Académique Documents
Professionnel Documents
Culture Documents
TP: LDAP
OpenLDAP est une implémentation libre du standard d’interrogation et de modification
d’annuaire LDAP. Ce TP ambitionne de vous donner les clés pour centraliser vos utilisateurs
Linux dans un annuaire LDAP. Cependant, les connaissances acquises pourront également
vous servir dans le monde Microsoft, car Active Directory s’appuie également sur le protocole
LDAP.
1. Installer OpenLDAP
L'installation d'OpenLDAP est assez simple. La seule chose à retenir est que Slapd est le nom
du service OpenLDAP .
Bien que nous devions créer et confirmer un nouveau mot de passe administrateur OpenLDAP,
ne vous inquiétez pas de vous en souvenir car nous le remplacerons immédiatement à l'étape
suivante.
2. Configurer OpenLDAP
Exécutez le configurateur Slapd qui inclut la réinitialisation du mot de passe OpenLDAP dans
la configuration précédente. N'oubliez pas de remplacer les valeurs de votre environnement par
les noms de domaine et d'organisation.
Configuration Slapd
#dpkg-reconfigure slapd
Dr GUEYE
L3 RT/ESTM
Cours Annuaire et Authentification 2023-2024
Nom de l'organisation :
Mot de passe administrateur : Nouveau mot de passe (Peut réutiliser le même mot de passe de
l'étape précédente)
Voulez-vous que la base de données soit supprimée lorsque slapd est purgé :
Dr GUEYE
L3 RT/ESTM
Cours Annuaire et Authentification 2023-2024
Ajoutez les lignes suivantes sous les lignes BASE & URI commentées
NOTE: Pour le reste de ce tp, chaque fois que vous voyez dc=lita,dc=sn, assurez-vous de le
modifier en fonction du nom de domaine de votre environnement, c'est-à-dire que teste.org
serait dc=tester,dc=org
Nous allons maintenant tester si OpenLDAP fonctionne correctement
Mais faire la correspondance
Dr GUEYE
L3 RT/ESTM
Cours Annuaire et Authentification 2023-2024
Vous devriez voir le résultat : 0 Succès si OpenLDAP fonctionne. Le 0 signifie qu'il n'y a pas
d'erreurs.
3. Configurer LDAPS avec SSL/TLS
Nous allons ensuite sécuriser OpenLDAP en implémentant le protocole LDAPS qui utilise
SSL/TLS pour crypter tout trafic entre le serveur et ses clients. Bien que techniquement, cela
ne soit pas nécessaire au fonctionnement d’OpenLDAP, cela est fortement encouragé.
NOTE: Vous pouvez trouver des informations sur le net qui montrent un moyen beaucoup plus
rapide de générer des certificats auto-signés pour OpenLDAP, mais d'après mon expérience,
SSSD, que nous installerons plus tard dans ce guide, ne démarrera pas en raison d'erreurs de
vérification TLS. . Bien qu’il s’agisse d’une méthode plus longue, elle entraîne beaucoup moins
de maux de tête.
- Commencez par installer les packages SSL suivants
Dr GUEYE
L3 RT/ESTM
Cours Annuaire et Authentification 2023-2024
Modifiez le nom de l'organisation et définissez expiration_days sur la durée pendant laquelle
vous souhaitez que le certificat CA soit valide.
#nano ldap.ca.info
Une fois le modèle créé, nous allons maintenant générer le certificat auto-signé OpenLDAP
CA.
Dr GUEYE
L3 RT/ESTM
Cours Annuaire et Authentification 2023-2024
Nous devons maintenant générer une clé privée qui servira à décrypter les communications
avec les clients OpenLDAP.
Comme pour le CA, nous allons créer un modèle pour notre certificat OpenLDAP
Une fois le modèle créé, nous générerons le certificat auto-signé OpenLDAP qui sera copié sur
tout appareil authentifié auprès de notre serveur OpenLDAP.
