Red Hat Linux 9: Guide de référence de Red Hat Linux | ||
---|---|---|
Prev | Chapter 13. Protocole LDAP (Lightweight Directory Access Protocol) | Next |
Cette section fournit une présentation rapide des opérations à accomplir pour installer et configurer un annuaire OpenLDAP. Pour plus d'informations, reportez-vous aux URL suivantes:
http://www.openldap.org/doc/admin/quickstart.html — Le Quick-Start Guide sur le site Web d'OpenLDAP.
http://www.redhat.com/mirrors/LDP/HOWTO/LDAP-HOWTO.html — Le LDAP Linux HOWTO du Projet de documentation Linux, en miroir sur le site Red Hat.
Ci-dessous figurent les étapes de base pour créer un serveur LDAP:
Installez les RPM de openldap, openldap-servers, et openldap-clients.
Éditez le fichier /etc/openldap/slapd.conf afin de référencer votre domaine ainsi que votre serveur LDAP. Reportez-vous à Section 13.6.1 Édition de /etc/openldap/slapd.conf afin d'obtenir davantage d'informations sur la manière d'éditer ce fichier.
Lancez slapd à l'aide de la commande:
/sbin/service/ldap start |
Après avoir correctement configuré LDAP, vous pouvez utiliser chkconfig, ntsysv, ou Outil de configuration des services pour configurer LDAP de façon à le lancer avec le système. Pour de plus amples informations sur la configuration des services, consultez le chapitre intitulé Contrôle de l'accès aux services du Guide de personnalisation de Red Hat Linux.
Ajoutez des entrées à votre répertoire LDAP à l'aide de ldapadd.
Utilisez ldapsearch afin de vérifier si slapd accède correctement aux informations.
À ce stade, votre répertoire LDAP devrait exister. L'étape suivante consiste à configurer vos applications compatibles avec LDAP de manière à ce qu'elles puissent utiliser le répertoire LDAP.
Afin d'utiliser le serveur LDAP slapd, vous devrez modifier son fichier de configuration, /etc/openldap/slapd.conf. Vous devez éditer le fichier de façon à spécifier le domaine et le serveur corrects.
La ligne de suffix nomme le domaine pour lequel le serveur LDAP fournira les informations et devrait être changée ainsi:
suffix "dc=your-domain,dc=com" |
de façon à refléter votre nom de domaine. Par exemple:
suffix "dc=example,dc=com" |
L'entrée rootdn est le Nom distinctif (DN) pour un utilisateur non restreint par les paramètres de contrôle d'accès ou de limite administrative définis pour des opérations sur le répertoire LDAP. L'utilisateur rootdn peut être considéré comme le super-utilisateur pour le répertoire LDAP. Dans le fichier de configuration, changez la ligne rootdn de sa valeur par défaut à quelquechose semblable à la ligne ci-dessous:
rootdn "cn=root,dc=example,dc=com" |
Si vous avez l'intention de remplir le répertoire LDAP sur le réseau, modifiez la ligne rootpw — en remplaçant la valeur par défaut par une chaîne de mot de passe cryptée. Afin de créer une chaîne de mots de passe cryptée, tapez la commande suivante:
slappasswd |
Il vous sera demandé d'inscrire et de réinscrire un mot de passe. Le programme imprime ensuite le mot de passe crypté vers le terminal.
Ensuite, copiez le mot de passe crypté que vous venez de créer dans >/etc/openldap/slapd.conf sur une des lignes rootpw et supprimez le signe dièse (#).
Une fois cette modification apportée, la ligne devrait ressembler à l'exemple ci-dessous:
rootpw {SSHA}vv2y+i6V6esazrIv70xSSnNAJE18bb2u |
![]() | Avertissement |
---|---|
Les mots de passe LDAP, y compris la directive rootpw spécifiée dans /etc/openldap/slapd.conf, sont envoyés sur le réseau en texte simple, à moins que vous ne permettiez le cryptage TLS. Pour permettre le cryptage TLS, passez en revue les commentaires figurant dans /etc/openldap/slapd.conf et consultez la page de manuel relative à slapd.conf. |
Pour une meilleure sécurité, la directive rootpw devrait être commentée après avoir peuplé le répertoire LDAP. Pour ce faire, ajoutez un signe dièse avant cette directive (#).
Si vous utilisez l'outil de ligne de commande /usr/sbin/slapadd localement pour peupler le répertoire, il n'est pas nécessaire d'utiliser la directive rootpw.
![]() | Important | |
---|---|---|
Vous devez être connecté en tant que super-utilisateur pour pouvoir utiliser /usr/sbin/slapadd. Toutefois, le serveur de répertoires tourne en tant que l'utilisateur ldap. Par conséquent, le serveur de répertoires ne sera pas en mesure de modifier tout fichier créé par slapadd. Pour résoudre ce problème, tapez la commande ci-dessous lorsque vous avez fini d'utiliser slapadd:
|