Annuaire LDAP Adonis

Université Paris-Sud 11

02-06-2010 – Direction Informatique

1
 Table des matières

1.DIT (Schéma) de l’annuaire LDAP............................................................................................3

2.Description de l’établissement................................................................................................5
3.Description des entités de l’établissement..............................................................................5
4.Description des personnes...................................................................................................... 6
4.1.Informations communes ...................................................................................................6
4.2.Informations propres aux étudiants..................................................................................7
4.3.Informations propres aux personnels................................................................................7
5.Description des groupes.......................................................................................................... 8
6.Gestion des données pour la messagerie électronique...........................................................8
6.1.Les comptes ..................................................................................................................... 8
6.2.Les groupes....................................................................................................................... 9
6.3.Les adresses...................................................................................................................... 9
7.Gestion de l’accès aux machines..........................................................................................10
8.Gestion de l'accès aux services réseau.................................................................................10
9.Gestion des anciens étudiants...............................................................................................11
10.Gestion des comptes spéciaux............................................................................................12
Annexe 1 : Documentation de référence..................................................................................13
Annexe 2 : Paramètres de connexions.....................................................................................14
Annexe 3 : Exemples de requêtes LDAP...................................................................................15

2
1. DIT (Schéma) de l’annuaire LDAP

L’annuaire LDAP est composé d’un tronc central conforme aux recommandations supAnn
2009 et de branches supplémentaires permettant le fonctionnement de la messagerie
électronique et l’accès à divers services (machines de calcul, wifi, etc.).

Seules les branches supAnn sont accessibles en se connectant à l’annuaire de façon

anonyme. Les autres requièrent une connexion à l’annuaire LDAP avec un identifiant et un
mot de passe spécifiques.

Tableau 1 : Politique d'accès aux différentes branches

Branche Accessibilité
ou=people Public
ou=groups Public
ou=structures Public
ou=mail Administrateur uniquement
ou=hosts Restreint
ou=services Restreint
ou=alumni Restreint
ou=admin Administrateur uniquement

3
Schéma 1 : DIT de l'annuaire Adonis

dc=u-psud,dc=fr

ou=mail ou=people ou=groups ou=structures ou=hosts ou=services

supannCodeEntite
ou=people ou=groups ou=adresses uid=prenom.nom cn=id_groupe ou=nom_host ou=vpn ou=wifi
=id_groupe

cn=id_groupe cn=id_alias uid=prenom.nom uid=prenom.nom uid=prenom.nom

uid=prenom.nom

Légende :

SupAnn
Accès aux machines
Gestion des mails
Services Réseau

4
2. Description de l’établissement

Ces informations sont situées à la racine dc=u-psud,dc=fr de l’annuaire

Nom attribut utilisation

o RDN de l'entrée, spécifie le nom de l'entrée «organization»
telephoneNumber Numéro de téléphone de l'établissement
facsimileTelephoneNumber Numéro de fax de l'établissement
postalAddress Adresse postale principale de l'établissement
l Peut contenir le nom de la ville
description Texte libre décrivant l'établissement
eduOrgHomePageURI URL du serveur Web officiel
eduOrgLegalName Nom officiel de l'établissement
eduOrgSuperiorURI URL du serveur web de l'institution de rattachement
eduOrgWhitePagesURI Annuaire pages blanches de l'établissement
supannEtablissement Code de l'établissement (UAI, SIRET, etc.)
Tableau 2 : attributs de description de l'établissement

3. Description des entités de l’établissement

Ces informations sont situées dans la branche ou=structures de l’annuaire

Nom attribut utilisation

ou Intitulé de l'entité (sigle)
postalAddress Adresse postale principale de l'entité
postalCode Code postal de l'entité
description Texte libre décrivant l'entité (nom complet)
supannTypeEntite Type de l'entité : composante, service commun, UFR, service central, instance
élective, etc.
supannCodeEntite Usage interne aux applications accédant à l'annuaire
sert de RDN pour l'entrée entité
supannCodeEntiteParent Précise le supannCodeEntite de l'entité de niveau immédiatement supérieur
upsURLPageWeb Adresse de la page web de l’entité
Tableau 3 : attributs de description des entités

