Administration des

1
Services Réseaux

TR 811
Administration des Services Réseaux

Chapitre IV
Le Service (DHCP et LDAP)

Dr. H. Zerrouki
<zerrouki.hadj@gmail.com>

UABBT, Faculté de Technologie

2016 – 2017

DÉPARTEMENT
Télécommunications

Administration des
2
Services Réseaux

Plan de cours

Partie I : Protocole (DHCP)

Système (DHCP)
Protocole DHCP
Relais DHCP
Messages et trames DHCP

Partie II : Protocole (LDAP)

Principes et concepts (LDAP)

Les modèles de LDAP
Nommage
Fonctionnel
d’Information
de Sécurité

1
 Administration des
3
Services Réseaux

Partie I :

Dynamic Host Configuration Protocol

(DHCP)
• Le protocole DHCP (Dynamic Host Configuration Protocol) est une extension de
BOOTP,
• Le DHCP fournit une configuration dynamique des adresses IP et des
informations associées aux ordinateurs configurés pour l'utiliser (clients DHCP).
• Ainsi chaque hôte du réseau obtient une configuration IP dynamiquement au
moment du démarrage, auprès du serveur DHCP.
• Le serveur DHCP lui attribuera notamment une adresse IP, un masque et
éventuellement l'adresse d'une passerelle par défaut.
• Il peut attribuer beaucoup d'autres paramètres IP notamment en matière de
noms (l'adresse des serveurs DNS, l'adresse des serveurs WINS).
Dr. H. Zerrouki

Administration des
4
Services Réseaux

Système (DHCP)
Définition
• Au lieu d'affecter manuellement à chaque hôte une adresse statique, ainsi que
tous les paramètres tels que (serveur de noms, l'adresse de passerelle par
défaut, @ip du réseau), un serveur DHCP alloue à un client, un bail d'accès au
réseau, pour une durée déterminée (durée du bail).

• Le serveur passe en paramètres au client toutes les informations dont il a besoin.

• Ce processus est mis en œuvre quand vous ouvrez une session chez un
fournisseur d'accès Internet par modem.

• Le fournisseur d'accès, vous alloue une adresse IP de son réseau le temps de la

liaison. Cette adresse est libérée, donc de nouveau disponible, lors de la
fermeture de la session.
Dr. H. Zerrouki

2
 Administration des
5
Services Réseaux

Système (DHCP)
Avantages de DHCP
• Configuration fiable et simple : Le protocole DHCP offre une configuration de
réseau TCP/IP fiable et simple, empêche les conflits d'adresses et permet de contrôler
l'utilisation des adresses IP de façon centralisée.

• Configuration sûre : DHCP évite les erreurs de configuration dues au besoin de

taper manuellement des valeurs sur chaque ordinateur. De plus, DHCP permet
d'empêcher les conflits d'adresses

• Economie d'adresse : ce protocole est presque toujours utilisé par les fournisseurs
d'accès Internet qui disposent d'un nombre d'adresses limité. Ainsi grâce à
DHCP, seules les machines connectées en ligne ont une adresse IP.

• Réduction de la gestion de la configuration : Les serveurs DHCP peuvent

considérablement diminuer le temps passé à configurer et reconfigurer les ordinateurs
de votre réseau. Les serveurs peuvent être configurés pour fournir une plage complète
de valeurs de configuration supplémentaires lors de l'affectation des baux d'adresses.
Dr. H. Zerrouki

Administration des
6
Services Réseaux

Système (DHCP)
Inconvénient de DHCP
• Le client utilise des trames de broadcast pour rechercher un serveur DHCP sur
le réseau, cela charge le réseau.

• Si vous avez une entreprise avec plusieurs centaines de personnes qui ouvrent
leur session le matin à 8h ou l'après midi à 14h, il peut s'en suivre de graves
goulets d'étranglement sur le réseau.