Dr GUEYE
L3 RT/ESTM
Cours Annuaire et Authentification 2023-2024
Enfin, nous vérifierons notre certificat OpenLDAP par rapport à notre certificat CA
NOTE: Toutes les modifications OpenLDAP sont effectuées via des fichiers texte .ldif . Vous
devez d'abord créer ces fichiers, puis les appliquer à votre schéma existant. Bien que cela soit
un peu compliqué, cela facilite la réutilisation des mêmes fonctions.
Dr GUEYE
L3 RT/ESTM
Cours Annuaire et Authentification 2023-2024
Nous allons maintenant appliquer le fichier ldif à notre schéma. Si la commande fonctionne,
vous verrez la modification de l'entrée "cn=config" et aucune erreur.
Verification
Recherchez la ligne qui commence par SLAPD_SERVICES et remplacez-la par ce qui suit.
Cela limitera le trafic LDAP non chiffré uniquement à l'hôte local et permettra également des
connexions LDAPS sécurisées.
Dr GUEYE
L3 RT/ESTM
Cours Annuaire et Authentification 2023-2024
Nous devrons redémarrer slapd, le service OpenLDAP, après avoir effectué ces modifications
Dr GUEYE
L3 RT/ESTM
Cours Annuaire et Authentification 2023-2024
#nano rootOU.ldif
Ce ldif créera les unités d'organisation Utilisateurs et groupes en haut de notre schéma et un
groupe d'administrateurs auquel nous accorderons les droits sudo plus tard dans le guide.
Une fois le ldif créé, nous ajouterons ces entrées dans notre schéma LDAP . Lorsque vous y
êtes invité, entrez le mot de passe administrateur OpenLDAP défini précédemment dans le
guide.
CONSEIL: Jusqu'à présent, nous gérons OpenLDAP via la ligne de commande avec des
fichiers ldif. Bien qu'il existe de nombreux gestionnaires LDAP basés sur une interface
graphique, j'ai découvert que la plupart d'entre eux ne sont pas gratuits ou n'ont pas été mis à
jour depuis des années. Si vous êtes absolument opposé à la gestion d'OpenLDAP via la ligne
de commande, je suggère la version gratuite de LDAP Account Manager (LAM), qui est une
interface Web pour LDAP qui peut être installée directement sur le serveur OpenLDAP.
6. Configurer l'accès Sudo LDAP
La configuration de l'accès sudo activé par LDAP n'est pas aussi simple qu'on pourrait s'y
attendre. Le package sudo par défaut utilisé par Ubuntu n'inclut pas la prise en charge de LDAP,
nous devons donc le remplacer par la version sudo-ldap à la place.
Dr GUEYE
L3 RT/ESTM
Cours Annuaire et Authentification 2023-2024
NOTE: Cette méthode d'installation sudo-ldap est nécessaire car elle remplace sudo, qui est
une dépendance de ubuntu-server-minimal, un package préinstallé du serveur Ubuntu.
Nous allons maintenant copier le schéma sudo fourni par le package sudo-ldap dans notre
répertoire de schéma ldap.
Ensuite, nous allons créer un ldif qui définit l’unité d'organisation Sudoers et définit les options
sudo par défaut dans notre schéma.
Ce ldif accordera également aux administrateurs de groupe LDAP que nous avons créés
précédemment les droits sudo.
NOTE: Vous avez peut-être remarqué le % devant les administrateurs dans notre ldif. Cela
indique que nous spécifions un groupe LDAP et non un utilisateur.
Enfin, ajoutez le sudoers.ldif au schéma et entrez le mot de passe administrateur OpenLDAP
lorsque vous y êtes invité.
Dr GUEYE
L3 RT/ESTM
Cours Annuaire et Authentification 2023-2024
CONSEIL: Il est important que les ID de groupe de votre schéma (gidNumber) et les ID
d'utilisateur (uidNumber) n'entrent pas en conflit avec les gid et uid locaux. La plupart des
administrateurs démarrent gidNumber à 5 000 et uidNumber à 10 000 pour éviter cela.
