TP - OpenLdap v1.

4 Page 1 sur 14





TP OpenLDAP
ver : 1.4
TP - OpenLdap v1.4 Page 2 sur 14


sur le Fed13;
Lancer Wireshark (Applications Internet Wireshark)
et la lancer la capture sur la carte " pseudo-device ...".
Faire crer un dossier dans le bureau du serveur linux nomm 'ldap' et copier dedans les fichiers annexe de ce TP.
TP - OpenLdap v1.4 Page 3 sur 14

Au niveau serveur :
1. vrifier la prsence des paquetages du service openldap !!! (openldap-2 ; openldap-servers-2 et
openldap-clients-2) sinon installez les .
#rpm -ivh openldap-servers-2.4.21-4.fc13.i686.rpm ..

2. Faire une copie du fichier de configuration :
# cp /usr/share/openldap-servers/slapd.conf.obsolete /etc/openldap/slapd.conf
3. Paramtrer le fichier de configuration du service slapd.conf, comme suit :
#vim /etc/openldap/slapd.conf

Modifier les valeurs sur des paramtres suivantes :
suffix "dc=domain,dc=local"
rootdn "cn=Manager,dc=domain,dc=local"

access to *
by dn.exact="cn=Manager,dc=domain,dc=local" read
by * none

4. D-commenter la ligne :
rootpw secret




5. Enregistrer et quitter.
6. Supprimer les fichiers et le dossier slapd.d/ (attention il ne faut oublier le slash)
#rm -Rf /etc/openldap/slapd.d/
#chown -R ldap:ldap /etc/openldap/slapd.d

7. Crer le fichier de la base de donne;
#cp /usr/share/doc/openldap-servers-2.4.21/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
8. Changer les proprietaires (user& group)
#chown -Rf ldap:ldap /var/lib/ldap/
9. Vrifier !
#ls -l /var/lib/ldap/
10. Vrifier la configuration ;
#slaptest -u
11. Configurer le service slapd pour qu'il soit lancer dans les niveaux d'execution 3 ; 4 et 5.
#chkconfig --level 345 slapd on
12. Changer les propritaires (user& group) du fichier slapd.conf
#chown -Rf ldap:ldap /etc/openldap/slapd.conf

13. Dmarrer le service Slapd
#service slapd start

TP - OpenLdap v1.4 Page 4 sur 14

14. Ouvrir le fichier "domain.ldif", puis faire importer son contenu dans l'annuaire.
#ldapadd -x -W -D "cn=Manager,dc=domain,dc=local" -f domain.ldif
le mot de passe est "secret"


TP - OpenLdap v1.4 Page 5 sur 14

Exporter les utilisateurs du systme Linux dans l'annuaire :

15. Dfinir la classe d'objet "samba"
#cp /usr/share/doc/samba-3.5.2/LDAP/samba.schema /etc/openldap/schema/
existe deja
#vim /etc/openldap/slapd.conf

16. Ajouter cette ligne au-dessous des lignes ou il y a ce types de ligne "include .."
include /etc/openldap/schema/samba.schema
enregistrer et quitter

# service slapd restart

17. Installer Migration Tools ou vrifier son installation
Migrationtools : un ensemble de scripts shell et Perl pour la migration des informations d'authentification vers
un format LDAP.
#rpm -ivh migrationtools-47-6.fc13.noarch.rpm

18. Modifiez le fichier migrate_common.ph de manire ce qu'il reflte le domaine appropri.
#vim /usr/share/migrationtools/migrate_common.ph

Changer les lignes 71 & 74 comme suit :
# Default DNS domain
$DEFAULT_MAIL_DOMAIN = "domain.local";
# Default base
$DEFAULT_BASE = "dc=domain,dc=local";
enregistrer et quiiter

19. exporter les utilisateurs & groupes locaux du serveur dans l'annuaire : (voir annexe)
#/usr/share/migrationtools/migrate_passwd.pl /etc/passwd people.ldif
#/usr/share/migrationtools/migrate_group.pl /etc/group group.ldif

20. Importer des Entres dans l'annuaire:
#ldapadd -x -W -D "cn=Manager,dc=domain,dc=local" -f ou.ldif
#ldapadd -x -W -D "cn=Manager,dc=domain,dc=local" -w secret -f people.ldif
#ldapadd -x -W -D "cn=Manager,dc=domain,dc=local" -w secret -f group.ldif


21.
#ldapsearch -x -b 'dc=domain,dc=local' '(objectclass=*)'
# slapcat -l export.ldif
#vim export.ldif
TP - OpenLdap v1.4 Page 6 sur 14