5
4. Description des personnes

Ces informations sont situées dans la branche ou=people de l’annuaire

4.1. Informations communes

Nom de l'attribut utilisation

cn nom complet sans accent
departmentNumber Code des groupes auxquels appartient la personne
displayName nom complet avec accents
eduPersonAffiliation statut de la personne: étudiant, BIATOSS, enseignant, contractuel,
etc.
eduPersonPrincipalName identifiant institutionnel pouvant être référencé par une application
pour un contrôle d'accès concernant une personne d'un autre
établissement
facsimileTelephoneNumber numéro de télécopie
gecos Nom de la personne au format Unix
gidNumber Numéro du groupe de la personne (par défaut 1999)
givenName prénom
homeDirectory Répertoire utilisateur de la personne (par défaut /dev/null)
l Ville
labeledURI Adresse Internet de la page personnelle de la personne. Contient aussi
l’adresse du site Internet de son (ses) entité(s) d’appartenance.
mail adresse électronique institutionnelle (adresse canonique)
o Composante de la personne
ou Nom de l’entité principale d’affectation
postalAddress adresse postale complète
postalCode Code postal
postOfficeBox Numéro et nom de la rue
roomNumber Nom ou numéro du(des) bureau(x) de la personne
supannAliasLogin login de l'utilisateur
supannAutreMail Adresses de courriel autre que celle contenue dans mail
supannAutreTelephone numéro(s) de téléphone alternatif(s)
supannCivilite Civilité (Mr. Mme Mlle)
supannEmpID identifiant employé
supannEntiteAffectation représente la ou les affectations de la personne dans un établissement,
une composante, un service, etc.
supannEntiteAffectationPrincipale représente l'affectation principale de la personne dans l'établissement
(composante, service, etc.)
supannEtablissement établissement de rattachement administratif de la personne
supannListeRouge Précise la volonté de la personne d'être ou non sur liste rouge
supannParrainDN Liste des correspondants annuaire
supannRefId identifiants/liens avec d'autres bases du SI

supannTypeEntiteAffectation Type de l'entité d'affectation d'une personne

telephoneNumber numéro de téléphone

6
title Métier de la personne
uid identifiant unique
uidNumber Numéro de la personne compatible Unix
upsBatiment Bâtiment(s) de la personne
UpsCampus Campus sur lequel se trouve la personne
upsAutorisationPhoto Autorisation de diffusion de la photo (0 pour non, 1 pour oui)
UpsAuthPublipostage Autorisation d'envoyer des publipostages sur l'adresse présente dans
mail
upsCodeBarreBU Code barre pour la bibliothèque (actuellement, étudiant uniquement)
UpsDateExpiration Date d'expiration du compte. Le compte sera supprimé du LDAP à
cette date
upsURLPhoto Url de la photo (actuellement, étudiant uniquement)
userCertificate certificat X509
userPassword mot de passe
Tableau 4 : attributs communs de description des personnes

4.2. Informations propres aux étudiants

Nom attribut utilisation

supannCodeINE Code INE (Identifiant National Etudiant)
supannEtuAnneeInscription l'année de début de l'année universitaire concernée
supannEtuSecteurDisciplinaire
secteur disciplinaire de diplôme ou d'enseignement
supannEtuDiplome diplôme préparé par l'étudiant
supannEtuTypeDiplome type ou catégorie du diplôme préparé
supannEtuCursusAnnee précise le type de cursus (L, M, D ou X, etc.) ainsi que l'année dans le
diplôme
supannEtuEtape fractionnement (semestre, année, etc.) dans le temps d'un enseignement
conduisant à un diplôme
supannEtuElementPedagogique description générique du contenu d'un enseignement ayant le niveau de
granularité désiré
supannEtuRegimeInscription “type d'enseignement” SISE (formation initiale, formation continue,
formation à distance, etc.)
supannEtuInscription attribut composite regroupant (liant) d'autres attribut et décrivant
précisément une inscription étudiante
supannEtuID identifiant de scolarité
upsCodeEtu Numéro d’étudiant de l’établissement (sur 8 chiffres)
Tableau 5 : attributs propres aux étudiants

