OS X [Nom du professeur]

Cours 420-KEG-LG, Gestion de réseaux et support technique. Atelier No5-1

Les Audits. 3kernels.free.fr 1 / 10

Zoom sur Newtest LDAP intégration

HYPERPLANNING EST UN LOGICIEL INDEX EDUCATION

Transcription:

Installation et configuration d un serveur OpenLDAP sous Debian Introduction : OpenLDAP est une implémentation libre du protocole LDAP développée par The OpenLDAP Project. Lightweight Directory Access Protocol (LDAP) est à l origine un protocole permettant l interrogation et la modification des services d annuaire. Nous allons utiliser le serveur LDAP afin de centraliser les informations utilisateurs des sites et services du serveur. En effet la plus par des services telles que les serveurs web, ftp, proxy peuvent s authentifier sur un serveur LDAP Pour plus de détail, allez sur le wiki : http://fr.wikipedia.org/wiki/openldap

1. Installation de «OpenLDAP» sous Debian 7 Changement du nom de la machine : 1. éditer le fichier /etc/hostname afin d avoir : mars.test.local 2. vérifier le nom attribué à votre machine en exécutant la commande : hostname -f Contenue du fichier /etc/hosts Installation des paquets nécessaires : commencez par mettre à jour votre machine Debian : # aptitude update;aptitude upgrade Installer les paquets de LDAP (slapd, ldap-utils) : aptitude -y install slapd ldap-utils OpenLDAP est constitué de 3 éléments principaux : 1. slapd (Stand-alone LDAP Daemon): demon LDAP autonome. Il écoute les connexions LDAP sur n'importe quel port (389 par défaut) et répond aux opérations LDAP qu'il reçoit via ces connexions. Typiquement, slapd est appelé au moment du boot. 2. des bibliothèques implémentant le protocole LDAP. 3. des utilitaires, des outils et des exemples de clients. (source Wiki)

Indiquer le mot de passe de l administrateur de l annuaire LDAP Pour l instant rien ne nous garantit que le service de l annuaire fonctionne correctement et ce même en exécutant la commande : slapcat laquelle ne permet qu interroger l annuaire.

Nous allons créer un nouveau fichier appelé base.ldif qui va servir pour la création de notre domaine test.local La commande ldapadd -x -D cn=admin,dc=test,dc=local -W -f base.ldif permet d utiliser le fichier base.ldif pour ajouter des entrées dans la base.

Dans ce qui suit nous allons ajouter les utilisateurs qui ont, par exemple, des UID entre 1000 et 9999, pour cela éditons le fichier /etc/passwd Le script Shell ldapuser.sh va extraire ces utilisateurs et va les rediriger vers un autre fichier ldapuser.ldif pour une réutilisation ultérieur #!/bin/bash SUFFIX='dc=test,dc=local' LDIF='ldapuser.ldif' echo -n > $LDIF for line in `grep "x:[1-9][0-9][0-9][0-9]:" /etc/passwd sed -e "s/ /%/g"` do UID1=`echo $line cut -d: -f1` NAME=`echo $line cut -d: -f5 cut -d, -f1` if [! "$NAME" ] then NAME=$UID1 else NAME=`echo $NAME sed -e "s/%/ /g"` fi SN=`echo $NAME awk '{print $2}'` if [! "$SN" ] then SN=$NAME fi GIVEN=`echo $NAME awk '{print $1}'` UID2=`echo $line cut -d: -f3`

GID=`echo $line cut -d: -f4` PASS=`grep $UID1: /etc/shadow cut -d: -f2` SHELL=`echo $line cut -d: -f7` HOME=`echo $line cut -d: -f6` EXPIRE=`passwd -S $UID1 awk '{print $7}'` FLAG=`grep $UID1: /etc/shadow cut -d: -f9` if [! "$FLAG" ] then FLAG="0" fi WARN=`passwd -S $UID1 awk '{print $6}'` MIN=`passwd -S $UID1 awk '{print $4}'` MAX=`passwd -S $UID1 awk '{print $5}'` LAST=`grep $UID1: /etc/shadow cut -d: -f3` echo "dn: uid=$uid1,ou=people,$suffix" >> $LDIF echo "objectclass: inetorgperson" >> $LDIF echo "objectclass: posixaccount" >> $LDIF echo "objectclass: shadowaccount" >> $LDIF echo "uid: $UID1" >> $LDIF echo "sn: $SN" >> $LDIF echo "givenname: $GIVEN" >> $LDIF echo "cn: $NAME" >> $LDIF echo "displayname: $NAME" >> $LDIF echo "uidnumber: $UID2" >> $LDIF echo "gidnumber: $GID" >> $LDIF echo "userpassword: {crypt}$pass" >> $LDIF echo "gecos: $NAME" >> $LDIF echo "loginshell: $SHELL" >> $LDIF echo "homedirectory: $HOME" >> $LDIF echo "shadowexpire: $EXPIRE" >> $LDIF echo "shadowflag: $FLAG" >> $LDIF echo "shadowwarning: $WARN" >> $LDIF echo "shadowmin: $MIN" >> $LDIF echo "shadowmax: $MAX" >> $LDIF echo "shadowlastchange: $LAST" >> $LDIF echo >> $LDIF done NB: n oublier pas de rendre votre fichier exécutable, puis de l exécuter pour obtenir le fichier ldapuser.ldif La sortie du fichier ldapuser.ldif : dn: uid=khalid,ou=people,dc=test,dc=local objectclass: inetorgperson objectclass: posixaccount objectclass: shadowaccount uid: khalid sn: khalid givenname: khalid

