L3 RT/ESTM

Cours Annuaire et Authentification 2023-2024

TP: LDAP
OpenLDAP est une implémentation libre du standard d’interrogation et de modification
d’annuaire LDAP. Ce TP ambitionne de vous donner les clés pour centraliser vos utilisateurs
Linux dans un annuaire LDAP. Cependant, les connaissances acquises pourront également
vous servir dans le monde Microsoft, car Active Directory s’appuie également sur le protocole
LDAP.
1. Installer OpenLDAP
L'installation d'OpenLDAP est assez simple. La seule chose à retenir est que Slapd est le nom
du service OpenLDAP .

Bien que nous devions créer et confirmer un nouveau mot de passe administrateur OpenLDAP,
ne vous inquiétez pas de vous en souvenir car nous le remplacerons immédiatement à l'étape
suivante.

confirmer le mot de passe LDAP

2. Configurer OpenLDAP
Exécutez le configurateur Slapd qui inclut la réinitialisation du mot de passe OpenLDAP dans
la configuration précédente. N'oubliez pas de remplacer les valeurs de votre environnement par
les noms de domaine et d'organisation.
Configuration Slapd
#dpkg-reconfigure slapd

Dr GUEYE
L3 RT/ESTM
Cours Annuaire et Authentification 2023-2024

Nom de domaine DNS :

Nom de l'organisation :

Mot de passe administrateur : Nouveau mot de passe (Peut réutiliser le même mot de passe de
l'étape précédente)
Voulez-vous que la base de données soit supprimée lorsque slapd est purgé :

Déplacer l'ancienne base de données :

Dr GUEYE
L3 RT/ESTM
Cours Annuaire et Authentification 2023-2024

Ensuite, nous allons éditer le fichier ldap.conf

Ajoutez les lignes suivantes sous les lignes BASE & URI commentées

NOTE: Pour le reste de ce tp, chaque fois que vous voyez dc=lita,dc=sn, assurez-vous de le
modifier en fonction du nom de domaine de votre environnement, c'est-à-dire que teste.org
serait dc=tester,dc=org
Nous allons maintenant tester si OpenLDAP fonctionne correctement
Mais faire la correspondance

Dr GUEYE
L3 RT/ESTM
Cours Annuaire et Authentification 2023-2024

Vous devriez voir le résultat : 0 Succès si OpenLDAP fonctionne. Le 0 signifie qu'il n'y a pas
d'erreurs.
3. Configurer LDAPS avec SSL/TLS
Nous allons ensuite sécuriser OpenLDAP en implémentant le protocole LDAPS qui utilise
SSL/TLS pour crypter tout trafic entre le serveur et ses clients. Bien que techniquement, cela
ne soit pas nécessaire au fonctionnement d’OpenLDAP, cela est fortement encouragé.
NOTE: Vous pouvez trouver des informations sur le net qui montrent un moyen beaucoup plus
rapide de générer des certificats auto-signés pour OpenLDAP, mais d'après mon expérience,
SSSD, que nous installerons plus tard dans ce guide, ne démarrera pas en raison d'erreurs de
vérification TLS. . Bien qu’il s’agisse d’une méthode plus longue, elle entraîne beaucoup moins
de maux de tête.
- Commencez par installer les packages SSL suivants

- Générez ensuite la clé de l'autorité de certification (CA) OpenLDAP

Nous allons maintenant créer un modèle pour l'autorité de certification OpenLDAP

Dr GUEYE
L3 RT/ESTM
Cours Annuaire et Authentification 2023-2024
Modifiez le nom de l'organisation et définissez expiration_days sur la durée pendant laquelle
vous souhaitez que le certificat CA soit valide.
#nano ldap.ca.info

Une fois le modèle créé, nous allons maintenant générer le certificat auto-signé OpenLDAP
CA.

La commande suivante ajoutera votre certificat à l'autorité de certification approuvée du

serveur et créera un lien symbolique vers le certificat dans /etc/ssl/certs

Dr GUEYE
L3 RT/ESTM
Cours Annuaire et Authentification 2023-2024

Nous devons maintenant générer une clé privée qui servira à décrypter les communications
avec les clients OpenLDAP.

Comme pour le CA, nous allons créer un modèle pour notre certificat OpenLDAP

Une fois le modèle créé, nous générerons le certificat auto-signé OpenLDAP qui sera copié sur
tout appareil authentifié auprès de notre serveur OpenLDAP.

Dr GUEYE
L3 RT/ESTM
Cours Annuaire et Authentification 2023-2024

Modifiez maintenant les autorisations sur le certificat OpenLDAP nouvellement généré

Enfin, nous vérifierons notre certificat OpenLDAP par rapport à notre certificat CA

Vous devriez voir /etc/ldap/sasl2/ldap_slapd_cert.pem : OK si tout est casher.

