Topologie logique
Les manipulations présentées dans ce support utilisent un domaine de diffusion unique (VLAN) dans lequel on trouve au moins deux systèmes virtuels ou physiques avec deux rôles distincts.
-
Le système serveur héberge le démon
slapd, le centre de distribution de clés Kerberos (KDC) et l'autorité de certification locale. -
Le système client interroge l'annuaire et présente les comptes au système d’exploitation par l’intermédiaire de NSS et de PAM.
Scénario
Pour mettre en œuvre progressivement un annuaire LDAP, de son installation à son exposition sécurisée vers les clients et les services applicatifs, le séquencement des opérations est présenté dans le tableau ci-dessous. Après le traitement des parties communes, les deux systèmes jouent un rôle distinct.
Tableau 1. Attribution des rôles LDAP
| Client | Serveur |
|---|---|
| — | Installez le paquet slapd, analysez la configuration cn=config, réinitialisez la base et composez le nouvel annuaire. |
| Installez les outils LDAP, interrogez l'annuaire à distance. | Activez la journalisation des transactions et publiez les comptes utilisateurs. |
Configurez libnss-ldapd et libpam-ldapd pour l'accès transparent. |
Validez la connexion getent passwd depuis le client. |
Installez libsasl2-modules-gssapi-mit et krb5-user pour l'authentification Kerberos. |
Installez le KDC, créez le royaume LAB.LOCAL, créez les principaux et le keytab dédié à slapd. Activez SASL/GSSAPI. |
Importez l'autorité de certification locale et validez les liaisons ldaps:// et StartTLS. |
Générez les certificats, déposez-les dans /etc/ssl/ et activez olcTLS* dans la configuration dynamique du démon slapd. |
Installez le service web White Pages, configurez l'accès à l'annuaire et alimentez le trombinoscope via l'attribut jpegPhoto. |
— |
Plan d'adressage
Le tableau ci-dessous correspond au plan d’adressage de la maquette qui a servi à traiter les questions des sections suivantes. Lors des séances de travaux pratiques, un plan d’adressage spécifique est fourni à chaque binôme d’étudiants. Il faut se référer au document Infrastructure.
Tableau 2. Plan d'adressage de la maquette « Introduction aux annuaires LDAP avec OpenLDAP »
| Rôle | Nom | VLAN | Adresses IP | Interface tap |
|---|---|---|---|---|
| Serveur | ldap-srvr.lab.local |
101 | 172.28.101.3/242001:678:3fc:65:baad:caff:fefe:3/64 |
3 |
| Client | ldap-clnt.lab.local |
101 | 172.28.101.4/242001:678:3fc:65:baad:caff:fefe:4/64 |
4 |
Le nom de domaine DNS lab.local correspond au royaume Kerberos LAB.LOCAL et au contexte de nommage LDAP dc=lab,dc=local. Cette correspondance est essentielle à la fois pour la résolution automatique du realm Kerberos et pour la cohérence des identifiants distinctifs LDAP avec les noms DNS.