Openldap:configuration slapd standard
Un article de Free-4ever.
Sommaire |
Introduction
Ce document va expliquer la configuration "basique" d'un serveur slapd de la suite OpenLDAP.
Cela s'applique aussi bien à une distribution Linux, testé sur Debian Sarge, que sur FreeBSD, testé en 6.1.
Prérequis
Il faudra avoir installé le paquet slapd sur une Debian ou alors le port openldap23-server sur un FreeBSD.
Dans le cas de la Debian, les configurations se passeront dans /etc/ldap alors que sur FreeBSD, cela sera dans /usr/local/etc/openldap.
Enfin, les données se trouvent dans /var/lib/slapd sur Debian alors que cela se trouve dans /var/db/openldap-data sur FreeBSD.
Dans la suite du document, tout sera basé un FreeBSD.
Le fichier slapd.conf
Voici le fichier de configuration avec les commentaires à l'intérieur:
## slapd config file
# Includes
# Tous les schemas à charger
include /usr/local/etc/openldap/schema/core.schema
include /usr/local/etc/openldap/schema/cosine.schema
include /usr/local/etc/openldap/schema/inetorgperson.schema
include /usr/local/etc/openldap/schema/nis.schema
# Modules
# Le module de stockage que l'on utilise, BDB dans notre cas
modulepath /usr/local/libexec/openldap
moduleload back_bdb
# SSL Options
# Le certificat du serveur
TLSCertificateFile /usr/local/etc/openldap/ssl/ldap1_cert.pem
# La clef du serveur
TLSCertificateKeyFile /usr/local/etc/openldap/ssl/ldap1_key.pem
# Le certificat du CA qui a signé le certificat du serveur.
TLSCACertificateFile /usr/local/etc/openldap/ssl/cacert.pem
# Paramètres généraux
# Le fichier pid
pidfile /var/run/openldap/slapd.pid
# le fichier qui garde la ligne de commande complète utilisée pour lancer le daemon
argsfile /var/run/openldap/slapd.args
# Définition d'une base
# le type que l'on souhaite utiliser
database bdb
# Le répertoire où la base sera stockée
directory /var/db/openldap-data
# Le suffix principal de la base
suffix "o=free-4ever,dc=net"
# le DN du root de la base
rootdn "cn=manager,o=free-4ever,dc=net"
# Le mot de passe crypté avec la commande slappasswd du root de la base
rootpw {SSHA}hSixML09eyZsQncyqSebQq5tFpXgXT63
# les paramètres que l'on souhaite indexer
index objectClass eq
## Acces Lists
# Le root de la base peut tout faire
# Le watcher peut tout lire
# Pas d'accès anonyme
access to * by dn.regex="cn=manager,o=free-4ever,dc=net" write
by dn.regex="cn=watcher,o=free-4ever,dc=net" read
by * auth
# Tous les utilisateurs authentifiés peuvent changer certaines de leurs informations
access to attrs=userPassword,sambaLMPassword,sambaNTPassword,gecos,description,loginShell
by self write
by anonymous auth
by * none
En ce qui concerne les paramètres pour que la connexion sécurisée par SSL, il faudra un certificat et sa clef, vous pouvez vous reporter aux documents: Création de l'autorité de certification et Création d'un certificat avec le CA.
Application des modifications
Arrêtez le daemon slapd:
# /usr/local/etc/rc.d/slapd stop
Au cas où le daemon aurait été démarré précédemment avec une autre base, il faut effacer le contenu du répertoire /var/db/openldap-data.
Si on veut utiliser le port ldaps, il faut penser à mettre quelque chose du style ldaps://0.0.0.0/ au niveau du paramètre slapd_flags dans le fichier rc.conf. PS: sur une Debian, ca se passe dans le fichier /etc/defaults/slapd.
Démarrez le daemon slapd:
# /usr/local/etc/rc.d/slapd start
Mot de la fin
Notre service LDAP est maintenant prêt à recevoir des requêtes. Rien n'est créé dedans hormis la base "o=free-4ever,dc=net", tout se passera en dessous de ce point. Et le compte admin "cn=manager,o=free-4ever,dc=net" qui bien en dessous de ce point. Le compte de visualisation n'est pas créé non plus pour l'instant.
Pour commencer à utiliser votre annuaire LDAP, vous pouvez vous reporter au document suivant: Utilisation des outils client
Par: Silencer 24 novembre 2006 à 15:52 (CET)