• L'administrateur devra donc réfléchir sérieusement à l'organisation de son

réseau.
Dr. H. Zerrouki

3
 Administration des
7
Services Réseaux

Protocole DHCP
Fonctionnement de DHCP

• Un client DHCP est un ordinateur qui demande une adresse IP à un serveur

DHCP.

• Comment, alors, un client DHCP, qui utilise le protocole TCP/IP mais qui
n'a pas encore obtenu d'adresse IP par le serveur, peut-il communiquer sur
le réseau ?

?... !
• Les choses se passent avec le peu de moyens dont vous disposez :

• Votre "MAC Address" que vous ne perdez jamais, puisqu'elle est écrite
"en dur" dans votre Interface Ethernet.

• Le "Broadcast" ou "Diffusion" qui permet d'envoyer des trames à

Dr. H. Zerrouki

toutes les machines du réseau physique.

Administration des
8
Services Réseaux

Protocole DHCP
Création d'un bail DHCP
• Le protocole DHCP utilise un processus en quatre étapes pour louer des
informations d'adressage IP aux clients DHCP (création d'un bail DHCP).
• Ces quatre étapes sont nommées en fonction des types de paquets DHCP.
• Découverte DHCP
• Offre DHCP
• Requête DHCP
• Accusé de réception DHCP ou accusé de réception DHCP négatif
Dr. H. Zerrouki

4
 Administration des
9
Services Réseaux

Protocole DHCP
Étape 1 :
• Lorsque le client DHCP démarre, il n'a aucune connaissance du réseau,
• Il envoie donc une trame "DHCPDISCOVER", destinée à trouver un serveur DHCP.
• Cette trame est un "broadcast", donc envoyé à l'adresse 255.255.255.255.
• Le client adopte provisoirement l'adresse 0.0.0.0. Comme ce n'est pas avec cette
adresse que le DHCP va l'identifier, il fournit aussi sa "MAC Address".

Étape 2 :
• Le, ou les serveurs DHCP du réseau qui vont recevoir cette trame vont se sentir
concernés et répondre par un "DHCPOFFER".
• Cette trame contient une proposition de bail et la "MAC Address" du client, avec
également l'adresse IP du serveur.
• Tous les DHCP répondent et le client normalement accepte la première réponse
venue.
• Le "DHCPOFFER" sera un broadcast (Ethernet) ou non, suivant le serveur DHCP
utilisé.
Dr. H. Zerrouki

Administration des
10
Services Réseaux

Protocole DHCP
Étape 3 :
• Le client sélectionne la première adresse IP (s'il y a plusieurs serveurs DHCP)
reçue et diffuse un datagramme dans le réseau.
• Ce datagramme contient l'adresse IP choisi et l'adresse IP du serveur choisi. Cette
requête (DHCPREQUEST) à deux objectifs :
a) Demander au serveur l'attribution de l'adresse IP proposée et les autres paramètres de
configuration (l'@IP passerelle, @IP réseau, le masque, @ de serveur du nom, ...).
b) Informer les autres serveurs DHCP du réseau ayant fait une offre que le client ne donne
pas suite, ce qu'il libère les adresses IP proposées par ces serveurs.

Étape 4 :
• Le serveur DHCP concerné répond définitivement par un DHCPACK qui constitue
une confirmation du bail comportant l'adresse IP et le masque de réseau (@IP de
passerelle,@ de serveur du nom) attribués au client.
• Trois autres champs sont ajoutés :
• La durée d'allocation de l'adresse.
• La date de demande de renouvellement.
Dr. H. Zerrouki

• La période durant laquelle le client peut à nouveau diffuser des recherches DHCP (en
absence de réponse du serveur DHCP).utilisé.

5
 Administration des
11
Services Réseaux

Protocole DHCP
Renouvellement d’un bail DHCP
• Le processus de renouvellement d’un bail DHCP est le processus permettant au
client DHCP de renouveler ou de mettre à jour ses données de configuration
d’adresse IP à l’aide du serveur DHCP.

• Le client DHCP renouvelle ses données de

configuration IP avant l’expiration du bail.