cn: khalid displayname: khalid uidnumber: 1000 gidnumber: 1000 userpassword: {crypt}$6$ofnwdfap$rdjnz2lxfjlc12rsl7qv3xw6ydxy64xvsvawhdo4bf.mhder8d4f/7wiurddeztv Sn8ILwYBZL9DyjLC8N4uh0 gecos: khalid loginshell: /bin/bash homedirectory: /home/khalid shadowexpire: -1 shadowflag: 0 shadowwarning: 7 shadowmin: 0 shadowmax: 99999 shadowlastchange: 16241 dn: uid=user1,ou=people,dc=test,dc=local objectclass: inetorgperson objectclass: posixaccount objectclass: shadowaccount uid: user1 sn: user1 givenname: user1 cn: user1 displayname: user1 uidnumber: 1001 gidnumber: 1001 userpassword: {crypt}! gecos: user1 loginshell: /bin/sh homedirectory: /home/user1 shadowexpire: -1 shadowflag: 0 shadowwarning: 7 shadowmin: 0 shadowmax: 99999 shadowlastchange: 16300 dn: uid=user2,ou=people,dc=test,dc=local objectclass: inetorgperson objectclass: posixaccount objectclass: shadowaccount uid: user2 sn: user2 givenname: user2 cn: user2 displayname: user2 uidnumber: 1002 gidnumber: 1002 userpassword: {crypt}! gecos: user2

loginshell: /bin/sh homedirectory: /home/user2 shadowexpire: -1 shadowflag: 0 shadowwarning: 7 shadowmin: 0 shadowmax: 99999 shadowlastchange: 16300 De la même façon que précédemment, on ajoute des entrées concernant nos utilisateurs en utilisant le fichier ldapuser.ldif, la commande est : ldapadd -x -D cn=admin,dc=test,dc=local -W -f ldapuser.ldif Comme pour les utilisateurs, on va maintenant extraire les groupes ayant un GUID de 4 digits. Le script s appelle ldapgroup.sh #!/bin/bash SUFFIX='dc=test,dc=local' LDIF='ldapgroup.ldif' echo -n > $LDIF for line in `grep "x:[1-9][0-9][0-9][0-9]:" /etc/group` do CN=`echo $line cut -d: -f1` GID=`echo $line cut -d: -f3` echo "dn: cn=$cn,ou=groups,$suffix" >> $LDIF echo "objectclass: posixgroup" >> $LDIF echo "cn: $CN" >> $LDIF echo "gidnumber: $GID" >> $LDIF users=`echo $line cut -d: -f4 sed "s/,/ /g"` for user in ${users} ; do echo "memberuid: ${user}" >> $LDIF done echo >> $LDIF done Rendez le fichier ldepgroup.sh exécutable, puis exécutez-le.

Le fichier ldapgroup.sh génère ldapgroup.ldif dn: cn=khalid,ou=groups,dc=test,dc=local objectclass: posixgroup cn: khalid gidnumber: 1000 dn: cn=user1,ou=groups,dc=test,dc=local objectclass: posixgroup cn: user1 gidnumber: 1001 dn: cn=user2,ou=groups,dc=test,dc=local objectclass: posixgroup cn: user2 gidnumber: 1002 La commande : ldapadd -x -D cn=admin,dc=test,dc=local -W -f ldapgroup.ldif permet d ajouter des entrées concernant les groupes dans l annuaire en utilisant le fichier ldapgroup.ldif Remarque : Si vous voulez supprimer un utilisateur de l annuaire, faites la commande : ldapdelete -x -W -D 'cn=admin,dc=test,dc=local' "uid=khalid,ou=people,dc=test,dc=local" Si vous voulez supprimer un groupe de l annuaire, faites la commande : ldapdelete -x -W -D 'cn=admin,dc=test,dc=local' "cn=khalid,ou=people,dc=test,dc=local"

Installation du client OpenLDAP Exécuter sur la machine client la commande: aptitude -y install libnss-ldap libpam-ldap ldap-utils Utilisez le nom distinctif (DN) de la base de recherche : test.local

Utilisez la derrière version de LDAP, soit: 3 Choisissez oui :

Choisissez Non Fournissez le compte de votre administrateur de LDAP.

Saisissez le mot de passe de l administrateur de LDAP Acceptez ce message

Dans le fichier /etc/nsswitch.conf, changez les lignes : 7, 8, 9 et 19 comme suit : Dans le fichier /etc/pam.d/common-password, changez la ligne : 26 en supprimant le mot : use_authtok

Si nécessaire, et à la fin du fichier /etc/pam.d/common-session, Ajoutez la ligne : session optional pam_mkhomedir.so skel=/etc/skel umask=077 Cela vous permet de créer, automatiquement, le «home directory» à la première connexion. Sauvegarez le fichier et redemarrez votre machine. Essayez maintenant de se connecter en tant user1 ou user2 que vous avez créez sur la machine serveur : On remarque que le «home Directory» de l utilisateur user1, qui se trouve dans l annuaire, est créé localement sur la machine cliente, soit : /home/user1. On peut aussi remarquer qu aucune entrée concernant user1 et user2 ne figure sur le fichier /etc/passwd du client : Remarque : Vous pouvez stopper LDAP sur la machine serveur et essayer de se connecter en tant que user1 ou user2 sur la machine cliente pour vérifier l opérationnalité de votre annuaire.

Liens utiles : http://switzernet.com/3/public/101010-ldap/ http://www.server-world.info/en/note?os=debian_7.0&p=ldap&f=1

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back