Le service LDAP

LDAP (Light Directory Access Protocol) est un service d'annuaire driv de la norme X.500 Un serveur LDAP permet de centraliser des informations trs diverses. Il offre de nombreux avantages : un serveur d'annuaire (recensement de tous les objets d'un systme)

Informations sur les utilisateurs , les donnes d'authentification et aussi la dfinition de droits.
Information pour les applications clientes et fonctions de serveurs bien d'autres choses...

Le service LDAP
LDAP fournit un ensemble d'outils : un protocole permettant d'accder l'information contenue dans l'annuaire, un modle d'information dfinissant l'organisation et le type des donnes contenues dans l'annuaire, un modle de nommage dfinissant comment l'information est organise et rfrence un modle fonctionnel qui dfinit comment accder l'information, un modle de scurit qui dfinit comment accder aux donnes et comment celles-ci sont protges. OpenLDAP est souvent configur avec SASL (Simple Authentication and Security Layer), qui permet les transactions cryptes avec les protocoles fonctionnant en mode connect. un modle de duplication qui dfinit comment la base est rpartie entre serveurs, des APIs pour dvelopper des applications clientes, LDIF, (Ldap Data Interchange Format) un format d'change de donnes.

Le service LDAP
1. Le modle de donnes Le Directory Information Tree (DIT)
= Organisation hirarchique des donnes de lannuaire Le sommet (racine), contient le "suffixe". Chaque noeud reprsente une

"entre" ou "Directory Entry Service" (DSE).

Les donnes sont stockes sur un format de base de donnes hirarchique de type "dbm".

Le Directory Information Tree (DIT)

Le Directory Information Tree (DIT)

Rappels :
Le "dn", ou Distinguished Name, est le chemin absolu de l'entre dans le DIT partir de la racine. Par exemple : dc=org, dc=mydomaine, ou=person, uid=toor

Classes d'objets :

(certaines classes sont normalises et son identifies par un nom et un OID (Object Identifier); Les OID sont normaliss par la RFC2256 ) cf. document services LDAP p.6

Objets = DSE Attributs = proprits dun objet Schma = L'ensemble de la description des classes d'objet et de leurs types d'attributs

Le service LDAP
Le format d'change de donne LDIF
Les fichiers LDIF permettent l'import/export , l'ajout ou la modification de donnes. Les fichiers au format LDIF respectent une structure de description des objets et des commandes :
Syntaxe gnrale : dn: <distinguished name objectClass: <object class objectClass: <object class ... <attribute type:<attribute value <attribute type:<attribute value

Le service LDAP
Le format d'change de donne LDIF
Exemple : dn: cn= Manon Des Sources, ou= compta, dc=mydomain, dc=org objectClass: person objectClass: organization cn: AN GROSSI sn: GROSSI givenName: AM userPassword: {sha}KDIE3AL9DK uid: amg

Le service LDAP
Le format d'change de donne LDIF
Les fichiers supportent galement des commandes pour ajouter, modifier ou supprimer une entre.en utilisant les operations add ,delete,modrdn,modify Exemple : dn: cn= Morina Fuentes, ou=admin, dc=mydomain, dc=org changetype: modify add: telephonenumber telephonenumber: 05 55 55 55 55 add: manager manager: cn= toor root, ou=admin, dc=mydomain, dc=org

Le service LDAP
Les mthodes d'accs

Les oprations de base sont rsumes ici :

Search recherche dans l'annuaire d'objets Compare comparaison du contenu de deux objets Add ajout d'une entre Modify modification du contenu d'une entre Delete suppression d'un objet Rename (Modify DN) modification du DN d'une entre Bind connexion au serveur Unbind deconnexion

Le service LDAP
Les mthodes d'accs
Les requtes de type "search" ou "compare" reoivent des paramtres. Paramtre base object l'endroit de l'arbre o doit commencer la recherche scope la profondeur de la recherche size limit nombre de rponses limite time limit temps maxi allou pour la recherche attrOnly renvoie ou pas la valeur des attributs en plus de leur type search filter le filtre de recherche list of attributes la liste des attributs que l'on souhaite connatre

Le service LDAP
Les mthodes d'accs
Les URL LDAP offrent aux client web un accs aux bases de donnes : ldap[s]://<hostname>:<port>/<base_dn>?\<attributes>?<scope>?<filter > <base_dn> : DN de l'entre qui est le point de dpart de la recherche <attributes>: les attributs que l'on veut consulter <scope> : la profondeur de recherche dans le DIT partir du <base_dn> :"base" | "one" | "sub" <filter> : filtre de recherche, par dfaut (objectClass=*) Exemple : ldap://ldap.netscape.com/ou=Sales,o=Netscape,c=US?cn,\ tel,mail?scope=sub?(objetclass=person) ldap://ldap.point-libre.org/cn=Manon,ou=Contact,o=point-libre.org

Le service LDAP
Le langage de commande

1. slapadd, slapcat, slapindex, slappasswd

fournis avec les serveurs LDAP (utilisables sous le
compte root).

2. ldapadd, ldapdelete, ldapmodify, ldapmodrdn, ldappasswd, ldapsearch.

fournis avec les utilitaires ldap (utilisable par les utilisateurs et les applications). Ils sont fournis par le paquet (ldap-utils)

Le service LDAP
Le langage de commande
Exemples : ldapsearch -x -h localhost -b "dc=mydomain,dc=fr" "objectclass=*"
Recherche de tous les objets sur l'annuaire de la machine locale, partir de la racine. (-b indique partir de quel niveau la recherche doit tre excute). L'option -x indique de ne pas utiliser la mthode d'authentification SASL si elle n'est pas active.

ldapdelete 'cn=Jean Colombani,cn=mydomain,cn=fr'

Suppression d'une entre dans l'annuaire

ldapadd -f /tmp/unFichierAuFormatLDIF
Ajout dans l'annuaire partir d'un fichier contenant des donnes au format LDIF.

Le service LDAP
Installation dopenLDAP Installer les packages slapd 2.1.30-2 (slapd) ldap-utils 2.1.30-2 libldap2 2.1.30-2 libraries php4-ldap 4.3.8-1 php4

OpenLDAP server
OpenLDAP utilities OpenLDAP

LDAP module for

Le service LDAP
configuration LDAP
1. Les fichiers de configuration du serveur

Les fichiers sont dans "/etc/openldap"

Le premier fichier est "sldapd.conf" qui dcrit les principaux paramtres de votre annuaire Cf document services LDAP p.12