• Si le bail expire avant leur

renouvellement, ces données
sont perdues et il doit recommencer
le processus de création d’un bail DHCP.
Dr. H. Zerrouki

Administration des
12
Services Réseaux

Protocole DHCP
Renouvellement d’un bail DHCP
• Un client DHCP tente automatiquement de renouveler son bail lorsque sa durée a
expiré de 50 %.
• Il essaie également de renouveler son bail d’adresse IP à chaque redémarrage de
l’ordinateur.
• Pour renouveler un bail, le client DHCP envoie un paquet DHCPREQUEST
directement au serveur DHCP duquel il a obtenu ce bail.

• le serveur DHCP renouvelle le bail et envoie au client un paquet DHCPACK

Dr. H. Zerrouki

contenant la durée du nouveau bail et les paramètres de configuration mis à jour.

6
 Administration des
13
Services Réseaux

Protocole DHCP
Renouvellement d’un bail DHCP
• Si le client DHCP ne parvient pas à renouveler son bail la première fois, il diffuse un
paquet DHCPDISCOVER pour mettre à jour son bail d’adresse lorsque 87,5 % de
sa durée actuelle a expiré.
• À ce stade, le client DHCP accepte un bail émis par n’importe quel serveur DHCP.

Autre requêtes DHCP

• DHCPDecline : Diffusion par un client DHCP vers un serveur DHCP, pour informer le
serveur que l'adresse IP proposée a été refusée car elle semble être en cours
d'utilisation par un autre ordinateur.

• DHCPRelease : Envoyé par un client DHCP vers un serveur DHCP, de renoncer à une
adresse IP et l'annulation du bail en cours. Il s'agit de monodiffusion vers le serveur qui a
fourni le bail.

• DHCPInform : Envoyés à partir d'un client DHCP vers un serveur DHCP, vous
demandant uniquement pour les paramètres de configuration locaux supplémentaires ; le
client a déjà une adresse IP configurée.
Dr. H. Zerrouki

Administration des
14
Services Réseaux

Relais DHCP
• Lorsque le serveur DHCP et son client sont sur des réseaux disjoints distants de
plusieurs routeurs. La diffusion de la recherche DHCP aux autres réseaux s'effectue par
les routeurs. Ces routeurs joueront le rôle de relais DHCP.
• Un agent de relais DHCP est un ordinateur ou un routeur configuré pour écouter les
messages DHCP des clients DHCP et les transmettre aux serveurs DHCP sur différents
sous-réseaux.
Dr. H. Zerrouki

7
 Administration des
15
Services Réseaux

Relais DHCP
• L'agent de relais DHCP prend en charge le processus de création d'un bail entre le
client et le serveur DHCP lorsqu'ils sont séparés par un routeur :
1. Le Client DHCP diffuse un message de découverte DHCP (DHCPDISCOVER) sur le Sous-
réseau A, en tant que datagramme UDP qui utilise le port de serveur UDP connu 67.

2. L'agent relais (relais DHCP), examine le champ d'adresse IP de la passerelle, Si l'adresse IP de

ce champ est 0.0.0.0, l'agent place dans ce champ l'adresse IP de l'agent relais ou du routeur et
transmet le message au Sous-réseau B où se trouve le serveur DHCP.

3. Lorsque le Serveur DHCP du Sous-réseau B reçoit le message, il examine le champ d'adresse

IP de la passerelle pour trouver une étendue DHCP que le serveur DHCP peut utiliser pour
fournir un bail d'adresse IP.

4. Lorsque le Serveur DHCP reçoit de le message DHCPDISCOVER, il traite et envoie une offre
de bail d'adresse IP (DHCPOFFER) directement à l'agent relais identifié dans le champ
d'adresse IP de la passerelle (GIADDR).

5. Le routeur relaie ensuite l'offre de bail d'adresse (DHCPOFFER) jusqu'au client DHCP.
Dr. H. Zerrouki

L'adresse IP du client est toujours inconnue et doit donc être diffusée sur le sous-réseau local.
De la même façon, un message de demande (DHCPREQUEST) est relayé du client au serveur,
et un message d'accusé de réception (DHCPACK) est relayé du serveur au client.

