Centralized authentication using OpenLDAP/fr

Ce guide introduit les bases de LDAP et montre comment configurer OpenLDAP pour des besoin d'authentification dans un groupe d'ordinateurs.

Qu'est-ce que LDAP ?
LDAP signifie Lightweight Directory Access Protocol (Protocole Allégé pour accès à des annuaires). Basé sur X.500 il couvre la plupart de ses fonctions primaires, mais ne possède pas ses fonctions les plus ésotériques. Maintenant, qu'est-ce que ce X.500 et pourquoi LDAP existe-t-il ?

X.500 est un modèle pour les services d'annuaires dans de concept OSI. Il comprend des définitions d'espaces de noms et les protocoles pour interroger et mettre à jour l'annuaire. Néanmoins, X.500 s'est avérer être surdimensionné dans maintes situations. C'est là qu'entre en scène LDAP. Comme X.500 il procure un modèle données/espace de noms pour l'annuaire et un protocole. Cependant, LDAP est conçu pour tourner directement au-dessus de la pile TCP/IP. Considérez LDAP comme une version allégée de X:500.

Je n'ai pas saisi. Qu'est-ce qu'un annuaire ?
Un annuaire est une base de données spécialisée conçue pour des interrogations fréquentes mais avec des mises à jour moins fréquentes. Au contraire des bases de données générales, il ne comprend pas de prise en charge des transactions ou de fonctionnalités de retour en arrière. Les annuaires sont facilement répliqués pour en augmenter la disponibilité et la fiabilité. Lorsque les annuaires sont répliqués, des incohérences temporaires sont autorisées jusqu'à ce qu'elles soient synchronisées à la fin.

Comment l'information est-elle structurée ?
Toutes les informations dans un annuaire sont organisées de manière hiérarchisée. Même plus, si vous voulez entrer des données dans un annuaire, cet annuaire doit savoir comment ranger ces informations dans un arbre. Jetons un coup d'œil à une société imaginaire et un arbre similaire à Internet :

Comme vous n'entrez pas les données dans la base de données de cette façon ascii-artistique, chacun des nœuds d'un tel arbre doit être défini. Pour nommer de tels nœuds, LDAP utilise un schéma de nommage. La plupart des distributions LDAP (y compris OpenLDAP) contiennent déjà un certain nombre de schémas prédéfinis (et largement approuvés), tels que l'inetOrgPerson, un schéma fréquemment utilisé pour définir les utilisateurs que des machines Unix/Linux peuvent utiliser, appelés posixAccount (comptes posix). Notez qu'il existe des interfaces graphiques basées sur le web pour faciliter la gestion de LDAP : reportez-vous à Working with OpenLDAP pour une liste non exhaustive.

Les utilisateurs intéressés sont encouragés à lire le guide d'administration de OpenLDAP.

D'accord... Mais à quoi ça sert ?
LDAP peut être utilisé pour différentes choses. Ce document est centré sur la gestion centralisée d'utilisateurs, en conservant tous les comptes utilisateur dans un emplacement LDAP unique (ce qui ne veut pas dire qu'il est hébergé sur un serveur unique, LDAP prenant en charge une haute disponibilité et la redondance), bien que d'autres objectifs peuvent être atteints en utilisant LDAP également.


 * Infrastructure de clés publiques


 * Calendrier partagé


 * Carnet d'adresses partagé


 * Espace de stockage pour DHCP, DNS, ...


 * Directives de configuration des classes système (conserver la trace de la configuration de plusieurs serveurs)


 * Authentification centralisée (PosixAccount)



Remarques générales
Commencez par installer OpenLDAP. Assurez-vous que les options de la variable USE,,   (désactivé) et   sont utilisés.

OpenLDAP prend en charge deux mécanismes d'authentification


 * 1) Le mot de passe utilisateur standard (dans le jargon LDAP "utilisateur" signifie "binddn") est nommé SIMPLE.
 * 2) Envoi de demandes d'authentification par proxy à SASL (Simple Authentication and Security Layer, voir RFC4422 pour plus de détails)

Bien que le comportement par défaut d'OpenLDAP est d'utiliser SASL, la version initiale de cet article n'utilisait qu'une authentification basée sur un mot de passe. Avec le complément OLC, l'article commence à décrire l'utilisation du mécanisme SASL le plus simple, appelé EXTERNAL, qui repose sur l'authentification du système.

OpenLDAP posède un utilisateur principal appelé "rootdn" (Root Distinguished Name), qui est en dur dans l'application. Contrairement à l'utilisateur root Unix, l'utilisateur rootdn a besoin d'avoir les bonnes permissions. L'utilisateur rootdn ne devrais être utilisé que pour la configuration, mais il peut aussi être utilisé pour définir les répertoires. Dans ce cas, un utilisateur peut s'authentifier en tant que rootdn avec le mot de passe utilisé pour la configuration et le mot de passe de l'arborescence (basé sur le répertoire).