4.3. Informations propres aux personnels

Nom attribut utilisation

supannRoleGenerique rôle(s) générique(s) de la personne dans l'établissement
supannRoleEntite attribut composite. Chaque valeur précise un rôle spécifique dans une entité (rôle
structurel et/ou électif)
Tableau 6 : attributs propres aux personnels

7
5. Description des groupes

Ces informations sont situées dans la branche ou=groups de l’annuaire

Nom Sémantique
member membre individuel (DN de chaque membre du groupe)
cn nom du groupe, DOIT être utilisé comme rdn pour les entrées de type groupe
description description du groupe (nom complet)
supannGroupeDateFin date de fin de validité du groupe
supannGroupeAdminDN administrateurs autorisés à modifier le contenu de l'entrée
upsGroupePere Code du groupe père de l’élément
upsTypeGroupe Type du groupe : composante, service commun, UFR, service central, instance
élective, etc.
upsSigleGroupe Sigle du groupe
seeAlso Liste des groupes fils de l’élément
Tableau 7 : attributs de descriptions des groupes

6. Gestion des données pour la messagerie électronique

La messagerie électronique nécessite certaines informations particulières qui sont toutes

regroupées dans la branche ou=mail de l’annuaire.

6.1. Les comptes

Ces informations sont situées dans la branche ou=people,ou=mail de l’annuaire.

Nom de l'attribut utilisation

cn nom complet sans accent
gecos Nom de la personne au format Unix
gidNumber Numéro de groupe d’appartenance (Unix)
homeDirectory Répertoire personnel de l’utilisateur
loginShell Shell de l’utilisateur (/usr/sbin/nologin)
uid Identifiant unique de l’utilisateur dans le système
uidNumber Numéro de la personne compatible Unix
userPassword Mot de passe de l’utilisateur
Tableau 8 : attributs de description des comptes pour la gestion de la messagerie électronique

8
 6.2. Les groupes

Ces informations sont situées dans la branche ou=groups,ou=mail de l’annuaire.

Nom de l'attribut utilisation

cn Identifiant unique du groupe
description Nom complet du groupe
gidNumber Numéro de groupe (format Unix)
homeDirectory Répertoire personnel de l’utilisateur
memberUid Liste des uid des membres de ce groupe
Tableau 9 : attributs de description des groupes pour la gestion de la messagerie électronique

6.3. Les adresses

Ces informations sont situées dans la branche ou=adresses,ou=mail de l’annuaire.

Nom de l'attribut utilisation

cn nom complet sans accent du titulaire de l’adresse
mail Adresse email
mailRoutingAddress Adresse de redirection éventuelle
sn Prénom du titulaire de l’adresse

uid Numéro unique de l’adresse email

Tableau 10 : attributs de description des adresses de courriel pour la gestion de la messagerie
électronique

9
7. Gestion de l’accès aux machines

L’annuaire permet de fournir l’accès aux machines lorsqu’un mécanisme de type pam_ldap
est installé dessus.

Chaque machine possède sa branche propre située sous la branche ou=hosts de l’annuaire.

Nom de l'attribut utilisation

cn nom complet sans accent
gecos Nom de la personne au format Unix
gidNumber Numéro de groupe d’appartenance (Unix)
homeDirectory Répertoire personnel de l’utilisateur
loginShell Shell de l’utilisateur (/usr/sbin/nologin)
uid Identifiant unique de l’utilisateur dans le système
uidNumber Numéro de la personne compatible Unix
userPassword Mot de passe de l’utilisateur
Tableau 11 : attributs de description des comptes pour l'accès aux
machines

8. Gestion de l'accès aux services réseau

Ces informations sont situées dans la branche ou=services de l’annuaire qui comprend à son
tour une sous-branche par service.