Administration des
16
Services Réseaux

Les messages DHCP

• Les messages DHCP sont transmis via UDP.
• DHCP fonctionne en mode non connecté.
• Le client n'utilise que le port 68 pour envoyer et recevoir ses messages
• Le serveur envoie et reçoit ses messages sur un seul port, le port 67.
Format de la trame DHCP
Dr. H. Zerrouki

8
 Administration des
17
Services Réseaux

Format de la trame DHCP

• op : (opération) indique le type de message général. Vaut 1 pour DHCPREQUEST
(requête client), 2 pour DHCPREPLY (réponse serveur).

• htype : type de l'adresse hardware, identifie le type de matériel utilisé sur le réseau.
Par exemple, 1 correspond à Ethernet (adresse MAC, par exemple), 15 à un relais
de trames (FR) et 20 à une ligne série.

• hlen : longueur de l'adresse hardware (en octet). C'est 6 pour une adresse MAC.

• hops : (Sauts) contrôle le transfert des messages. Défini sur 0 par le client avant la
transmission d'une requête. Peut être utilisé par des relais DHCP.

• xid : (Identificateur de transaction) nombre aléatoire choisi par le client pour mettre
en correspondance la demande avec les réponses reçues des serveurs DHCP.

• secs : le temps écoulé (en secondes) depuis que le client a commencé sa requête
ou de renouvellement d'un bail par un client.
Dr. H. Zerrouki

• flags : (Indicateurs) utilisés par un client qui ne connaît pas son adresse IPv4
lorsqu'il envoie une requête.

Administration des
18
Services Réseaux

Format de la trame DHCP

• ciaddr : Adresse IP du client, champ utilisé par un client pendant le renouvellement
de bail lorsque l'adresse du client est valide et utilisable, mais pas au cours du
processus d'acquisition d'une adresse.
• yiaddr : Votre adresse IP, champ utilisé par le serveur pour attribuer une adresse
IPv4 au client.
• siaddr : Adresse IP du prochain serveur : champ utilisé par le serveur pour indiquer
l'adresse du serveur que le client doit utiliser pour l'étape suivante du processus
d'amorçage (d’initiation).
• giaddr : adresse IP du relais DHCP (passerelle par exemple) lorsque la connexion
directe client/serveur n'est pas possible.
• chaddr : adresse hardware du client, spécifie la couche physique du client (MAC).
• sname : (Nom du serveur) champ utilisé par le serveur envoyant un message
DHCPOFFER ou DHCPACK. Le serveur peut éventuellement saisir son nom dans
ce champ.
• ile : Nom du fichier de démarrage (boot), champ facultatif utilisé par un client pour
demander un type particulier de fichier de démarrage dans un message
DHCPDISCOVER.
• options : (Options DHCP) comprend les options DHCP, notamment plusieurs
Dr. H. Zerrouki

paramètres requis pour le fonctionnement de base de DHCP.

9
 Administration des
19
Services Réseaux

Message de détection :
Le client DHCP envoie une diffusion IP dirigée avec un paquet DHCPDISCOVER.
Dr. H. Zerrouki

Administration des
20
Services Réseaux

Message d'offre DHCP :

Le serveur DHCP choisit une adresse IP dans le pool disponible de ce segment, ainsi
que l'autre segment et les paramètres globaux. Le serveur DHCP les place dans les
champs appropriés du paquet DHCP. Le serveur DHCP utilise ensuite l'adresse
matérielle de A (dans CHADDR) pour former une trame appropriée à renvoyer au client.
Dr. H. Zerrouki

10
 Administration des
3
Services Réseaux

Partie II :

Lightweight Directory Access Protocol

(LDAP)

