1. Installation d’open Ldap Pour mettre en œuvre notre annuaire LDAP, nous aurons besoin de deux paquets : slapd : Le Serveur OpenLDAP ldap-utils : Les outils clients LDAP nous allons donc utiliser la commande apt-get install slapd ldap-utils pour installer les deux à la fois. 2. Configuration d’open Ldap Les fichiers de configuration d'OpenLDAP se trouvent dans le dossier /etc/ldap slapd.conf permet de configurer le serveur ldap.conf permet de configurer la partie cliente
Arborescence des fichiers
Notre racine sera : dc=domN,dc=net Nous devrons disposer de 3 OU (Unité
d'Organisation) : users, groupes et machines dans lesquels nous créerons nos utilisateurs, nos groupes et nos machines. Pour finalisez la configuration de notre fichier, il faut adapter le fichier de configuration téléchargé en changeant le nom du domaine : domN Ensuite, ajoutons un mot de passe au compte admin : Exécutez la commande : slappasswd -s PASSWORD –h {CRYPT} Notez le résultat ou faites un "copier » du résultat obtenu (le mot de passe crypté) Dans le fichier slapd.conf, modifiez la ligne suivante (après la ligne rootdn) : rootpw "mot de passe crypté" Remplacez "mot de passe crypté" par le résultat de la commande slappasswd entre guillemets
3. Test et démarrage de l'annuaire :
Notre annuaire est prêt à être initialisé. Commençons par démarrer le service avec notre nouvelle configuration : Arrêter le service : /etc/init.d/slapd stop Créer les index : slapindex (il ne faut pas tenir compte de l’avertissement) Relancez le service : /etc/init.d/slapd start 4. Initialisation de l’annuaire L'initialisation de l'annuaire n'est qu'un ajout massif de plusieurs entrées. Il suffit de créer un fichier au format LDIF contenant la description de la RACINE de notre domaine, ainsi que celles des OU. Les feuilles (groupe et utilisateurs) seront rajoutées par la suite. Pour commencer,il faut télécharger le fichier domaine.ldif se trouvant sur le serveur FTP et adaptez-le à votre configuration en modifiant le nom du domaine (domN) Pour initialiser l’arborescence, nous allons utiliser les commandes : /etc/init.d/slapd stop : Arrêter le service rm /var/lib/ldap/* : Vider l'annuaire existant /etc/init.d/slapd start : Redémarrez le service : Puis nous allons ajouter les entrées avec la commande ldapadd –W –D «cn=admin,dc=domN,dc=net" –H ldap://localhost –f domaine.ldif. On vérifie le résultat avec la commande slapcat 5. Configuration des outils clients Nous allons configurer le fichier ldap.conf pour l'adapter à notre domaine (enlever # anvant devant la ligne ou on souhaite faire des cnfigurations) BASE dc=domN,dc=net URI ldap://debianN.domN.net:389 ldapsearch –x on utilise cette commande pour afficher le contenu de l’annuaire 6. Installation d’un client graphique Pour mieux visionner l'arborescence de notre annuaire, nous allons installer un client graphique écrit en php : phpldapadmin. On utilise la commande apt-get install phpldapadmin pour l’installer. L'installation redémarre automatiquement apache, nous pouvons donc vérifier le fonctionnement de notre annuaire en ouvrant notre navigateur Web (sous Ubuntu) à l'adresse : Adresse du serveur/phpldapadmin/ Et cliquer sur Login pour s’identifier 7. Ajout d’un groupe et d’un utilisateur Notre annuaire LDAP est maintenant prêt à recevoir des groupes et des utilisateurs. Nous allons d’abord récuperer les deux fichiers suivants sur le serveur ftp : utilisateur.ldif groupe.ldif Ensuite, utiliser la commande ldapadd pour l’ajout d’un utilisateur ou un groupe. Exemple : ldapadd –W –D "cn=admin,dc=domN,dc=net" –f groupe.ldif ldapadd –W –D "cn=admin,dc=domN,dc=net" –f utilisateur.ldif Pour supprimer un utilisateur, on utilise la commande userdel et pour supprimer un groupe on utilise la comande groupdel Example : userdel userN1 groupdel smbusers Pour ajouter un utilisateur à un groupe existant, nous allons au préalable créer un fichier au format Ldif : vi addUsersToGroup.ldif Ensuite, définir le contenu du fichier. Exemple : dn : cn=icpadmins,ou=groups, changetype :modify add :member memer :uid=icptester , ou=use Enfin exécuter la commande suivante pour ajouter l’utilisateur à un groupe ldapmodify -w ldap_BIND_Pwd. Vérifier que les utilisateurs et les groupes ont été crées en utilisant la commande ldapsearch -x -ll -H ldapi:///. Pour vérifier si les configurations ont été prises en compte nous pouvons utiliser les commandes suivantes : getent passwd :Pour intéroger un compte getent group :pour voire les informations d’un groupe id userN (N est le nom d’un utilisateur dont on souhaite connaitre les informations) :pour voire les informations d’un utilisateur.