Nom de l'attribut utilisation

cn nom complet sans accent
sn Prénom
uid Identifiant unique de l’utilisateur dans le système
uidNumber Numéro de la personne compatible Unix
Tableau 12 : attributs de description des comptes pour l'accès aux services réseaux

L’authentification du WiFi et de l’accès au réseau à distance (VPN) se faisant par un radius,

certains attributs spécifiques sont nécessaires.

Nom de l'attribut utilisation

raduisAuthType Type d’authentification
radiusClass Groupe d’appartenance (au format radius)
radiusFramedCompression Paramètre nécessaire au radius (Van-Jacobsen-TCP-IP)
Tableau 13 : attributs nécessaire au serveur radius

10
9. Gestion des anciens étudiants

Ces informations sont situées dans la branche ou=alumni de l’annuaire

Les RDN sont formés de la façon suivante : uid=prenom.nom@alumni.u-psud.fr,ou=alumni

Nom attribut utilisation

businessCategory Secteur d’activité
Cn nom complet sans accent
displayName nom complet avec accents
givenName prénom
homePhone N° de téléphone personnel
homePostalAddress Adresse postale personnelle
labeledURI Adresse Internet de la page personnelle de la
personne.
Mail adresse électronique institutionnelle (adresse
canonique)
Manager Employeur
mailRoutingAddress adresse de renvoi de courrier électronique reçu à
l'adresse institutionnelle
Mobile numéro de téléphone mobile
postalAddress adresse postale professionnelle complète
supannListeRouge Précise la volonté de la personne d'être ou non
sur liste rouge
Sn Nom de la personne
supannCivilite Civilité (M., Mme, Mlle)
telephoneNumber numéro de téléphone
Title fonction
Uid identifiant unique
upsURLPhoto Url de la photo (actuellement, étudiant
uniquement)
upsCodeEtu Numéro d'étudiant de l'établissement (sur 8
chiffres)
userPassword mot de passe
upsAlumnDernierDipl Dernier diplôme obtenu
upsAlumnAnneeDernierDipl Année d’obtention du dernier diplôme
upsAlumnSpeDernierDipl Spécialité du dernier diplôme obtenu
upsAlumnAutreDipl Autres diplômes obtenus
Tableau 14: Attributs des anciens étudiants

11
10. Gestion des comptes spéciaux

Ces informations sont situées dans la branche ou=admin de l’annuaire

On y trouve les comptes nécessaires à la consultation des branches à accès restreint (cf.
tableau 1).

12
 Annexe 1 : Documentation de référence

• Recommandations supAnn 2009 :

http://www.cru.fr/documentation/supann/2009/documentcomplet

• Schéma directeur des espaces numériques de travail (SDET) pour la gestion des
identifiants

http://www.educnet.education.fr/chrgt/AAS-V10.pdf

13
 Annexe 2 : Paramètres de connexions

LDAP

• host : ldap.u-psud.fr

• port : 389

• racine : dc=u-psud,dc=fr

LDAPS

• host : ldaps.u-psud.fr

• port : 636

• racine : dc=u-psud,dc=fr

• identifiant : uid=prenom.nom,ou=people,dc=u-psud,dc=fr

14
 Annexe 3 : Exemples de requêtes LDAP

Voici quelques exemples de filtres de recherche :

• Tous les étudiants inscrits en 2008/2009 au 1er semestre de L1 de Droit.

(supannEtuInscription=*[anneeinsc=2008]*[eltpedago={UAI:0911101C}CLDT10S1]*)

• Tous les étudiants inscrits en 2008/2009 dans un Master 2ème année, toutes disciplines
confondues.

(supannEtuInscription=*[anneeinsc=2008]*[cursusann={SUPANN}M2]*)

• Tous les chercheurs du CNRS

(&(eduPersonAffiliation=researcher)(supannEtablissement={CNRS}*))

15