• Dans l'entreprise, les applications et les serveurs ont besoin des données pour
l'authentification, les droits d'accès... autant d'informations difficiles à maîtriser
car très fragiles et dispersées.
• Ceci entraîne une dévalorisation rapide, voire une incohérence des données
stockées.
• Les annuaires LDAP offrent une réponse à ce problème en proposant de
centraliser les informations et, par le biais d'un protocole standardisé, d'y
connecter des applications clientes.
Dr. H. Zerrouki

Administration des
4
Services Réseaux

PRINCIPES ET CONCEPTS (LDAP)

Introduction
• Entreprises utilisant Linux et Unix ont besoin de distribuer des données à travers
son Intranet car ils en simplifient la gestion et l'administration :
Email
Téléphone
Comptes unix
• Solution incontournable : LDAP – Lightweigth Directory Access Protocol
Standardisé par IETF
• Le protocole LDAP est un protocole de la couche Application (7) du modèle OSI.
• Il est conçu pour fonctionner au-dessus de TCP,
• Par conséquent, les communications avec un annuaire LDAP sont en mode
connecté
Dr. H. Zerrouki

1
 Administration des
5
Services Réseaux

PRINCIPES ET CONCEPTS (LDAP)

Le standard LDAP
• Un serveur LDAP agit en tant qu'intermédiaire entre une source de données et
un client.
• Le client ne verra, ni ne connaîtra l'existence du stockage des données.
• Les données peuvent être dans un fichier plat ou dans une base de données.
• LDAP simplifie la gestion des profils de personnes et de ressources.
• Ce standard se représente par 3 notions importantes :
Le protocole d’échange d’informations ; TCP/IP
La nature des données : 4 modèles
Les interfaces : LDIF
Dr. H. Zerrouki

Administration des
6
Services Réseaux

PRINCIPES ET CONCEPTS (LDAP)

Le standard LDAP
• LDIF : LDAP Data Interchange Format (LDIF) permet de représenter les
données LDAP sous format texte standardisé, il est utilisé pour afficher ou
modifier les données de la base.
• LDIF est utilisé dans deux optiques :
Faire des imports/exports de base
Faire des modifications sur des entrées.

• Le protocole d'échange LDAP comprend neuf opérations élémentaires :

Les opérations d'interrogation : on y trouve deux fonctions l'une permettant la
recherche et l'autre la comparaison.
Les opérations de mise à jour : on y trouve quatre opérations qui sont l'ajout, la
suppression, la modification et le changement de nom.
Les opérations d'identification et de contrôle de la session : on y trouve trois
fonctions qui sont l'ouverture de la session et l'identification, la fermeture de la
session, et l'abandon d'une requête en cours.
Dr. H. Zerrouki

2
 Administration des
7
Services Réseaux

PRINCIPES ET CONCEPTS (LDAP)

Le standard LDAP
• Le protocole LDAP définit comment s'établit la communication client-serveur.
Un client transmet une requête au serveur à l'aide des éléments du protocole.
Le serveur est alors responsable de l'exécution de la requête.
Lorsque celle-ci est terminée, le serveur renvoie une réponse contenant les
résultats de la requête ou les erreurs éventuelles.
LDAP est asynchrone, c'est-à-dire que si le client émet plusieurs requêtes
successivement, elles peuvent arriver dans un ordre différent.
Dr. H. Zerrouki

Administration des
8
Services Réseaux

LES MODELES DE LDAP

Les modèles de LDAP
• Les modèles LDAP représentent les services que propose le serveur au client.
Bien que la RFC 2251 sépare l'annuaire LDAP en 4 modèles :

Le modèle de nommage définit comment l'information est stockée et organisée.

