13.6. Aperçu de la configuration d'OpenLDAP
Cette section fournit une présentation rapide des opérations à accomplir pour installer et configurer un annuaire OpenLDAP (aussi appelé répertoire). Pour obtenir de plus amples informations sur le sujet, reportez-vous aux URL suivantes :
http://www.openldap.org/doc/admin/quickstart.html — Le guide rapide pour commencer (Quick-Start Guide) sur le site Web d'OpenLDAP.
http://www.redhat.com/mirrors/LDP/HOWTO/LDAP-HOWTO.html — Le document LDAP Linux HOWTO du Projet de documentation Linux (Linux Documentation Project) en miroir sur le site de Red Hat.
Ci-dessous figurent les étapes de base pour créer un serveur LDAP :
Installez les RPM d'openldap, openldap-servers et openldap-clients.
Éditez le fichier /etc/openldap/slapd.conf afin de spécifier le domaine et le serveur LDAP. Reportez-vous à la Section 13.6.1 afin d'obtenir davantage d'informations.
Lancez slapd à l'aide de la commande :
/sbin/service ldap start
Après avoir configuré LDAP, utilisez chkconfig, ntsysv ou l'Outil de configuration des services pour configurer LDAP de façon à le lancer au démarrage. Pour de plus amples informations sur la configuration des services, consultez le chapitre intitulé Contrôle de l'accès aux services du Guide d'administration système de Red Hat Enterprise Linux.
Ajoutez des entrées à un répertoire LDAP à l'aide de ldapadd.
Utilisez ldapsearch afin de vérifier si slapd accède correctement aux informations.
À ce stade, le répertoire LDAP devrait fonctionner correctement et peut donc être configuré avec des applications compatibles avec LDAP.
13.6.1. Édition de /etc/openldap/slapd.conf
Afin d'utiliser le serveur LDAP slapd, modifiez son fichier de configuration, /etc/openldap/slapd.conf de façon à spécifier le domaine et le serveur corrects.
La ligne de suffix nomme le domaine pour lequel le serveur LDAP fournira les informations et devrait être changée comme suit :
suffix "dc=your-domain,dc=com" |
de façon à refléter votre nom de domaine. Par exemple :
suffix "dc=example,dc=com" |
L'entrée rootdn est le Nom distinct (ou DN selon l'acronyme anglais) pour un utilisateur dont l'activité n'est pas limitée par les paramètres de contrôle d'accès ou de limites administratives définis pour toute opération sur le répertoire LDAP. L'utilisateur rootdn peut être considéré comme le super-utilisateur pour le répertoire LDAP. Dans le fichier de configuration, modifiez la ligne rootdn pour changer la valeur par défaut comme dans l'exemple suivant :
rootdn "cn=root,dc=example,dc=com" |
Si vous avez l'intention de peupler le répertoire LDAP sur le réseau, modifiez la ligne rootpw — en remplaçant la valeur par défaut par une chaîne de mot de passe cryptée. Afin de créer une chaîne de mots de passe cryptée, tapez la commande suivante :
slappasswd |
Lorsque le système vous le emandera, saisissez et confirmez un mot de passe. Le programme affiche alors à l'invite du shell, le mot de passe crypté résulant de la commande.
Ensuite, copiez le mot de passe crypté que vous venez de créer dans /etc/openldap/slapd.conf sur une des lignes rootpw et supprimez le signe dièse (#).
Une fois cette modification apportée, la ligne devrait ressembler à l'exemple reproduit ci-dessous :
rootpw {SSHA}vv2y+i6V6esazrIv70xSSnNAJE18bb2u |
 | Avertissement |
|---|---|
Les mots de passe LDAP, y compris la directive rootpw spécifiée dans /etc/openldap/slapd.conf, sont envoyés sur le réseau en texte clair, à moins que le cryptage TLS ne soit activé. Pour permettre le cryptage TLS, passez en revue les commentaires figurant dans /etc/openldap/slapd.conf et consultez la page de manuel de slapd.conf. |
Pour une sécurité accrue, la directive rootpw devrait être désactivée après avoir peuplé le répertoire LDAP. Pour ce faire, ajoutez un signe dièse devant cette directive (#).
Si vous utilisez l'outil de ligne de commande /usr/sbin/slapadd localement pour peupler le répertoire, il n'est pas nécessaire d'utiliser la directive rootpw.
 | Important | |
|---|---|---|
Seul le super-utilisateur peut utiliser /usr/sbin/slapadd. Toutefois, le serveur de répertoires tourne en tant que l'utilisateur ldap. Par conséquent, le serveur de répertoires ne peut modifier aucun fichier créé par slapadd. Pour résoudre ce problème, après avoir utilisé slapadd tapez la commande ci-dessous :
|