User passwords (regardless if it is for rootdn users or others) for verification purposes can be stored as clear text or hashed. Multiple different hash algorithms are available, but usage of weak algorithms (up to MD5) is not recommended. SHA is currently considered sufficiently cryptographically secure.

In the below command, a hashed value is created for a given password; the result of this command can be used in the configuration file, or in the internal directory definition of a user:

Legacy configuration (flat config slapd.conf)
Éditez maintenant la configuration du serveur LDAP dans. Le fichier de configuration provient des sources originales de openLDAP. Ci-dessous, nous donnons un exemple de fichier de configuration pour le remplacer et démarrer.

Pour une analyse plus détaillée du fichier de configuration, nous vous suggérons d'utiliser de le Guide de l'administrateur de OpenLDAP project's documentation page ou alors la page de manuel qui peut être suffisante.

Si le programme ne démarre pas, la première étape est de vérifier le fichier de configuration.

Jouez sur le niveau de déverminage (le -d 1 ci-dessus) pour plus d'informations. Si tout se passe bien, vous verrez config file testing succeeded. Si une erreur s'est produite,  indiquera  le numéro de ligne (du fichier  )  à laquelle elle s'applique.

By default writes the log events to the local4 syslog facility.

Notez que OpenLDAP peut stocker sa configuration dans deux emplacements. L'un dans le fichier  original et l'autre dans . Le deuxième est le nouvel emplacement et n'est pas conçu pour être édité à la main mais pour être généré depuis en utilisant   de la manière suivante dans. Il n'est pas nécessaire de convertir la configuration et d'utiliser pour l'instant, mais l'assistance pour l'approche actuellement documentée sera retirée des futures versions de ce document.

Migration depuis slapd.conf vers OLC
To be able to change OpenLDAP server's configuration, define at least  (or normally  ) access to.

The example below shows how to grant manage access on OLC (cn=config database) to the system administrator (root user) by adding the proper lines at the end of the file:

Then, invoke the utility with the   and   options to convert the  file into a configuration directory.

Running this command will transfer and translate the configuration. After that you are expected to update the configuration using specially prepared ldif files. And only if you aren't enough familiar with them, you can first edit and after that re-translate the  into. Don't forget to check the directory's permissions.

Pour plus d'instruction, reportez-vous aux commentaires en ligne des fichiers générés.

La ligne ci-dessous activera la méthode de configuration.

Pour finir, créez la structure  :

Configuration initiale avec OLC
An initial configuration is shipped as a standard LDAP database dump, available as or.

This initial configuration can be loaded (and only loaded, unlike ordinary LDAP databases) by the utility:

When using a root account, be sure to correct ownership of the files created by root, as described below in migrate section.

For the right to change the configuration database, proper permissions must be provided. The next example shows how these privileges are granted to the system user:

See for more details.

When using OLC, never manually edit the configuration files. The directory files can be used to check the consistency of the configuration through:

Maintenir l'annuaire
Start slapd:

Most users will also want the OpenLDAP daemon to start automatically:

Vous pouvez commencer à utiliser l'annuaire pour l'authentification des utilisateurs dans apache/proftpd/qmail/samba. Vous pouvez le gérer avec LAM (Ldap Account Manager), phpldapadmin, diradm, jxplorer, ou lat, qui procurent des interfaces de gestion conviviales.

The directory server can be managed with tools such as, and  from the Gentoo ebuild repository, or  from the poly-c overlay available through Layman or eselect repository.

Server management with OLC
Some examples of updates on the OLC-style configuration are mentioned below.

For instance, to change the location of the OLC configuration directory (needed after switching from a config file to config directory style):

To change the log level used by the OpenLDAP instance:

In order to apply the changes, run the following command:

OpenLDAP logging
OpenLDAP produces numerous log events, which might not be obvious to interpret, but are necessary for debugging purposes.

As OpenLDAP by default writes the log events into the system log, it is advisable to reconfigure the system logger to direct OpenLDAP log events into a dedicated log file.

It is advisable to use the  log level in OpenLDAP standalone server and   in OpenLDAP cluster. In such case query results logs session-related information such as the following:

Most common errors in server log are :

Which means «invalid credentials» (i.e. wrong password).

And :

Which means «No such object». Usually this error appears when binddn (user) has no permissions on requested object. So either try to do something wrong, or there is a mistake in the set ACLs.

Access management (ACLs)
The authorizations and access control mechanism used in OpenLDAP is described in the manual page. Its base syntax is as follows:

The following table shows the access levels available in OpenLDAP:

For details about the exact privilege settings, see the manual pages and official OpenLDAP documentation.

