À propos d’OpenLDAP
OpenLDAP est un protocole d’accès aux répertoires léger et open source gratuit développé par le projet OpenLDAP. C’est un protocole indépendant de la plate-forme, de sorte qu’il fonctionne sur tous les systèmes Linux / Unix, Windows, AIX, Solaris et Android.
OpenLDAP comprend:
- slapd – démon LDAP autonome (serveur)
- bibliothèques implémentant le protocole LDAP, ainsi que des utilitaires, des outils et des exemples de clients.
Dans ce tutoriel, voyons comment installer OpenLDAP et comment le configurer dans le serveur Ubuntu / Debian. J’ai testé ce tutoriel dans Ubuntu 15.10, mais ces étapes devraient fonctionner sur Debian 7/8 et les versions précédentes d’Ubuntu, y compris Ubuntu 15.04/14.10/14.04 etc.
Voici les détails de mon système de test:
- Système d’exploitation: Ubuntu 15.10 Serveur 64 bits
- Nom d’hôte: serveur.unixmen.adresse IP locale
- : 192.168.1.103/24
Voyons d’abord comment installer OpenLDAP.
Installez OpenLDAP dans Ubuntu 15.10/ Debian 8
Entrez la commande suivante dans Terminal pour installer openldap.
Passer à l’utilisateur root:
sudo su
Ou
su
Exécutez la commande suivante pour installer OpenLDAP.
apt-get install slapd ldap-utils
Lors de l’installation, il vous sera demandé de définir le mot de passe du compte administrateur LDAP. Entrez votre mot de passe administrateur ici.
Entrez à nouveau le mot de passe.
OpenLDAP est maintenant installé. Passons à la tâche de configuration.
Configurer OpenLDAP
Modifier « /etc/ldap/ldap.fichier « conf »,
vi /etc/ldap/ldap.conf
Recherchez, décommentez et remplacez les valeurs ‘BASE’ et ‘URI’ par votre nom de domaine et votre adresse IP comme indiqué ci-dessous.
## LDAP Defaults## See ldap.conf(5) for details# This file should be world readable but not world writable.BASE dc=unixmen,dc=localURI ldap://server.unixmen.local ldap://server.unixmen.local:666#SIZELIMIT 12#TIMELIMIT 15#DEREF never# TLS certificates (needed for GnuTLS)TLS_CACERT /etc/ssl/certs/ca-certificates.crt
Enregistrez et fermez le fichier.
Ensuite, nous devrions reconfigurer le slapd avec les valeurs mises à jour.
dpkg-reconfigure slapd
L’écran suivant devrait apparaître. Sélectionnez « Non » et appuyez sur Entrée.
Entrez le nom de domaine DNS.
Entrez le nom de l’organisation (c’est-à-dire le nom de votre entreprise).
Entrez le mot de passe administrateur LDAP que vous avez créé à l’étape précédente.
Entrez à nouveau le mot de passe.
Sélectionnez la base de données principale. Je vais avec les valeurs par défaut.
Sélectionnez si vous souhaitez supprimer automatiquement la base de données ou la conserver lorsque slapd est supprimé. Ici, je veux conserver mon ancienne base de données, j’ai donc cliqué sur Non.
Sélectionnez Oui pour déplacer l’ancienne base de données.
Sélectionnez Non et appuyez sur Entrée.
C’est tout. Nous avons configuré avec succès OpenLDAP. Allons-y et vérifions si cela fonctionne ou non.
Testez le serveur LDAP
Exécutez la commande suivante pour tester OpenLDAP:
ldapsearch -x
Sortie d’échantillon:
# extended LDIF## LDAPv3# base <dc=unixmen,dc=local> (default) with scope subtree# filter: (objectclass=*)# requesting: ALL## unixmen.localdn: dc=unixmen,dc=localobjectClass: topobjectClass: dcObjectobjectClass: organizationo: unixmendc: unixmen# admin, unixmen.localdn: cn=admin,dc=unixmen,dc=localobjectClass: simpleSecurityObjectobjectClass: organizationalRolecn: admindescription: LDAP administrator# search resultsearch: 2result: 0 Success# numResponses: 3# numEntries: 2
Si vous voyez le message « Succès » dans votre sortie, alors Félicitations! Le serveur LDAP fonctionne !!