Le modèle fonctionnel définit les services fournis par l'annuaire (recherche,
ajout, ...).
Le modèle d'information définit le type d'informations stockées.
Le modèle de sécurité définit les droits d'accès aux ressources.
Dr. H. Zerrouki

3
 Administration des
9
Services Réseaux

LES MODELES DE LDAP

Le modèle de nommage
• Le modèle de nommage définit comment sont organisées les entrées de
l'annuaire et comment elles sont référencées. Les entrées représentent des
objets.
• L'organisation de ces objets se fait suivant une structure logique hiérarchique : le
Directory Information Tree (DIT).
• Au sein de ce DIT, l'identification d'une entrée se fait à l'aide d'un nom, le
Distinguish Name (DN).
• Il s'agit de définir les nœuds de l'arbre et leur hiérarchie.
Dr. H. Zerrouki

Administration des
10
Services Réseaux

LES MODELES DE LDAP

Le modèle de nommage
• Un exemple d'arborescence LDAP d’une société nommée COGIP, qui a :
2 utilisateurs, Jean-Christian Ranu et Felix Lechat,
2 groupes, compta et ventes.

• Cette arborescence est liée au nommage de chaque élément.

Dr. H. Zerrouki

• Un élément marque son appartenance à l'élément supérieur en reprenant le nom, qu'il

complète par le sien.

4
 Administration des
11
Services Réseaux

LES MODELES DE LDAP

Notions à connaître :
• Chaque élément est appelé une entrée (an entry). Une entrée peut être une branche
(a node) ou un élément terminal (a leaf).

• Chaque élément possède un DN (Distinguished Name). Le DN est le nom complet de

l'élément qui permet de le positionner dans l'arborescence. Il est unique dans
l'annuaire : cn=ventes,ou=groups,dc=cogip,dc=fr

• Chaque élément possède également un RDN (Relative Distinguished Name). Le RDN

est la partie du DN de l'élément qui est relative au DN supérieur. Le RDN d'un élément
ne permet pas de l'identifier de manière unique dans l'annuaire : cn=ventes

• La racine est l'élément supérieur de tous les autres, c'est la base de l'arborescence
: dc=cogip,dc=fr

• Une entrée est constituée d'un ensemble d'attributs. Un attribut possède un nom, un
type et une ou plusieurs valeurs. Les attributs sont définis dans des schémas et est
l'une des caractéristiques de cet élément.
Dr. H. Zerrouki

Administration des
12
Services Réseaux

LES MODELES DE LDAP

Le modèle fonctionnel
• Le modèle de fonctionnel est la manière dont on accède à l'annuaire, protocole
LDAP lui-même.
• L'application annuaire peut être décomposée en deux modules :
Un module de gestion permettant d'ajouter, modifier, supprimer et afficher les objets et
les autres informations stockées (projets,…)
Un module de consultation permettant de rechercher les informations dans la base
annuaire.
a) La base : La base est le DN à partir duquel nous faire une recherche. Par exemple
"dc=cogip,dc=fr" effectuerait une recherche sur tout l'arbre, puisqu'il s'agit de la racine.
b) La portée : Le scope est le nombre de niveaux sur lesquels l'action va être effectuée. Il existe
3 niveaux différents :

sub l'action est effectuée récursivement à partir de la base spécifiée sur la totalité de l'arborescence.

one l'action est effectuée sur les fils directs, c'est-à-dire un seul niveau inférieur par rapport à la base
spécifiée. Pour l’arbre de l’EXP., au niveau le plus haut "dc=cogip,dc=fr", on aurait pour la portée
ONE "ou=users,dc=cogip,dc=fr" et "ou=groups,dc=cogip,dc=fr".
Dr. H. Zerrouki

base l'action est effectuée uniquement sur la base spécifiée. Une recherche sur "dc=cogip,dc=fr" avec
la portée BASE renverrait cette entrée uniquement.