Config file
ACLs are parsed in the order they are set in the configuration, and are applied based on the specificity (meaning that, when an ACL rule is considered, the remainder of ACL rules is no longer checked). As such, more specific definitions should go first, before more generic ones are listed. For more information, see Access Control Evaluation.

For example:

Config directory
ACLs are parsed in the order they are set in the configuration, and are applied based on the specificity (meaning that, when an ACL rule is considered, the remainder of ACL rules is no longer checked). As such, more specific definitions should go first, before more generic ones are listed. This order, when using OLC, is handled through the  directives.

For example:

The following example inserts a new ACL on top, making the existing  entries to shift by one:

To delete an ACL:

Haute disponibilité
Pour configurer la réplication des changements à travers de multiples systèmes LDAP. Le réplication avec OpenLDAP est, dans ce guide, configurée en uilisant un compte dédié à la réplication  qui a des droits de lecture et écriture sur le serveur LDAP primaire et qui tire les changements du serveur primaire vers le serveur secondaire.

Replication within OpenLDAP is, in this guide, set up using a specific replication account which has read rights on the primary LDAP server and which pulls in changes from the primary LDAP server to the secondary.

Cette configuration est ensuite réfléchie, autorisant le serveur LDAP secondaire à fonctionner comme serveur primaire. Grâce à la structure interne d'OpenLDAP, les changements ne sont pas ré-appliqués s'ils sont déjà dans la structure LDAP.

Configurer la réplication
Pour configurer la réplication, commencez par configurer un deuxième serveur OpenLDAP, de façon similaire à ce qui a été décrit ci-dessus. Néanmoins, assurez-vous que dans le fichier de configuration,


 * sync replication providerpointe sur other system.


 * L'identifiant (serverID) est différent pour chacun des serveurs OpenLDAP.

Synchronisation account
Créez ensuite le compte de synchronisation. Créez un fichier LDIF (le format utilisé en tant que données d'entrée pour les serveurs LDAP) et ajoutez le à chaque serveur LDAP.

Enabling syncprov overlay
Overlay can be linked statically and dynamically. When it is built dynamically, you'll need to load module. For now in Gentoo it's usually built statically. To ensure type:

Load syncprov module (optional)
To load syncprov module, use the following ldif file:

Setting up replication for database
Next step, mandatory for everybody, is to setup replication for database (must be done on both nodes):

Final configuration
Finally, add replication's definition.

On node 1:

traditionally means the password string.

On node 2:

The only difference is in server's ident (rid) and provider uri.

If LDAP master (mirror node with initially loaded database) is unavailable (slapd daemon not started, or 389/tcp port is blocked by a packet filter) slapd daemon on secondary node fails to start with the following error message:

Almost certainly the database will not fit into default limits. So, you will need to increase 's limits. For example:

Performance tuning
Default daemon settings significantly limits LDAP server performance.

Symptoms
When server load fits system limit client applications fails with different kind of timeout errors.

In server log this produces error messages like following:

Increasing OS limits
First, read system user limits:

The first parameter, you need to increase, is the open files limit.

Maximum available value is described in Documentation/sysctl/fs.txt file of kernel documentation:

PAM system limits are stored in /etc/security/limits.conf file or, optionally, in /etc/security/limits.d/ directory. Daemons, started with init system use these parameters (see  for details), so you need just to put in the file:

And restart daemon.

The next limitation is 's  parameter.

During run time, this value can be updated via:

After verifying new value do not forget to fix it:

And, possibly, some other application-specific parameters.

Configurer les outils client d'OpenLDAP
Éditez les fichiers de configuration du client LDAP. Ce fichier est lu par ldapsearch et les autres outils en ligne de commande de ldap.

Nous pouvons tester le serveur en service à l'aide de la commande suivante :

Si vous obtenez une erreur, essayez d'ajouter  pour augmenter la verbosité et résoudre votre problème.

Configuration du client pour une authentification centralisée
Il existe de nombreuses méthodes ou de nombreux outils à utiliser pour une authentification à distance. Quelques distributions disposent également de leur propre outil convivial de configuration. Ci-dessous, nous en présentons quelques uns sans ordre particulier. Il est possible des combiner des comptes d'utilisateurs locaux et des comptes autorisés de manière centralisée en même temps. Ceci est important parce que, par exemple, si le serveur LDAP n'est pas accessible, on peut toujours se connecter en tant qu'utilisateur root.


 * SSSD (Single Sign-on Services Daemon). Son premier rôle est de fournir un accès à une identité et à une ressources distante d'authentification à travers une structure commune qui assure la mise en cache et une assistance hors ligne au système. IL fournit des modules PAM et NSS, et dans le futur prendra en charge les interfaces D-Bus pour une information utilisateur étendue. Il procure aussi une base de données meilleure pour stocker les utilisateurs locaux et des données utilisateur étendues.


