Topologie logique
Les manipulations présentées dans ce support utilisent un domaine de diffusion unique (VLAN) dans lequel on trouve au moins deux systèmes virtuels ou physiques avec deux rôles distincts.
-
Le système serveur cumule l'hébergement des services d'identités et de stockage. Il est le centre de distribution de clés Kerberos (KDC) et l'autorité de certification locale.
-
Le système client interroge l'annuaire et présente les comptes ainsi que les points de montages des répertoires personnels de ces comptes.
Scénario
Ce support de travaux pratiques constitue la synthèse des deux énoncés qui le précèdent dans la série Administration système en réseau :
-
Introduction au système de fichiers réseau NFSv4 : Installer et configurer un serveur NFSv4 avec sécurité Kerberos (
sec=krb5p) et chiffrement des échanges au niveau transport avec TLS (xprtsec=tls:mtls). -
Introduction aux annuaires LDAP avec OpenLDAP : Déployer un annuaire OpenLDAP avec une authentification forte SASL/GSSAPI (Kerberos) et un chiffrement des échanges au niveau transport avec StartTLS ou
ldaps://.
L’objectif de ce support est de mutualiser les deux services sur le même couple serveur/client afin de reproduire un cas d’usage classique en environnement de production : un utilisateur s’authentifie via LDAP, puis son répertoire personnel est monté automatiquement à la connexion depuis un partage NFS sécurisé.
Cette mutualisation soulève deux nouvelles problématiques, traitées en détail dans cette synthèse :
-
La coexistence, sur le même hôte, des services
slapd,krb5-kdc,nfs-kernel-serveretidmapd, qui partagent le même royaume KerberosLAB.LOCALet la même autorité de certification X509. -
La publication des cartes de montage automatique (
auto.master,auto.home) dans le DIT LDAP plutôt que dans des fichiers locaux, afin que tout clientautofsconfiguré pour interroger l'annuaire dispose automatiquement des règles de montage à jour.
Tableau 1. Répartition des rôles entre client et serveur
| Client | Serveur |
|---|---|
| — | Installez et initialisez le service d'annuaire slapd : Initialisez la base cn=config, créez le contexte de nommage dc=lab,dc=local, puis implantez les unités organisationnelles et les comptes utilisateurs. |
Installez les outils LDAPr (ldap-utils) et validez l'accès à l'annuaire distant par requêtes ldapsearch. |
Activez la journalisation des transactions (olcLogLevel: stats) et vérifiez la publication des comptes avec ldapsearch. |
Configurez libnss-ldapd et libpam-ldapd pour l'accès transparent. |
Validez la connexion getent passwd depuis le client. |
Installez libsasl2-modules-gssapi-mit et krb5-user pour l'authentification Kerberos. |
Installez le KDC, créez le royaume LAB.LOCAL, créez les principaux et le keytab dédié à slapd. Activez SASL/GSSAPI. |
Importez l'autorité de certification locale et validez les liaisons ldaps:// et StartTLS. |
Générez les certificats, déposez-les dans /etc/ssl/ et activez olcTLS* dans la configuration dynamique du démon slapd. |
Installez le service web White Pages, configurez l'accès à l'annuaire et alimentez le trombinoscope via l'attribut jpegPhoto. |
— |
Plan d'adressage
Le tableau ci-dessous correspond au plan d’adressage de la maquette qui a servi à traiter les questions des sections suivantes. Lors des séances de travaux pratiques, un plan d’adressage spécifique est fourni à chaque binôme d’étudiants. Il faut se référer au document Infrastructure.
Tableau 2. Plan d'adressage de la maquette « Introduction aux annuaires LDAP avec OpenLDAP »
| Rôle | Nom | VLAN | Adresses IP | Interface tap |
|---|---|---|---|---|
| Serveur | srvr.lab.local |
101 | 172.28.101.5/242001:678:3fc:65:baad:caff:fefe:5/64 |
5 |
| Client | clnt.lab.local |
101 | 172.28.101.6/242001:678:3fc:65:baad:caff:fefe:6/64 |
6 |
Le nom de domaine DNS lab.local correspond au royaume Kerberos LAB.LOCAL et au contexte de nommage LDAP dc=lab,dc=local. Cette correspondance est essentielle à la fois pour la résolution automatique du realm Kerberos et pour la cohérence des identifiants distinctifs LDAP avec les noms DNS.