Administration du serveur LDAP
L’administration du serveur LDAP à partir du mode de ligne de commande est un peu difficile. Nous ne pouvons pas mémoriser toutes les commandes LDAP. Nous utiliserons donc un outil d’administration d’interface graphique plus simple appelé « phpldapadmin » pour gérer, configurer et administrer le serveur LDAP.
Installer phpLDAPadmin
phpLDAPadmin est un outil d’administration LDAP basé sur le Web pour gérer votre serveur LDAP. À l’aide de phpLDAPadmin, vous pouvez parcourir votre arborescence LDAP, afficher le schéma LDAP, effectuer des recherches, créer, supprimer, copier et modifier des entrées LDAP. Vous pouvez même copier des entrées entre les serveurs.
Entrez la commande suivante pour installer phpLDAPAdmin:
apt-get install phpldapadmin
Créez un lien symbolique pour le répertoire phpldapadmin.
ln -s /usr/share/phpldapadmin/ /var/www/html/phpldapadmin
Sur Ubuntu 14.10 et les versions inférieures, exécutez:
ln -s /usr/share/phpldapadmin/ /var/www/phpldapadmin
Modifier « /etc/phpldapadmin/config.fichier php »,
vi /etc/phpldapadmin/config.php
Définissez le fuseau horaire correct. Pour ce faire, recherchez et décommentez la ligne suivante et définissez votre fuseau horaire.
$config->custom->appearance = 'Asia/Kolkata';
Faites défiler vers le bas et remplacez les noms de domaine par vos propres valeurs.
Pour ce faire, recherchez la section « Définir les serveurs LDAP » dans le fichier de configuration et modifiez les lignes suivantes comme indiqué ci-dessous.
// Set your LDAP server name //$servers->setValue('server','name','Unixmen LDAP Server');// Set your LDAP server IP address // $servers->setValue('server','host','192.168.1.103');// Set Server domain name //$servers->setValue('server','base',array('dc=unixmen,dc=local'));// Set Server domain name again//$servers->setValue('login','bind_id','cn=admin,dc=unixmen,dc=local');
Redémarrez le service apache.
systemctl restart apache2
Sur Ubuntu 14.10 et les versions antérieures, exécutez:
service apache2 restart
Assurez-vous d’avoir ouvert le port du serveur apache » 80 » et le port par défaut LDAP » 389 » dans la configuration de votre pare-feu/routeur.
ufw allow 80
Sortie d’échantillon:
Rules updatedRules updated (v6)
ufw allow 389
Sortie d’échantillon:
Rules updatedRules updated (v6)
Les étapes ci-dessus ne sont pas nécessaires pour les systèmes Debian.
Testez phpLDAPadmin
Ouvrez votre navigateur Web et accédez à: « http://IP-Address/phpldapadmin ».
L’écran suivant devrait apparaître.
Cliquez sur « Connexion » dans le volet de gauche. Entrez le mot de passe administrateur LDAP que vous avez créé lors de l’installation d’OpenLDAP, puis cliquez sur » Authentifier « .
Maintenant, l’écran principal de la console de phpldapadmin s’ouvrira.
Vous pouvez voir le domaine LDAP « unixmen.local » et d’autres détails à gauche.
À partir de là, vous pouvez ajouter des objets supplémentaires, tels que l’unité organisationnelle, les utilisateurs et les groupes, etc.
Création d’objets
1. Créer une unité d’organisation (OU) :
Permet de créer des exemples d’objets à partir de la console phpldapadmin. Tout d’abord, nous allons créer un OU.
Cliquez sur le signe « + » près de la ligne « dc=unixmen » et cliquez sur le lien « Créer une nouvelle entrée ici ».
Faites défiler vers le bas et sélectionnez « Générique – Unité organisationnelle ».
