Red Hat Enterprise Linux 3: Guide de référence | ||
---|---|---|
Précédent | Chapitre 13. Protocole LDAP (Lightweight Directory Access Protocol) | Suivant |
Cette section fournit une présentation rapide des opérations à accomplir pour installer et configurer un annuaire OpenLDAP. Pour plus d'informations, reportez-vous aux URL suivantes :
http://www.openldap.org/doc/admin/quickstart.html — Le Quick-Start Guide sur le site Web d'OpenLDAP.
http://www.redhat.com/mirrors/LDP/HOWTO/LDAP-HOWTO.html — Le LDAP Linux HOWTO du Projet de documentation Linux, en miroir sur le site Red Hat.
Ci-dessous figurent les étapes de base pour créer un serveur LDAP :
Installez les RPM de openldap, openldap-servers, et openldap-clients.
Éditez le fichier /etc/openldap/slapd.conf afin de spécifier le domaine et le serveur LDAP. Reportez-vous à la Section 13.6.1 afin d'obtenir davantage d'informations.
Lancez slapd à l'aide de la commande :
/sbin/service ldap start |
Après avoir configuré LDAP, utilisez chkconfig, ntsysv ou l'Outil de configuration des services pour configurer LDAP de façon à le lancer au démarrage. Pour de plus amples informations sur la configuration des services, consultez le chapitre intitulé Contrôle de l'accès aux services du Guide d'administration système de Red Hat Enterprise Linux.
Ajoutez des entrées à un répertoire LDAP à l'aide de ldapadd.
Utilisez ldapsearch afin de vérifier si slapd accède correctement aux informations.
À ce stade, le répertoire LDAP devrait fonctionner correctement et peut être configuré avec des applications compatibles avec LDAP.
Afin d'utiliser le serveur LDAP slapd, modifiez son fichier de configuration, /etc/openldap/slapd.conf de façon à spécifier le domaine et le serveur corrects.
La ligne de suffix nomme le domaine pour lequel le serveur LDAP fournira les informations et devrait être changée ainsi :
suffix "dc=your-domain,dc=com" |
de façon à refléter votre nom de domaine. Par exemple :
suffix "dc=example,dc=com" |
L'entrée rootdn est le Nom distinct (DN) pour un utilisateur non restreint par les paramètres de contrôle d'accès ou de limite administrative définis pour des opérations sur le répertoire LDAP. L'utilisateur rootdn peut être considéré comme le super-utilisateur pour le répertoire LDAP. Dans le fichier de configuration, changez la ligne rootdn de sa valeur par défaut comme dans l'exemple suivant :
rootdn "cn=root,dc=example,dc=com" |
Si vous avez l'intention de remplir le répertoire LDAP sur le réseau, modifiez la ligne rootpw — en remplaçant la valeur par défaut par une chaîne de mot de passe cryptée. Afin de créer une chaîne de mots de passe cryptée, tapez la commande suivante :
slappasswd |
Il vous sera demandé de saisir et de confirmer un mot de passe. Le programme imprime ensuite le mot de passe crypté à l'invite du shell.
Ensuite, copiez le mot de passe crypté que vous venez de créer dans /etc/openldap/slapd.conf sur une des lignes rootpw et supprimez le signe dièse (#).
Une fois cette modification apportée, la ligne devrait ressembler à l'exemple ci-dessous :
rootpw {SSHA}vv2y+i6V6esazrIv70xSSnNAJE18bb2u |
![]() | Avertissement |
---|---|
Les mots de passe LDAP, y compris la directive rootpw spécifiée dans /etc/openldap/slapd.conf, sont envoyés sur le réseau en texte simple, à moins que vous n'activiez le cryptage TLS. Pour permettre le cryptage TLS, passez en revue les commentaires figurant dans /etc/openldap/slapd.conf et consultez la page de manuel relative à slapd.conf. |
Pour une meilleure sécurité, la directive rootpw devrait être commentée après avoir peuplé le répertoire LDAP. Pour ce faire, ajoutez un signe dièse avant cette directive (#).
Si vous utilisez l'outil de ligne de commande /usr/sbin/slapadd localement pour peupler le répertoire, il n'est pas nécessaire d'utiliser la directive rootpw.
![]() | Important | |
---|---|---|
Seul le super-utilisateur peut utiliser /usr/sbin/slapadd. Toutefois, le serveur de répertoires tourne en tant que l'utilisateur ldap. Par conséquent, le serveur de répertoires ne sera pas en mesure de modifier tout fichier créé par slapadd. Pour résoudre ce problème, tapez la commande ci-dessous lorsque vous avez fini d'utiliser slapadd :
|
Précédent | Sommaire | Suivant |
Répertoire /etc/openldap/schema/ | Niveau supérieur | Configuration de votre système pour l'authentification à l'aide de OpenLDAP |