4. Ajouter des certificats à la configuration OpenLDAP
Une fois nos certificats générés, nous devrons les ajouter à notre schéma OpenLDAP. Nous
devons d'abord créer un fichier LDIF avec les modifications prévues.

NOTE: Toutes les modifications OpenLDAP sont effectuées via des fichiers texte .ldif . Vous
devez d'abord créer ces fichiers, puis les appliquer à votre schéma existant. Bien que cela soit
un peu compliqué, cela facilite la réutilisation des mêmes fonctions.

Dr GUEYE
L3 RT/ESTM
Cours Annuaire et Authentification 2023-2024

Nous allons maintenant appliquer le fichier ldif à notre schéma. Si la commande fonctionne,
vous verrez la modification de l'entrée "cn=config" et aucune erreur.

Verification

Modifiez maintenant les paramètres par défaut de Slapd

Recherchez la ligne qui commence par SLAPD_SERVICES et remplacez-la par ce qui suit.
Cela limitera le trafic LDAP non chiffré uniquement à l'hôte local et permettra également des
connexions LDAPS sécurisées.

Dr GUEYE
L3 RT/ESTM
Cours Annuaire et Authentification 2023-2024

Nous devrons redémarrer slapd, le service OpenLDAP, après avoir effectué ces modifications

- Vérifiez maintenant que LDAPS fonctionne

5. Créer une structure OpenLDAP

Une fois tous nos composants OpenLDAP en place, nous allons créer une structure de base
d'unités d'organisation pour notre schéma LDAP.
#cd /etc/ldap/schema

Dr GUEYE
L3 RT/ESTM
Cours Annuaire et Authentification 2023-2024
#nano rootOU.ldif
Ce ldif créera les unités d'organisation Utilisateurs et groupes en haut de notre schéma et un
groupe d'administrateurs auquel nous accorderons les droits sudo plus tard dans le guide.

Une fois le ldif créé, nous ajouterons ces entrées dans notre schéma LDAP . Lorsque vous y
êtes invité, entrez le mot de passe administrateur OpenLDAP défini précédemment dans le
guide.

CONSEIL: Jusqu'à présent, nous gérons OpenLDAP via la ligne de commande avec des
fichiers ldif. Bien qu'il existe de nombreux gestionnaires LDAP basés sur une interface
graphique, j'ai découvert que la plupart d'entre eux ne sont pas gratuits ou n'ont pas été mis à
jour depuis des années. Si vous êtes absolument opposé à la gestion d'OpenLDAP via la ligne
de commande, je suggère la version gratuite de LDAP Account Manager (LAM), qui est une
interface Web pour LDAP qui peut être installée directement sur le serveur OpenLDAP.
6. Configurer l'accès Sudo LDAP
La configuration de l'accès sudo activé par LDAP n'est pas aussi simple qu'on pourrait s'y
attendre. Le package sudo par défaut utilisé par Ubuntu n'inclut pas la prise en charge de LDAP,
nous devons donc le remplacer par la version sudo-ldap à la place.

Dr GUEYE
L3 RT/ESTM
Cours Annuaire et Authentification 2023-2024
NOTE: Cette méthode d'installation sudo-ldap est nécessaire car elle remplace sudo, qui est
une dépendance de ubuntu-server-minimal, un package préinstallé du serveur Ubuntu.
Nous allons maintenant copier le schéma sudo fourni par le package sudo-ldap dans notre
répertoire de schéma ldap.

Ajoutez- le ensuite à notre schéma

Ensuite, nous allons créer un ldif qui définit l’unité d'organisation Sudoers et définit les options
sudo par défaut dans notre schéma.

Ce ldif accordera également aux administrateurs de groupe LDAP que nous avons créés
précédemment les droits sudo.
NOTE: Vous avez peut-être remarqué le % devant les administrateurs dans notre ldif. Cela
indique que nous spécifions un groupe LDAP et non un utilisateur.
Enfin, ajoutez le sudoers.ldif au schéma et entrez le mot de passe administrateur OpenLDAP
lorsque vous y êtes invité.

Dr GUEYE
L3 RT/ESTM
Cours Annuaire et Authentification 2023-2024

7. Créer un utilisateur test OpenLDAP

Nous allons maintenant créer deux utilisateurs test LDAP et les accorder les droits sudo en
l'ajoutant à notre groupe d'administrateurs.

CONSEIL: Il est important que les ID de groupe de votre schéma (gidNumber) et les ID
d'utilisateur (uidNumber) n'entrent pas en conflit avec les gid et uid locaux. La plupart des
administrateurs démarrent gidNumber à 5 000 et uidNumber à 10 000 pour éviter cela.
NOTE: Pour simplifier ce guide, j'ai attribué aux utilisateurs tests le gidNumber du groupe
d'administrateurs OpenLDAP qui en fait automatiquement un membre. Il est normalement

Dr GUEYE
L3 RT/ESTM
Cours Annuaire et Authentification 2023-2024
préférable d'attribuer un groupe par défaut différent aux utilisateurs et d'ajouter leur identifiant
au groupe des administrateurs pour suivre plus facilement les appartenances aux groupes.
Ajoutez le addUser.ldif au schéma et entrez le mot de passe administrateur OpenLDAP

Nous allons ensuite définir un mot de passe LDAP pour notre utilisateur test.