Entrez le nom de l’unité organisationnelle (Ex.ventes) et cliquez sur « Créer un objet ».
Enfin, cliquez sur « Valider ».
Maintenant, vous verrez l’unité d’organisation nouvellement créée dans la section LDAP principale dans le volet de gauche.
2. Créer un groupe:
Cliquez sur l’unité d’organisation des ventes dans le volet gauche et cliquez sur le lien « Créer une entrée enfant ».
Dans la fenêtre suivante, Sélectionnez « Generic: Posix Group ».
Entrez le nom du groupe et cliquez sur le bouton Créer un objet. Par exemple, ici, j’entre le nom du groupe en tant que « groupe de vente ».
Cliquez sur Valider pour enregistrer les modifications.
Maintenant, vous pouvez voir que le groupe nouvellement créé appelé « sales-group » sous l’unité d’organisation des ventes.
3. Créer un utilisateur :
Maintenant, créons un nouvel utilisateur sous sales-group.
Cliquez sur le groupe de vente à gauche. Sélectionnez le bouton Créer un lien d’entrée enfant.
Dans la fenêtre suivante, Sélectionnez « Générique: Compte utilisateur ».
Entrez les détails de l’utilisateur tels que le nom commun, le numéro GID, le nom de famille, le shell de connexion, le mot de passe et l’identifiant de l’utilisateur, etc., comme indiqué dans la capture d’écran ci-dessous et cliquez sur Créer un objet. Exemple. ici, je vais créer un utilisateur appelé « kumar ».
Puis cliquez sur « Valider » pour enregistrer les modifications.
Maintenant, l’utilisateur nouvellement créé « kumar » se trouvera sous l’objet « sales-group ».
En outre, vous pouvez vérifier que les objets nouvellement créés existent réellement avec la commande:
ldapsearch -x
Sortie d’échantillon:
# extended LDIF## LDAPv3# base <dc=unixmen,dc=local> (default) with scope subtree# filter: (objectclass=*)# requesting: ALL## unixmen.localdn: dc=unixmen,dc=localobjectClass: topobjectClass: dcObjectobjectClass: organizationo: unixmendc: unixmen# admin, unixmen.localdn: cn=admin,dc=unixmen,dc=localobjectClass: simpleSecurityObjectobjectClass: organizationalRolecn: admindescription: LDAP administrator# sales, unixmen.localdn: ou=sales,dc=unixmen,dc=localobjectClass: organizationalUnitobjectClass: topou: sales# sales-group, sales, unixmen.localdn: cn=sales-group,ou=sales,dc=unixmen,dc=localgidNumber: 500cn: sales-groupobjectClass: posixGroupobjectClass: top# kumar, sales-group, sales, unixmen.localdn: cn=kumar,cn=sales-group,ou=sales,dc=unixmen,dc=localcn:: IGt1bWFygidNumber: 500homeDirectory: /home/users/kumarsn: kumarloginShell: /bin/shobjectClass: inetOrgPersonobjectClass: posixAccountobjectClass: topuidNumber: 1000uid: kumar# search resultsearch: 2result: 0 Success# numResponses: 6# numEntries: 5
Comme vous le voyez dans la sortie ci-dessus, les nouveaux objets, à savoir ‘sales’, ‘sales-group’ et ‘kumar’ ont été créés avec succès sous le domaine LDAP principal. De même, vous pouvez créer autant d’objets que vous le souhaitez.
Installer et configurer OpenLDAP dans Debian et Ubuntu et ses dérivés est vraiment simple et simple. Même les utilisateurs novices peuvent facilement configurer un serveur LDAP en moins d’une heure.
Maintenant, le serveur OpenLDAP est prêt à l’emploi.
J’ai installé et configuré le serveur LDAP avec succès, et maintenant? Veuillez vous référer à notre prochain article Comment Configurer Les Clients Linux Pour Qu’Ils S’Authentifient À L’Aide D’OpenLDAP.
Bonne chance! Bonne fin de semaine !!