Centralized authentication using OpenLDAP/fr

Ce guide introduit les bases de LDAP et montre comment configurer OpenLDAP pour des besoin d'authentification dans un groupe d'ordinateurs.

Qu'est-ce que LDAP ?
LDAP signifie Lightweight Directory Access Protocol (Protocole Allégé pour accès à des annuaires). Basé sur X.500 il couvre la plupart de ses fonctions primaires, mais ne possède pas ses fonctions les plus ésotériques. Maintenant, qu'est-ce que ce X.500 et pourquoi LDAP existe-t-il ?

X.500 est un modèle pour les services d'annuaires dans de concept OSI. Il comprend des définitions d'espaces de noms et les protocoles pour interroger et mettre à jour l'annuaire. Néanmoins, X.500 s'est avérer être surdimensionné dans maintes situations. C'est là qu'entre en scène LDAP. Comme X.500 il procure un modèle données/espace de noms pour l'annuaire et un protocole. Cependant, LDAP est conçu pour tourner directement au-dessus de la pile TCP/IP. Considérez LDAP comme une version allégée de X:500.

Je n'ai pas saisi. Qu'est-ce qu'un annuaire ?
Un annuaire est une base de données spécialisée conçue pour des interrogations fréquentes mais avec des mises à jour moins fréquentes. Au contraire des bases de données générales, il ne comprend pas de prise en charge des transactions ou de fonctionnalités de retour en arrière. Les annuaires sont facilement répliqués pour en augmenter la disponibilité et la fiabilité. Lorsque les annuaires sont répliqués, des incohérences temporaires sont autorisées jusqu'à ce qu'elles soient synchronisées à la fin.

Comment l'information est-elle structurée ?
Toutes les informations dans un annuaire sont organisées de manière hiérarchisée. Même plus, si vous voulez entrer des données dans un annuaire, cet annuaire doit savoir comment ranger ces informations dans un arbre. Jetons un coup d'œil à une société imaginaire et un arbre similaire à Internet :

Structure de l'organisation de GenFic, une société Gentoo imaginaire

Comme vous n'entrez pas les données dans la base de données de cette façon ascii-artistique, chacun des nœuds d'un tel arbre doit être défini. Pour nommer de tels nœuds, LDAP utilise un schéma de nommage. La plupart des distributions LDAP (y compris OpenLDAP) contiennent déjà un certain nombre de schémas prédéfinis (et largement approuvés), tels que l'inetOrgPerson, un schéma fréquemment utilisé pour définir les utilisateurs que des machines Unix/Linux peuvent utiliser, appelés posixAccount (comptes posix). Notez qu'il existe des interfaces graphiques basées sur le web pour faciliter la gestion de LDAP : reportez-vous à Working with OpenLDAP pour une liste non exhaustive.

Les utilisateurs intéressés sont encouragés à lire le guide d'administration de OpenLDAP.

D'accord... Mais à quoi ça sert ?
LDAP peut être utilisé pour différentes choses. Ce document est centré sur la gestion centralisée d'utilisateurs, en conservant tous les comptes utilisateur dans un emplacement LDAP unique (ce qui ne veut pas dire qu'il est hébergé sur un serveur unique, LDAP prenant en charge une haute disponibilité et la redondance), bien que d'autres objectifs peuvent être atteints en utilisant LDAP également.


 * Infrastructure de clés publiques


 * Calendrier partagé


 * Carnet d'adresses partagé


 * Espace de stockage pour DHCP, DNS, ...


 * Directives de configuration des classes système (conserver la trace de la configuration de plusieurs serveurs)


 * Authentification centralisée (PosixAccount)



Configurer le serveur OpenLDAP
Commençez par installer OpenLDAP. Assurez-vous que les options de la variable USE, "berkdb, crypt, gnutls, ipv6, sasl, ssl, syslog" et "tcpd" sont utilisés.

OpenLDAP possède un mot de passe "rootdn" (Root Distinguished Name ou Nom racine distingué) qui est généré via la commande ci-dessous et nécessite d'être placé dans  comme cela sera mentionné plus loin.

Éditez maintenant la configuration du serveur LDAP dans. Le fichier de configuration provient des sources originales de openLDAP. Ci-dessous, nous donnons un exemple de fichier de configuration pour le remplacer et démarrer.

/etc/openldap/slapd.conf

Pour une analyse plus détaillée du fichier de configuration, nous vous suggérons d'utiliser de le Guide de l'administrateur de OpenLDAP.