 * Utilise  pour se connecter au serveur  LDAP et s'authentifier. Les mots de passe ne sont pas envoyés en clair sur le réseau.


 * NSLCD (Name Service Look up Daemon ou démon de service de recherche de nom). Similaire à SSSD, mais plus ancien.


 * NSS (Name Service Switch ou commutateur de service ). Il utilise le module    traditionnel pour aller chercher les hachages des mots de passe  sur le réseau. Pour permettre aux utilisateurs de mettre leur mot de passe à jour, ceci doit être combiné avec la méthode.

Les deux premiers sont démontrés ci-après avec les options minimales de configuration pour que ça fonctionne.

Configuration PAM du client par la méthode SSSD
Voici une méthode plus directe. Les trois fichiers à éditer sont indiqués ci-dessous :

Ajoutez sss à la fin comme indiqué ci-dessous pour activer la recherche par le service système sssd. Une fois que vous avez terminé l'édition, démarrez le démon sssd.

Le dernier fichier est le plus critique. Ouvrez un terminal root supplémentaire en tant que secours avant d'éditer cela. Les lignes en gras ont été ajoutées pour activer l'authentification à distance. Notez l'utilisation de  pour la prise en charge de la création des répertoire home des utilisateurs.

Maintenant essayez de vous connecter depuis une autre machine.

Configurer le PAM client par la méthode du module pam_ldap
Tout d'abord, vous allez configurer PAM pour permettre l,autorisation LDAP. Installez afin que PAM prenne en charge l'autorisation LDAP, et   afin que votre système puisse coopérer avec les serveurs LDAP pour une information additionnelle (utilisée par  ).

Le dernier fichier est le plus critique. Ouvrez quelques terminaux root en tant que secours avant d'éditer ces lignes. Les lignes en gras ont été ajoutées pour activer l'authentification à distance.

Maintenant changez pour lire :

Ensuite copiez le fichier  (de OpenLDAP) du serveur vers le client afin que le clients soient conscients de l'environnement LDAP :

Pour terminer, configurez les clients afin qu'ils interrogent LDAP sur les comptes du système :

Si vous avez observé qu'une des lignes que vous avez collées dans votre fichier  était commentée (la ligne  ): vous n'en avez pas besoin sauf si vous voulez changer le mot de passe d'un utilisateur en mot de passe super-utilisateur. Dans un tel cas, vous devez envoyer en écho le mot de passe root à   en texte simple. Ceci est DANGEREUXet les droits devraient être mis à 600. Ce que vous pouvez désirer faire et c'est conserver ce fichier vierge et lorsque vous avez besoin de changer le mot de passe de quelqu'un qui est à la fois dans LDAP et dans  , y mettre le mot de passe pendant 10 secondes, le temps de changer le mot de passe de l'utilisateur, puis le retirer une fois la chose faite.

Migrer des données existantes vers ldap
Configurer OpenLDAP pour une administration centralisée et la gestion d'items Linux/Unix communs n'est pas chose facile, mais grâce à quelques outils et scripts disponibles sur Internet, migrer un système conçu pour être administré en tant que système unique vers un système à gestion centralisée basé sur LDAP n'est pas difficile.

Rendez-vous sur http://www.padl.com/OSS/MigrationTools.html et recherchez-y les scripts. Vous avez besoin des outils de migration et du script.

Ensuite, extrayez les outils et copiez le script  dans l'emplacement d'extraction :

L'étape suivante est maintenant de migrer les informations de votre système vers OpenLDAP. Le script le fera pour vous, après que vous lui ayez fourni l'information concernant votre structure LDAP et votre environnement.

Au moment de l'écriture, les outils ont besoin des entrées suivantes :

L'outil vous demandera aussi quels comptes et quelles configurations vous voulez migrer.

Emerge errors after conversion to LDAP
If for any reasons local user accounts (i.e. /etc/passwd /etc/shadow) or groups (i.e. /etc/group) are deleted after converting the file userbase to LDAP, errors may be encountered relating to missing user (or group) while emerging certain packages.

Example of error while emerging due to missing "apache" local user account: Installing build system files make[1]: Leaving directory '/var/tmp/portage/www-servers/apache-2.4.41/work/httpd-2.4.41'              [ ok ] chown: invalid user: ?apache:apache? * ERROR: www-servers/apache-2.4.41::gentoo failed (install phase): *  fowners failed In such cases, a workaround involves emerging the package using FEATURES=-network-sandbox. Doing so has potential security consequences so system users should remain in local files.

Remerciements
Nous tenons à remercier Matt Heler qui nous a prêté sa machine pour réaliser ce guide. Merci aussi aux gars très compétents de sur le réseau IRC freenode.net.