NOTE: Pour simplifier ce guide, j'ai attribué aux utilisateurs tests le gidNumber du groupe
d'administrateurs OpenLDAP qui en fait automatiquement un membre. Il est normalement
Dr GUEYE
L3 RT/ESTM
Cours Annuaire et Authentification 2023-2024
préférable d'attribuer un groupe par défaut différent aux utilisateurs et d'ajouter leur identifiant
au groupe des administrateurs pour suivre plus facilement les appartenances aux groupes.
Ajoutez le addUser.ldif au schéma et entrez le mot de passe administrateur OpenLDAP
Nous allons ensuite définir un mot de passe LDAP pour notre utilisateur test.
Saisissez et confirmez le mot de passe de l'utilisateur test , puis saisissez le mot de passe
administrateur OpenLDAP
8. Installer SSSD
Nous allons maintenant configurer SSSD qui est un service qui s'authentifie auprès
d'OpenLDAP . Il a également la capacité supplémentaire de mettre en cache les informations
d'identification au cas où un serveur OpenLDAP deviendrait inaccessible.
*NOTE: Si vous préférez laisser votre serveur OpenLDAP uniquement accessible via des
comptes locaux, cette section peut être ignorée. Dans la section suivante et finale, je vais vous
montrer comment configurer SSSD sur un PC client pour vous authentifier auprès de notre
serveur OpenLDAP.
Installez d'abord SSSD et les packages qui l'accompagnent
Nous allons maintenant créer le sssd.conf et modifier les autorisations, sinon SSSD ne
démarrera pas
Dr GUEYE
L3 RT/ESTM
Cours Annuaire et Authentification 2023-2024
Avec notre configuration de configuration SSSD, nous voudrons redémarrer le service SSSD
Ce qui suit permet la création automatique d'un répertoire personnel pour un utilisateur LDAP
qui se connecte au serveur OpenLDAP
Vous pouvez maintenant basculer vers cet utilisateur LDAP et tester les droits sudo
Passer à l'utilisateur LDAP et tester Sudo
su gueye
sudo ls -la
Dr GUEYE
L3 RT/ESTM
Cours Annuaire et Authentification 2023-2024
Dr GUEYE
L3 RT/ESTM
Cours Annuaire et Authentification 2023-2024
Sous les entrées localhost, entrez l'adresse IP et le nom de domaine complet du serveur
OpenLDAP.
Installez SSSD et les packages qui l'accompagnent qui géreront l'authentification sur le serveur
OpenLDAP
Dr GUEYE
L3 RT/ESTM
Cours Annuaire et Authentification 2023-2024
Testez maintenant la connectivité au serveur OpenLDAP. Comme pour les tests précédents,
voir le résultat : 0 Succès signifie que tout fonctionne.
Dr GUEYE
L3 RT/ESTM
Cours Annuaire et Authentification 2023-2024
Dr GUEYE
L3 RT/ESTM
Cours Annuaire et Authentification 2023-2024
V ous pouvez configurer la création automatique de répertoires personnels pour les utilisateurs
LDAP sur le PC client
Enfin, vous pouvez passer à l'utilisateur test et vérifier les droits sudo
Vérifions si la machine cliente parvient a retrouver l’utilisateur dioum du serveur LDAP.
Pour cela on tape la commande les commande getent et id
Maintenant on est en mesure de s’authentifier en tant que dioum avec la commande login
Dr GUEYE
L3 RT/ESTM
Cours Annuaire et Authentification 2023-2024
On voit bien qu’on s’est connecte avec le compte utilisateur dioum se trouvant dans l’annuaire
du serveur distant.
Quand on regarde les logs de slapd (à activer) de la machine distante, on s’aperçoit qu’une
connexion TLS a été initialisée.
- Vérifier l’authentification GUI via OpenLDAP SSSD
Pour se connecter en mode graphique, on ferme la session en cours (ou redémarrer la machine
cliente), sur l’interface de connexion GDM, on clique sur Absent de la liste ? pour avoir la
possibilité de saisir un nom d’utilisateur et mot de passe.
Dr GUEYE
L3 RT/ESTM
Cours Annuaire et Authentification 2023-2024
Dr GUEYE