Précédent		Suivant

Introduction aux annuaires LDAP avec OpenLDAP

Résumé

Ce support de travaux pratiques aborde la mise en œuvre d'un annuaire LDAP avec le logiciel OpenLDAP. Il décrit l'installation et la configuration du démon slapd, la composition d'un annuaire à partir de fichiers LDIF, l'accès à distance depuis un client par l'intermédiaire du mécanisme Name Service Switch, l'exposition de l'annuaire via un service Web de type « White Pages », ainsi que la sécurisation complète des échanges. Cette sécurisation repose sur deux mécanismes complémentaires : l'intégration de l'annuaire au royaume Kerberos pour l'authentification forte des liaisons LDAP via SASL/GSSAPI, et la protection des échanges entre clients et serveur par le protocole Transport Layer Security (TLS), activé en mode StartTLS sur le port 389/tcp et en mode LDAPS sur le port 636/tcp.

Table des matières

1. Objectifs

2. Topologie, scénario et plan d'adressage

3. Principes d'un annuaire LDAP

4. Installer et configurer le serveur LDAP

4.1. Installer le service LDAP
4.2. Configurer le service LDAP
4.3. Analyser la configuration du service LDAP

5. Composer un nouvel annuaire LDAP

5.1. Créer les branches de l'annuaire
5.2. Ajouter des utilisateurs à l'annuaire

6. Configurer l'accès client au serveur LDAP

6.1. Interroger l'annuaire LDAP à distance
6.2. Configurer l'accès transparent à l'annuaire LDAP sur un système client

7. Sécuriser les échanges entre clients et serveur LDAP

7.1. Assurer la résolution des noms d'hôtes
7.2. Installer et configurer le serveur Kerberos
7.3. Installer et configurer le client Kerberos
7.4. Intégrer Kerberos au service d'annuaire LDAP
7.5. Sécuriser les échanges avec TLS

8. Accéder à l'annuaire LDAP depuis un service Web

8.1. Installer le service White Pages
8.2. Configurer l'accès à l'annuaire LDAP depuis le service Web
8.3. Ajouter des photos au trombinoscope

9. Conclusion

10. Documents de référence

1. Objectifs

Après avoir réalisé les manipulations proposées dans ce support, vous serez en mesure de :

Décrire les principes d’un annuaire LDAP: Comprendre la notion d’arbre d’information ou de Directory Information Tree (DIT), la composition d’une entrée à partir de classes d’objets et de schémas, le format d’échange LDIF et les opérations d’interrogation et de modification de la base.
Configurer un service d’annuaire OpenLDAP: Installer le démon slapd, analyser sa configuration dynamique stockée dans le DIT cn=config, réinitialiser la base de l’annuaire pour adopter un nouveau contexte de nommage et y composer une arborescence de comptes utilisateurs à l’aide de fichiers LDIF.
Configurer un système client avec un accès transparent à l’annuaire: Mettre en œuvre le mécanisme Name Service Switch en s’appuyant sur les paquets libnss-ldapd et libpam-ldapd afin que les comptes utilisateurs publiés dans l’annuaire soient utilisables comme s’ils étaient déclarés localement, et valider l'authentification via PAM.
Sécuriser l’authentification et les échanges avec Kerberos et TLS: Mettre en place un royaume Kerberos local, créer le principal de service de l’annuaire, configurer l’authentification SASL/GSSAPI, puis déployer une autorité de certification locale afin d’activer StartTLS sur le port 389/tcp et le service ldaps:// sur le port 636/tcp.
Exposer l’annuaire à travers un service Web: Installer et paramétrer le service White Pages du projet LDAP Tool Box afin de publier un trombinoscope des comptes de l’annuaire, en exploitant notamment l’attribut jpegPhoto.

Précédent		Suivant
	Sommaire