13.3. Démons et utilitaires d'OpenLDAP
La suite de bibliothèques et d'outils OpenLDAP est incluse dans les paquetages suivants :
openldap — Contient les bibliothèques nécessaires pour faire fonctionner le serveur OpenLDAP et les applications clientes.
openldap-clients — Contient les outils de ligne de commande pour visualiser et modifier les répertoires d'un serveur LDAP.
openldap-servers — Contient les serveurs et autres utilitaires nécessaires pour configurer et faire fonctionner un serveur LDAP.
Deux serveurs sont contenus dans le paquetage openldap-servers : le démon autonome LDAP (/usr/sbin/slapd) et le démon autonome LDAP de réplication de mise à jour (/usr/sbin/slurpd).
Le démon slapd est un serveur LDAP autonome, tandis que le démon slurpd sert à synchroniser les changements d'un serveur LDAP vers les autres serveurs LDAP du réseau. Le démon slurpd n'est utilisé que pour des opérations avec de multiples serveurs LDAP.
Pour effectuer des tâches administratives, le paquetage openldap-servers installe les utilitaires suivants dans le répertoire /usr/sbin/ :
slapadd — Ajoute des entrées d'un fichier LDIF dans un répertoire LDAP. Par exemple, la commande /usr/sbin/slapadd -l ldif-input lit le fichier LDIF ldif-input contenant les nouvelles entrées.
Important Seul le super-utilisateur peut utiliser /usr/sbin/slapadd. Toutefois, le serveur de répertoires tourne en tant que l'utilisateur ldap. Par conséquent, le serveur de répertoires n'est pas en mesure de modifier un fichier quelconque créé par slapadd. Pour résoudre ce problème, après avoir utilisé slapadd, tapez la commande suivante :
chown -R ldap /var/lib/ldap
slapcat — Extrait des données d'un répertoire LDAP dans le format par défaut, à savoir le système Berkeley DB de Sleepycat Software, et les enregistre dans un fichier LDIF. Par exemple, la commande /usr/sbin/slapcat -l ldif-output renvoie un fichier LDIF nommé ldif-output qui contient les entrées du répertoire LDAP.
slapindex — Indexe à nouveau le répertoire slapd sur la base du contenu actuel. Cet outil devrait être exécuté chaque fois que les options d'indexation de /etc/openldap/slapd.conf sont modifiées.
slappasswd — Crée une valeur pour le mot de passe utilisateur crypté devant être utiliser avec ldapmodify ou la valeur rootpw dans le fichier de configuration de slapd, /etc/openldap/slapd.conf. Exécutez la commande /usr/sbin/slappasswd pour créer le mot de passe.
 | Avertissement |
|---|---|
Vous devez arrêter slapd en exécutant la commande /sbin/service lapd stop avant d'utiliser slapadd, slapcat ou slapindex. Dans le cas contraire, l'intégrité du répertoire LDAP risque d'être compromise. |
Pour obtenir de plus amples informations sur l'utilisation de ces utilitaires, consultez leurs pages de manuel respectives.
Le paquetage openldap-clients installe dans /usr/bin/ des outils permettant d'ajouter, de modifier et de supprimer des entrées dans un répertoire LDAP. Parmi ces outils figurent :
ldapadd — Ajoute des entrées dans un répertoire LDAP en acceptant la saisie d'entrées par le biais d'un fichier ou par une saisie standard ; ldapadd est en fait un lien dur vers la commande ldapmodify -a.
ldapdelete — Supprime des entrées dans un répertoire LDAP en acceptant la saisie de l'utilisateur à une invite du shell ou par le biais d'un fichier.
ldapmodify — Modifie les entrées dans un répertoire LDAP, acceptant leur saisie par un fichier ou par une saisie standard.
ldappasswd — Définit le mot de passe pour un utilisateur LDAP.
ldapsearch — Recherche des entrées dans un répertoire LDAP en utilisant une invite du shell.
À l'exception de la commande ldapsearch, chacun de ces utilitaires est plus facilement utilisé en référencant un fichier contenant les changements à effectuer plutôt qu'en tapant une commande pour chaque entrée devant être modifiée dans le répertoire LDAP. Le format d'un tel fichier est expliqué dans les pages de manuel de chaque utilitaire.