5
 Administration des
13
Services Réseaux

LES MODELES DE LDAP

Le modèle fonctionnel
c) Les filtres : Un filtre va permettre d'avoir des critères de la recherche. Il est constitué
d'un ensemble d'opérations, portant sur des attributs, combinées avec les opérateurs
booléens classiques: ET, OU et NON.
Égalité :=

Approximation ~=

Supérieur ou égal >=

Inférieur ou égal <=

• Il faut utiliser les parenthèses ( ) pour <, > et les tests plus complexes. Pour ces tests,
on utilisera les opérateurs suivants :
L'intersection (et) :

L'union (ou) |

La négation (non) !
Dr. H. Zerrouki

Administration des
14
Services Réseaux

LES MODELES DE LDAP

Le modèle fonctionnel
Exp.
• Un test d'inférioté
(&(X>=Y)(!(X=Y)))

• Combiner plusieurs éléments

(&(objectClass=person)(|(givenName=Jean-Christian)(mail=jranu*)))

• Toutes les personnes ayant leur numéro de téléphone renseigné dans la base
&(&(objectclass=person)(telephoneNumber=*))

• Toutes les personnes dont le nom commence par 'A' et n'habitant pas Paris
&(&(objectclass=person)(cn=A*)(!(l=Paris)))

• Toutes les personnes dont le nom ressemble à Febvre (Faivre, Fèvre, Lefebvre, ...)
&(&(objectclass=person)(cn~=febre))
(&(objectclass=person)(cn=*f*vre))
Dr. H. Zerrouki

6
 Administration des
15
Services Réseaux

LES MODELES DE LDAP

Le modèle fonctionnel
d) Les opérations : LDAP fournit des fonctions pour interagir avec les données

Opération Description

Abandon Abandonne l'opération précédemment envoyées au serveur

Add Ajoute une entrée au répertoire

Bind Initie une nouvelle session sur le serveur LDAP

Compare Compare les entrées d'un répertoire selon des critères

Delete Supprime une entrée d'un répertoire

Extended Effectue des opérations étendues

Modify Modifie une entrée

Modify DN Déplace ou renomme une entrée

Rename Modifie le nom d'une entrée

Dr. H. Zerrouki

Search Recherche des entrées d'un répertoire

Unbind Termine une session sur le serveur LDAP

Administration des
16
Services Réseaux

LES MODELES DE LDAP

Mise à jour : Add, Delete, Modify
add : L'ajout d'une entrée peut également contenir une liste d'attributs et de valeurs à associer
avec l'entrée.
dn: <distinguished name>
changetype: add
objectclass: top
objectclass: <objectclassvalue>
<attrdesc>: <attrvalue>
<attrdesc>: <attrvalue>

Delete : Ce n'est pas la peine de mettre des attributs supplémentaires. L'objet ne peut être effacé
que s'il n'a pas de descendants
dn: <distinguished name>
changetype: delete
Modification du DN et/ou du RDN : La syntaxe pour modifier le DN d'une entrée, soit modifier
sa position dans l'arbre, ou pour modifier son RDN, soit modifier son identifiant, sont
similaires.
dn: <distinguished name>
changetype: moddn
Dr. H. Zerrouki

newrdn: <nouveau RDN>

deleteoldrdn: <1 ou 0>
newsuperior: <nouveau parent>

7
 Administration des
17
Services Réseaux

LES MODELES DE LDAP

Le modèle d'information
• Le modèle d'information est les données contenues dans l'annuaire (DIT ou
Directory Information Tree).
a) L'arborescence d'informations (DIT)
• LDAP présente les informations sous forme d'une arborescence d'informations
hiérarchique appelée DIT (Directory Information Tree).
Dr. H. Zerrouki

Administration des
18
Services Réseaux

LES MODELES DE LDAP

Le modèle d'information
b) Arborescence expliquée
• L'entrée est l'unité de base d'un annuaire (DSE, Directory Service Entry). Elle correspond à
une branche de l'arborescence.

• Chaque entrée correspond à un objet appelé objectClass, par exemple une personne, un
objet matériel, des paramètres, …

• Cet objectClass est constituée d'un ensemble de paires clés/valeurs appelées attributs
obligatoires ou facultatifs.

• Les types d'attributs sont des règles de codage et de correspondance, qui détermine les
types données et les comparaisons à appliquer lors d'une recherche.

• Le schéma c'est l'ensemble des définitions d'objets et d'attributs qu'un serveur LDAP peut
gérer. Cela permet de définir si un attribut peut avoir une ou plusieurs valeurs et/ou de les
regrouper par objet (objectclass) pour définir s'ils sont obligatoires ou pas.