Vérifier la configuration
Après avoir personnalisé le fichier vous pouvez le tester à l'aide de la commande suivante :

Jouez sur le niveau de déverminage (le -d 1 ci-dessus) pour plus d'informations. Si tout se passe bien, vous verrez config file testing succeeded. Si une erreur s'est produite,  indiquera  le numéro de ligne (du fichier  )  à laquelle elle s'applique.

Notez que OpenLDAP peut stocker sa configuration dans deux emplacements. L'un dans le fichier  original et l'autre dans . Le deuxième est le nouvel emplacement et n'est pas conçu pour être édité à la main mais pour être généré depuis en utilisant   de la manière suivante dans. Il n'est pas nécessaire de convertir la configuration et d'utiliser pour l'instant, mais l'assistance pour l'approche actuellement documentée sera retirée des futures versions de ce document.

Exécuter cette commande transférera et traduira la configuration. Une fois la commande exécutée avec succès, il faut la ré-exécuter à chaque fois que le fichier  est mis à jour. Le répertoire et son contenu doivent être la propriété du compte de service ldap.

Pour plus d'instruction, reportez-vous aux commentaires en ligne des fichiers générés.

La ligne ci-dessous activera la méthode de configuration.

/etc/conf.d/slapd

Pour finir, créez la structure  :

Start slapd:

Si ça ne démarre pas, augmentez le niveau de journalisation dans à la valeur 4 ou plus, et regardez dans  pour plus d'informations.

Configurer les outils client d'OpenLDAP
Éditez les fichiers de configuration du client LDAP. Ce fichier est lu par ldapsearch et les autres outils en ligne de commande de ldap.

Nous pouvons tester le serveur en service à l'aide de la commande suivante :

Si vous obtenez une erreur, essayez d'ajouter  pour augmenter la verbosité et résoudre votre problème.

Configuration du client pour une authentification centralisée
Il existe de nombreuses méthodes ou de nombreux outils à utiliser pour une authentification à distance. Quelques distributions disposent également de leur propre outil convivial de configuration. Ci-dessous, nous en présentons quelques uns sans ordre particulier. Il est possible des combiner des comptes d'utilisateurs locaux et des comptes autorisés de manière centralisée en même temps. Ceci est important parce que, par exemple, si le serveur LDAP n'est pas accessible, on peut toujours se connecter en tant qu'utilisateur root.


 * SSSD (Single Sign-on Services Daemon). Son premier rôle est de fournir un accès à une identité et à une ressources distante d'authentification à travers une structure commune qui assure la mise en cache et une assistance hors ligne au système. IL fournit des modules PAM et NSS, et dans le futur prendra en charge les interfaces D-Bus pour une information utilisateur étendue. Il procure aussi une base de données meilleure pour stocker les utilisateurs locaux et des données utilisateur étendues.


 * Utilise  pour vous connecter au to login to the LDAP server and authenticate. Passwords are not sent over the network in clear text.


 * NSLCD (Name Service Look up Daemon). Similar to SSSD, but older.


 * NSS (Name Service Switch) using the traditional  module to fetch password hashes over the network. To permit users to update their password this has to be combined with the   method.

The first two are demonstrated below with the minimum necessary configuration options to get working.

Client PAM configuration SSSD Method
Here is the more direct method. The three files that are required to be edited are mentioned below.

Add sss to the end as shown below to enable the lookup to be handed to the sssd system service. Once you have finished editing start the sssd daemon.

The last file is the most critical. Open an extra root terminal as a fallback before editing this. The lines in bold have been added to enable remote authentication. Note the use of to support creating the user home directories.

Now try logging in from another box.

Client PAM configuration the pam_ldap Module Method
First, we will configure PAM to allow LDAP authorization. Install so that PAM supports LDAP authorization, and  so that your system can cope with LDAP servers for additional information (used by ).

The last file is the most critical open a few extra root windows as a backup before editing this. The lines in bold have been added to enable remote authentication.