13.3.1. NSS, PAM et LDAP
Outre les paquetages OpenLDAP, Red Hat Enterprise Linux comprend un paquetage nommé nss_ldap qui améliore la capacité de LDAP à s'intégrer aussi bien dans un environnement Linux que dans tout autre environnement UNIX.
Le paquetage nss_ldap fournit les modules suivants :
/lib/libnss_ldap-<glibc-version>.so
/lib/security/pam_ldap.so
Le paquetage nss_ldap fournit les modules suivants pour les architectures Itanium ou AMD64 :
/lib64/libnss_ldap-<glibc-version>.so
/lib64/security/pam_ldap.so
Le module libnss_ldap-<glibc-version>.so permet aux applications de rechercher des utilisateurs, des groupes, des hôtes et d'autres informations en utilisant un répertoire LDAP via l'interface Nameservice Switch (ou NSS) de glibc (remplacez <glibc-version> par la version de libnss_ldap utilisée). NSS permet aux applications de s'authentifier en utilisant LDAP de concert avec le service de noms NIS et les fichiers plats d'authentification.
Le module pam_ldap permet aux applications fonctionnant avec PAM d'authentifier les utilisateurs en utilisant les informations stockées dans un répertoire LDAP. Les applications fonctionnant avec PAM comprennent la connexion console, les serveurs de messagerie POP et IMAP ainsi que Samba. En déployant un serveur LDAP sur votre réseau, toutes ces applications peuvent, pour leur authentification, utiliser la même combinaison identifiant d'utilisateur/mot de passe, ce qui simplifie considérablement l'administration.
Pour obtenir de plus amples informations sur la configuration des PAM, reportez-vous au Chapitre 16 et aux pages de manuel de PAM.
13.3.2. PHP4, LDAP et le Serveur HTTP Apache
Red Hat Enterprise Linux comprend un paquetage avec un module LDAP pour le langage de scripts PHP côté serveur.
Le paquetage php-ldap ajoute la prise en charge LDAP au langage de script PHP4 avec intégration HTML grâce au module /usr/lib/php4/ldap.so. Ce module permet aux scripts PHP4 d'accéder aux informations stockées dans un répertoire LDAP.
Red Hat Enterprise Linux est vendu avec le module mod_authz_ldap pour le Serveur HTTP Apache. Ce module utilise la forme courte du nom distinct d'un sujet et le fournisseur du certificat SSL client afin de déterminer le nom distinct de l'utilisateur au sein d'un répertoire LDAP. Il est également capable d'autoriser des utilisateurs selon les attributs de l'entrée du répertoire LDAP de cet utilisateur, en déterminant l'accès aux ressources sur la base des privilèges dont disposent l'utilisateur et du groupe sur ces dernières et en refusant l'accès aux utilisateurs dont les mots de passe ont expiré. Le module mod_ssl est nécessaire lorsque le module mod_authz_ldap est utilisé.
| Important |
|---|---|
Le module mod_authz_ldap n'authentifie pas un utilisateur auprès d'un répertoire LDAP à l'aide d'un mot de passe crypté. Cette fonctionnalité est fournie par le module expérimental nommée mod_auth_ldap qui n'est pas inclus dans Red Hat Enterprise Linux. Pour obtenir de plus amples informations sur le statut de ce module, reportez-vous au site Web de l'organisation Apache Software Foundation à l'adresse suivante : http://www.apache.org/. |
13.3.3. Applications client LDAP
Il existe des clients LDAP graphiques prennant en charge la création et la modification de répertoires, mais ces applications ne sont pas incluses dans Red Hat Enterprise Linux. C'est le cas de l'application LDAP Browser/Editor (Navigateur/éditeur LDAP) — Cet outil basé sur Java est disponible en ligne à l'adresse suivante : http://www.iit.edu/~gawojar/ldap/.
La plupart des autres clients LDAP accèdent aux répertoires en lecture-seule et les utilisent pour référencer, et non pas modifier, les informations relatives à toute l'entreprise. Parmi ces applications figurent Sendmail, Mozilla, Gnome Meeting et Evolution.