• Dans l'exemple d'arborescence précédant :

DN (Distinguished Name) : uid=Jean-Christian Ranu,ou=users,dc=cogip,dc=fr
Dr. H. Zerrouki

RDN (Relative Distinguished Name) : uid=Jean-Christian Ranu

8
 Administration des
19
Services Réseaux

LES MODELES DE LDAP

Le modèle d'information
Le dn: cn=Jean-Christian
format Ranu,ou=ventes,dc=cogip,dc=fr
LDIF : Pour importer/exporter les données ainsi que la configuration du serveur, un
objectClass: top : LDIF (LDAP Data Interchange Format).
format a été défini
objectClass: person
objectClass: organizationalPerson
• objectClass:
les commentaires commencent pas "#", et s'étendent sur une seule ligne
inetOrgPerson
cn: Jean-Christian Ranu
• cn:
UneJCentrée
Ranu forme un paragraphe, et un fichier LDIF ne s'affranchit pas des schémas, qui
displayName: Jean-Christian
valident une entrée. Ranuconstitue un attribut.
Chaque ligne
sn: Ranu
givenName: Jean-Christian
• initials:
Comme vuJCRauparavant, les attributs sont constitués d'une clé et d'une valeur séparée par ":".
title: manager, product development
uid: jcranu
• Prenons l'exemple de Jean-Christian Ranu pour faire une entrée dans un fichier LDIF pour
mail: jc.ranu@cogip.fr
import.
telephoneNumber: +33 1 02 03 04 05
mobile: +33 6 78 90 01 02
o: COGIP
ou: ventes
departmentNumber: 2604
employeeNumber: 42
Dr. H. Zerrouki

employeeType: full time

preferredLanguage: fr, en-gb;q=0.8, en;q=0.7
labeledURI: http://www.cogip.fr/users/jcranu

Administration des
20
Services Réseaux

LES MODELES DE LDAP

Le modèle de sécurité
• Le modèle de sécurité est le mécanisme permettant aux clients de s'identifier et
d'accéder aux données selon leurs droits.

Le binding : Le client doit se connecter au serveur, avant toute interrogation de l'annuaire. Cette
opération est dite de "binding".

Le client authentifie l'utilisateur (Jean-Christian Ranu), avec son mot de passe, à l'aide
du DN, pour déterminer ses droits, ou se connecte au serveur LDAP par
Authentification anonyme pour une recherche par exemple.

Le serveur compare le mot de passe saisi et celui de l'entrée (valeur de l'attribut

userPassword), en utilisant le bon chiffrement.

dn: cn:Jean-Christian Ranu, ou=persones,dc=cogip,dc=fr

objectClass: person
cn:&nbsp;Jean-Christian Ranu
sn: Ranu
Dr. H. Zerrouki

userPassword: {MD5} Xr4il0zQ4PC0q3aQ0qbuaQ==

9
 Administration des
21
Services Réseaux

LES MODELES DE LDAP

Le modèle de sécurité
Les droits
• Les ACLs (Access Control Lists) interviennent après la notion de binding. Toutes les
requêtes et les manipulations de données sont faites en fonction des droits de l'utilisateur
authentifié.

• Ce paramètre n'est pas présent dans les schémas, ou au niveau de l'entrée, mais dans le
fichier de configuration du serveur (slapd.conf pour openLDAP).

• Exemple de paramétrage des droits pour un serveur OpenLDAP.

Seul les utilisateurs authentifiés (by * auth) peuvent modifier leur (by self =w) mot
de passe (attrs="userPassword").
L'accès en lecture est donné à tout le monde.

access to attrs="userPassword"
by self =w
by * auth
access to *
Dr. H. Zerrouki

by * read

Administration des
22
Services Réseaux

Vous savez maintenant ce qu'est un annuaire LDAP,

mais ça n'est qu'un début... !

Fin.

10