/etc/pam.d/system-auth

Maintenant changez pour lire :

/etc/ldap.conf

Ensuite copiez le fichier  (de OpenLDAP)du serveur vers le client afin que le clients soient conscients de l'environnement LDAP :

Pour terminer, configurez les clients afin qu'ils interrogent LDAP sur les comptes du système :

/etc/nsswitch.conf

Si vous avez observé qu'une des lignes que vous avez collées dans votre fichier  était commentée (la ligne  ): vous n'en avez pas besoin sauf si vous voulez changer le mot de passe d'un utilisateur en mot de passe super-utilisateur. Dans un tel cas, vous devez envoyer en écho le mot de passe root à   en texte simple. Ceci est DANGEREUXet les droits devraient être mis à 600. Ce que vous pouvez désirer faire et c'est conserver ce fichier vierge et lorsque vous avez besoin de changer le mot de passe de quelqu'un qui est à la fois dans LDAP et dans  , y mettre le mot de passe pendant 10 secondes, le temps de changer le mot de passe de l'utilisateur, puis le retirer une fois la chose faite.

Migrate existing data to ldap
Configurer OpenLDAP pour une administration centralisée et la gestion d'items Linux/Unix communs n'est pas chose facile, mais grâce à quelques outils et scripts disponibles sur Internet, migrer un système conçu pour être administré en tant que système unique vers un système à gestion centralisée basé sur LDAP n'est pas difficile.

Go to http://www.padl.com/OSS/MigrationTools.html and fetch the scripts there. You'll need the migration tools and the script.

Next, extract the tools and copy the script inside the extracted location:

The next step now is to migrate the information of your system to OpenLDAP. The script will do this for you, after you have provided it with the information regarding your LDAP structure and environment.

Au moment de l'écriture, les outils ont besoin des entrées suivantes :

L'outil vous demandera aussi quels comptes et quelles configurations vous voulez migrer.

High availability
To setup replication of changes across multiple LDAP systems. Replication within OpenLDAP is, in this guide, set up using a specific replication account which has read rights on the primary LDAP server and which pulls in changes from the primary LDAP server to the secondary.

Cette configuration est ensuite réfléchie, autorisant le serveur LDAP secondaire à fonctionner comme serveur primaire. Grâce à la structure interne d'OpenLDAP, les changements ne sont pas ré-appliqués s'ils sont déjà dans la structure LDAP.

Configurer la réplication
Pour configurer la réplication, commencez par configurer un deuxième serveur OpenLDAP, de façon similaire à ce qui a été décrit ci-dessus. Néanmoins, assurez-vous que dans le fichier de configuration,


 * sync replication providerpointe sur other system.


 * L'identifiant (serverID) est différent pour chacun des serveurs OpenLDAP.

Créez ensuite le compte de synchronisation. Créez un fichier LDIF (le format utilisé en tant que données d'entrée pour les serveurs LDAP) et ajoutez le à chaque serveur LDAP.

Permissions OpenLDAP
Si vous regardez le fichier  vous verrez que vous pouvez spécifier les ACL (permissions si vous préférez) de ce que les utilisateurs peuvent être lire/écrire :

/etc/openldap/slapd.conf

Ceci vous donne accès à tout ce qu'un utilisateur est capable de changer. Si ce sont vos données, alors vous y avez accès en écriture ; si ce sont des données d'un autre utilisateur alors vous pouvez les lire ; des personnes non identifiées peuvent envoyer un mot de passe de connexion pour se connecter. Il y a quatre niveaux qui sont, en les rangeant du plus faible au plus fort :

L'ACL suivante est un peu plus sécurisée parce qu'elle empêche le lire le mot de passe shadowed des autres utilisateurs :

/etc/openldap/slapd.conf

Cet exemple donne à root et à John un accès en lecture/écriture à tout ce qui se trouve dans l'arbre ci-dessous. Ceci permet aussi aux utilisateurs de changer leur propre. Quant à l'instruction finale, tout autre personne possède une possibilité de recherche, ce qui signifie qu'elle peut remplir un filtre de recherche. Maintenant, vous pouvez avoir de multiples ACLs mais, en règle générale, elles sont traitées du bas vers le haut, c'est pourquoi le niveau supérieur devrait être le plus restrictif.

Maintenir l'annuaire
You can start using the directory to authenticate users in apache/proftpd/qmail/samba. You can manage it with LAM (Ldap Account Manager), phpldapadmin, diradm, jxplorer, or lat, which provide easy management interfaces.

Remerciements
Nous tenons à remercier Matt Heler qui nous a prêté sa machine pour réaliser ce guide. Merci aussi aux gars très compétents de #ldap @ irc.freenode.net.

Remerciements
Nous tenons à remercier les auteurs et éditeurs suivants pour leur contribution à ce guide :


 * Benjamin Coles


 * swift


 * Brandon Hale


 * Benny Chuang


 * jokey


 * nightmorph