22. Configurer TLS pour le service OpenLDAP :
#cd /etc/openldap/cacerts/
#openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout ldapskey.pem -out ldapscert.pem
NB : il faut dfinir dans le FQDN, le nom du serveur complet "fed13-s1.domain.local"
cp /usr/share/openldap-servers/slapd.conf.obsolete /etc/openldap/slapd.conf
#chown -R ldap:ldap *
#chmod 0400 ldapskey.pem
#scp ldapscert.pem root@192.168.1.201:/etc/openldap/cacerts/
#vim /etc/openldap/slapd.conf

ajouter les lignes suivantes :
TLSCertificateFile /etc/openldap/cacerts/ldapscert.pem
TLSCertificateKeyFile /etc/openldap/cacerts/ldapskey.pem
TLSCipherSuite TLSv1+RSA:!NULL
TLSVerifyClient never

#service slapd restart

Pour dfinir un mot de passe crypt utiliser l'outil :
#slappasswd -h {MD5}
copier le rsultat obtenu apres le saisi du mot de passe et la mettre dans le fichier slapd.conf devant la directive
rootpw
et n'oublie pas de comment la ligne rootpw secret. -:(

TP - OpenLdap v1.4 Page 7 sur 14

Utilisation de l'outil "phpldapadmin":
installation php; php-ldap;
#rpm -ivh /media/Fedora\ 13\ i386\ DVD/Packages/php-common-5.3.1-3.fc13.i686.rpm
# rpm -ivh /media/Fedora\ 13\ i386\ DVD/Packages/php-cli-5.3.1-3.fc13.i686.rpm
# rpm -ivh /media/Fedora\ 13\ i386\ DVD/Packages/php-5.3.1-3.fc13.i686.rpm
#rpm -ivh /media/Fedora\ 13\ i386\ DVD/Packages/php-ldap-5.3.1-3.fc13.i686.rpm
# rpm -ivh phpldapadmin-1.2.0.5-1.fc13.noarch.rpm

Dmarrage du service Web Apache :
#service httpd start

Accs :
pour utiliser l'application, ouvrir le navigateur Firefox, puis taper le lien : http://localhost/phpldapadmin/
pour le login : cn=Manager,dc=domain,dc=local
et le pwd : secret

vous pouvez crer; modifier ; supprimer diffrents entres dans l'annuaire travers cette application.
NB : lors de la cration de l'utilisateur 'Gnrique : Compte Utilisateur', il faut choisir dans le mot de passe
l'algotithme 'MD5crypt' ou 'crypt'

TP - OpenLdap v1.4 Page 8 sur 14

Utilisation de l'outil webmin :
installation :
#rpm -ivh webmin-1.570-1.noarch.rpm
Accs :
ouvrir le navigateur Internet et accder au lien http://127.0.0.1:10000/
installer un package perl-LDAP pour grer les DES de l'annuaire l'aide de webmin:
#yum install perl-LDAP

Avec cette application vous pouvez grer le systme Linux entier et tous les services installs sur la
machine Linux;
pour grer le service Openldap , cliquer sur "Servers" , puis 'Ldap server'.


Les outils openldap :
#slapcat -l file.ldif
#slappasswd -h {crypt}
#slaptest -u



TP - OpenLdap v1.4 Page 9 sur 14

Au niveau client :
ouvrir une session avec le compte "user2" et password "123456".
afficher le contenu du fichier '/etc/nsswitch.conf'; et l'outil : authconfig-tui.
installer le paquetage 'openldap-clients'.

configurer l'authentification via LDAP, et prciser l'@ip du serveur openldap, et la base 'dc=domain,dc=local'.

Modifier le fichier nsswitch.conf
#vim /etc/nsswitch.conf
et modifier les lignes 33 34 35 , en ajoutant le mot ldap aprs files
passwd: files ldap sss
shadow: files ldap sss
group: files ldap sss

redmarrer la machine,


#ldapsearch -x -D "cn=Manager,dc=domain,dc=local" -w secret > contenuldap
ou
#ldapsearch -x -b " dc=domain,dc=local > contenuldap

TP - OpenLdap v1.4 Page 10 sur 14



Annexe :
fichiers LDIF
domain.ldif
dn: dc=domain,dc=local
objectclass: dcObject
objectclass: organization
o: MY ORGANIZATION
dc: domain

dn: cn=Manager,dc=domain,dc=local
objectclass: organizationalRole
cn: Manager

ou.ldif
dn: ou=Group, dc=domain, dc=local
objectclass: organizationalUnit
ou: Group

dn: ou=People, dc=domain, dc=local
objectclass: organizationalUnit
ou: People

dn: ou=Computers, dc=domain, dc=local
objectclass: organizationalUnit
ou: Computers

People.ldif

dn: uid=user,ou=People,dc=domain,dc=local
uid: user
cn: user
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
userPassword: {crypt}$1$ijDgABeS$uwtk4tkUIU7meM8WCuMxK.
shadowLastChange: 15312
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 500
gidNumber: 500
TP - OpenLdap v1.4 Page 11 sur 14

homeDirectory: /home/user
gecos: user
.