Saisissez et confirmez le mot de passe de l'utilisateur test , puis saisissez le mot de passe
administrateur OpenLDAP
8. Installer SSSD
Nous allons maintenant configurer SSSD qui est un service qui s'authentifie auprès
d'OpenLDAP . Il a également la capacité supplémentaire de mettre en cache les informations
d'identification au cas où un serveur OpenLDAP deviendrait inaccessible.
*NOTE: Si vous préférez laisser votre serveur OpenLDAP uniquement accessible via des
comptes locaux, cette section peut être ignorée. Dans la section suivante et finale, je vais vous
montrer comment configurer SSSD sur un PC client pour vous authentifier auprès de notre
serveur OpenLDAP.
Installez d'abord SSSD et les packages qui l'accompagnent

Nous allons maintenant créer le sssd.conf et modifier les autorisations, sinon SSSD ne
démarrera pas

Modifiez le sssd.conf et ajoutez l'exemple de configuration ci-dessous

Dr GUEYE
L3 RT/ESTM
Cours Annuaire et Authentification 2023-2024

Avec notre configuration de configuration SSSD, nous voudrons redémarrer le service SSSD

Ce qui suit permet la création automatique d'un répertoire personnel pour un utilisateur LDAP
qui se connecte au serveur OpenLDAP

Vous pouvez maintenant basculer vers cet utilisateur LDAP et tester les droits sudo
Passer à l'utilisateur LDAP et tester Sudo
su gueye
sudo ls -la

Dr GUEYE
L3 RT/ESTM
Cours Annuaire et Authentification 2023-2024

9. Connecter le PC client au serveur OpenLDAP

Dans cette dernière section, nous allons configurer un PC client pour se connecter à notre
serveur OpenLDAP. Cela permet à tout utilisateur LDAP de se connecter et d'avoir
automatiquement les droits sudo s'il fait partie du groupe des administrateurs LDAP.
Configurer l'enregistrement d'hôte pour le serveur OpenLDAP
Cette section n'est nécessaire que si vous ne disposez pas d'un serveur DNS avec une entrée
pour votre serveur OpenLDAP.
La machine cliente se trouve à l’adresse

Dr GUEYE
L3 RT/ESTM
Cours Annuaire et Authentification 2023-2024
Sous les entrées localhost, entrez l'adresse IP et le nom de domaine complet du serveur
OpenLDAP.

Importer le certificat créé précédemment sur le serveur OpenLDAP

Nous allons maintenant ajouter le certificat à l'autorité de certification de confiance du PC

client.
#sudo update-ca-certificats

Installez SSSD et les packages qui l'accompagnent qui géreront l'authentification sur le serveur
OpenLDAP

Créez le sssd.conf avec les autorisations appropriées

Modifiez le sssd.conf et ajoutez l'exemple de configuration ci-dessous

Dr GUEYE
L3 RT/ESTM
Cours Annuaire et Authentification 2023-2024

Avec la configuration SSSD, redémarrez le service SSSD

Testez maintenant la connectivité au serveur OpenLDAP. Comme pour les tests précédents,
voir le résultat : 0 Succès signifie que tout fonctionne.

Dr GUEYE
L3 RT/ESTM
Cours Annuaire et Authentification 2023-2024

Dr GUEYE
L3 RT/ESTM
Cours Annuaire et Authentification 2023-2024

V ous pouvez configurer la création automatique de répertoires personnels pour les utilisateurs
LDAP sur le PC client

Enfin, vous pouvez passer à l'utilisateur test et vérifier les droits sudo
Vérifions si la machine cliente parvient a retrouver l’utilisateur dioum du serveur LDAP.
Pour cela on tape la commande les commande getent et id

Maintenant on est en mesure de s’authentifier en tant que dioum avec la commande login

Dr GUEYE
L3 RT/ESTM
Cours Annuaire et Authentification 2023-2024

On voit bien qu’on s’est connecte avec le compte utilisateur dioum se trouvant dans l’annuaire
du serveur distant.
Quand on regarde les logs de slapd (à activer) de la machine distante, on s’aperçoit qu’une
connexion TLS a été initialisée.
- Vérifier l’authentification GUI via OpenLDAP SSSD
Pour se connecter en mode graphique, on ferme la session en cours (ou redémarrer la machine
cliente), sur l’interface de connexion GDM, on clique sur Absent de la liste ? pour avoir la
possibilité de saisir un nom d’utilisateur et mot de passe.

Dr GUEYE
L3 RT/ESTM
Cours Annuaire et Authentification 2023-2024

Dr GUEYE