Vous êtes sur la page 1sur 16

Environnement exp erimental

Le protocole LDAP
TP: Authentication LDAP sous GNU/Linux
Benoit M etrot
Rencontres Mathrice - Mars 2008
Benoit M etrot TP: Authentication LDAP sous GNU/Linux
Environnement exp erimental
Le protocole LDAP
Plan
1
Environnement exp erimental
2
Le protocole LDAP
Benoit M etrot TP: Authentication LDAP sous GNU/Linux
Environnement exp erimental
Le protocole LDAP
Logiciels install es
Distribution Ubuntu 7.10
VirtualBox 1.5.0
Trois machines virtuelles sous Debian Etch
R eseau priv e virtuel en 192.168.1.0/24
Isol e du r eseau physique de la salle
Conguration par SSH/SCP ou via la console VirtualBox
Identiants : tpldap / mathrice
Benoit M etrot TP: Authentication LDAP sous GNU/Linux
Environnement exp erimental
Le protocole LDAP
Machines virtuelles
Master :
IP : 192.168.1.2
Role : Serveur LDAP principal
Replica :
IP : 192.168.1.3
Role : Replica du serveur LDAP principal
Client :
IP : 192.168.1.4
Role : Tester lauthentication LDAP
Benoit M etrot TP: Authentication LDAP sous GNU/Linux
Environnement exp erimental
Le protocole LDAP
Machines virtuelles
Master :
IP : 192.168.1.2
Role : Serveur LDAP principal
Replica :
IP : 192.168.1.3
Role : Replica du serveur LDAP principal
Client :
IP : 192.168.1.4
Role : Tester lauthentication LDAP
Benoit M etrot TP: Authentication LDAP sous GNU/Linux
Environnement exp erimental
Le protocole LDAP
Machines virtuelles
Master :
IP : 192.168.1.2
Role : Serveur LDAP principal
Replica :
IP : 192.168.1.3
Role : Replica du serveur LDAP principal
Client :
IP : 192.168.1.4
Role : Tester lauthentication LDAP
Benoit M etrot TP: Authentication LDAP sous GNU/Linux
Environnement exp erimental
Le protocole LDAP
VirtualBox OSE
Benoit M etrot TP: Authentication LDAP sous GNU/Linux
Environnement exp erimental
Le protocole LDAP
Plan
1
Environnement exp erimental
2
Le protocole LDAP
Benoit M etrot TP: Authentication LDAP sous GNU/Linux
Environnement exp erimental
Le protocole LDAP
Un service dannuaire
Alternative l eg` ere ` a la norme X.500
Concu ` a luniversit e du Michigan en 1993
Repris ensuite par lIETF
D eni par un ensemble de RFC dont :
RFC-3377 Lightweight Directory Access Protocol(v3) :
Technical specication
RFC-2829 Authentication methods for LDAP
RFC-2830 Lightweight Directory Access Protocol(v3) :
Extension for Transport Security Layer
Benoit M etrot TP: Authentication LDAP sous GNU/Linux
Environnement exp erimental
Le protocole LDAP
Repr esentation de lannuaire
dc=mathrice,dc=prive
ou=people ou=groups
uid=DCOUDUR
uid=MZETHOFR
uid=CMEDAILL
Chaque noeud de larbre correspond ` a une entr ee de lannuaire
Benoit M etrot TP: Authentication LDAP sous GNU/Linux
Environnement exp erimental
Le protocole LDAP
Denitions (1)
Entr ee
Une entr ee est un el ement de lannuaire. Elle repr esente une
personne, un ordinateur, un groupe, un nom de machine.
Attributs
Une entr ee est compos ee dattribut. Un attribut est un champ
dinformation. Il repr esente un num ero de t el ephone, un nom,
un mot de passe, un num ero dutilisateur.
Classe dobjet
Chaque entr ee poss` ede une classe dobjet (objectClass). Cela
d enit ce que va repr esenter lentr ee.
Benoit M etrot TP: Authentication LDAP sous GNU/Linux
Environnement exp erimental
Le protocole LDAP
D enitions (2)
Schema
Le sch ema d enit les relations entre les classes dobjet et les
attributs. Il pr ecise les attibuts obligatoires ou facultatifs pour
chaque classe.
DIT
Cest larbre dinformation dannuaire LDAP ou la
repr esentation des entr ees et des relations entre elles.
LDIF
Cest un format de chier texte, d eni dans la RFC 2849, pour
le stockage dinformations contenus dans un annuaire LDAP.
Benoit M etrot TP: Authentication LDAP sous GNU/Linux
Environnement exp erimental
Le protocole LDAP
Exemple dentr ee
dn : ui d=HDUPANNI, ou=peopl e , dc=mat hri ce , dc=pr i ve
obj ect Cl ass : i net OrgPerson
obj ect Cl ass : posi xAccount
obj ect Cl ass : shadowAccount
cn : Hans . Dupanni er
sn : Dupanni er
ui d : HDUPANNI
uidNumber : 1012
gidNumber : 300
homeDi rect ory : / home/ hdupanni
l ogi nShel l : / bi n / bash
shadowExpi re : 0
userPassword : {SSHA}6gHTLCHTwZjOv / HjT / / pTq94ba1HyQq1
mai l : Hans . Dupannier@domain . t l d
mai l : HDUPANNI
Benoit M etrot TP: Authentication LDAP sous GNU/Linux
Environnement exp erimental
Le protocole LDAP
DN et RDN
DN :
Nom distinctif
Identie une entr ee de lannuaire de mani ` ere absolue
Concat enation des RDN de toutes les entr ees entre
l el ement consid er e et la racine de larbre
Exemple :
uid=HDUPANNI,ou=people,dc=mathrice,dc=prive
RDN :
Nom distinctif relatif
Identie lentr ee par rapport au sein dune partie de larbre
Exemple : uid=HDUPANI
Benoit M etrot TP: Authentication LDAP sous GNU/Linux
Environnement exp erimental
Le protocole LDAP
Un protocole d echange dinformations
Mod` ele client/serveur en mode connect e
Repose sur des messages
Identication avec un DN
Authentication
Anonyme DN et mot de passe vide
Simple mot de passe stock e dans lannuaire
SASL S/Key, GSSAPI, Kerberos
Chriffrage des echanges avec TLS/SSL
Benoit M etrot TP: Authentication LDAP sous GNU/Linux
Environnement exp erimental
Le protocole LDAP
OpenLDAP
Impl ementation GPL de LDAP incluant :
Le serveur (slapd)
M ecanismes de r eplication (slurpd, syncrepl)
Backends de stockage de linformation
Overlay
Clients LDAP : ldapsearch, ldapadd, ldapdelete...
Benoit M etrot TP: Authentication LDAP sous GNU/Linux