Group.ldif

dn: cn=user,ou=Group,dc=domain,dc=local
objectClass: posixGroup
objectClass: top
cn: user
userPassword: {crypt}x
gidNumber: 500
..

TP - OpenLdap v1.4 Page 12 sur 14




Fichiers de configuration :
/etc/openldap/ldap.conf Ce fichier est le fichier de configuration pour toutes les applications
clientes qui utilisent les bibliothques OpenLDAP telles que ldapsearch, ldapadd, Sendmail, Evolution
et Gnome Meeting.
/etc/openldap/slapd.conf Ce fichier est le fichier de configuration du dmon slapd.
Le rpertoire /etc/openldap/schema/ Ce sous-rpertoire contient le schma utilis par le dmon
slapd.
Remarque
Si le paquetage nss_ldap est install, il cre un fichier nomm /etc/ldap.conf. Ce fichier est
utilis par les modules PAM et NSS fournis par le paquetage nss_ldap.

TP - OpenLdap v1.4 Page 13 sur 14


Configuration d'un systme pour l'authentification avec OpenLDAP
Cette section donne un bref aperu de la manire de configurer l'authentification des utilisateurs l'aide
d'OpenLDAP.
Installez les paquetages LDAP ncessaires
Les paquetages openldap, openldap-clients et nss_ldap doivent tre installs sur tous les
ordinateurs clients LDAP.
ditez des fichiers de configuration
Sur les ordinateurs clients, /etc/ldap.conf et /etc/openldap/ldap.conf doivent
contenir le bon serveur et les bonnes informations de la base de recherche pour
l'organisation.
Pour ce faire, lancez l'Outil de configuration d'authentification graphique (system-
config-authentication) et slectionnez Activer le support LDAP sous l'onglet
Informations utilisateur.
Vous pouvez galement modifier ces fichiers manuellement.
Sur les ordinateurs clients, le fichier /etc/nsswitch.conf doit tre dit afin de pouvoir
utiliser LDAP.
Pour ce faire, lancez l'Outil de configuration d'authentification (system-config-
authentication) et slectionnez Activer le support LDAP sous l'onglet Informations
utilisateur.
Si vous ditez /etc/nsswitch.conf manuellement, ajoutez ldap aux lignes appropries.
Comme par exemple :
passwd: files ldap
shadow: files ldap
group: files ldap

TP - OpenLdap v1.4 Page 14 sur 14



Pages de manuel de LDAP Il existe un nombre de pages de manuel pour les diverses applications et
fichiers de configuration utiliss avec LDAP. La liste suivante contient certaines des pages de manuel les
plus importantes.
Applications client
man ldapadd Dcrit comment ajouter des entres un rpertoire LDAP.
man ldapdelete Dcrit comment supprimer des entres dans un rpertoire LDAP.
man ldapmodify Dcrit comment modifier des entres dans un rpertoire LDAP.
man ldapsearch Dcrit comment rechercher des entres dans un rpertoire LDAP.
man ldappasswd Dcrit comment dfinir ou modifier le mot de passe d'un utilisateur de LDAP.
Applications serveur
man slapd Dcrit les options de ligne de commande pour le serveur LDAP.
man slurpd Dcrit les options de ligne de commande pour le serveur de rplication LDAP.
Applications administratives
man slapadd Dcrit les options de ligne de commande utilises pour ajouter des entres dans une base
de donnes slapd.
man slapcat Dcrit les options de ligne de commande utilises pour gnrer un fichier LDIF partir
d'une base de donnes slapd.
man slapindex Dcrit les options de ligne de commande utilises pour rgnrer un index selon le
contenu d'une base de donnes slapd.
man slappasswd Dcrit les options de ligne de commande utilises pour gnrer des mots de passe
d'utilisateur pour les rpertoires LDAP.
Fichiers de configuration
man ldap.conf Dcrit le format et les options disponibles au sein du fichier de configuration pour les
clients LDAP.
man slapd.conf Dcrit le format et les options disponibles au sein du fichier de configuration
rfrenc aussi bien par les applications serveur de LDAP (slapd et slurpd) que par les outils
administratifs de LDAP (slapadd, slapcat et slapindex).