13.3. Démons et utilitaires OpenLDAP

Cette suite de bibliothèques et d'outils OpenLDAP se trouve dans les paquetages suivants :

Deux serveurs sont contenus dans le paquetage openldap-servers : le démon autonome LDAP (/usr/sbin/slapd) et le démon autonome LDAP de réplication de mise à jour (/usr/sbin/slurpd).

Le démon slapd est un serveur LDAP autonome, tandis que le démon slurpd sert à synchroniser les changements d'un serveur LDAP vers les autres serveurs LDAP du réseau. Le démon slurpd n'est nécessaire que pour un serveur LDAP multiple.

Pour effectuer des tâches administratives, le paquetage openldap-servers installe les utilitaires suivants dans le répertoire /usr/sbin/ :

AvertissementAvertissement
 

Assurez-vous d'avoir arrêté slapd par la commande /sbin/service lapd stop avant d'utiliser slapadd, slapcat ou slapindex. Sinon vous risquez d'endommager votre répertoire LDAP.

Pour plus d'informations sur l'utilisation de ces utilitaires, consultez les pages de manuel qui y sont consacrées.

Le paquetage openldap-clients installe dans /usr/bin/ des outils permettant d'ajouter, modifier et supprimer des entrées dans un répertoire LDAP. Parmi ces outils se trouvent :

À l'exception de la commande ldapsearch, chacun de ces utilitaires est plus facilement utilisé en faisant référence à un fichier contenant les changements à effectuer plutôt que de taper une commande pour chaque entrée que vous désirez changer dans le répertoire LDAP. Le format d'un tel fichier est expliqué dans les pages de manuel relatives à chaque utilitaire.

13.3.1. NSS, PAM et LDAP

Outre les paquetages OpenLDAP, Red Hat Enterprise Linux comprend un paquetage nommé nss_ldap qui améliore la capacité de LDAP à s'intégrer aussi bien dans un environnement Linux que tout autre environnement UNIX.

Le paquetage nss_ldap fournit les modules suivants :

Le module libnss_ldap-<glibc-version>.so permet aux applications de rechercher les utilisateurs, les groupes, les hôtes et d'autres informations en utilisant un répertoire LDAP via l'interface Nameservice Switch (NSS) de glibc (remplacez <glibc-version> par la version de libnss_ldap utilisée). NSS permet l'authentification d'applications en utilisant LDAP avec le service de noms Network Information Service (NIS) et les fichiers simples pour l'authentification.

Le module pam_ldap permet aux applications fonctionnant avec PAM d'authentifier les utilisateurs en utilisant les informations stockées dans un répertoire LDAP. Les applications fonctionnant avec PAM comprennent la connexion de console, les serveurs de mail POP et IMAP et Samba. En déployant un serveur LDAP sur votre réseau, toutes ces applications peuvent, pour leur authentification, utiliser la même combinaison identifiant d'utilisateur/mot de passe, ce qui simplifie considérablement l'administration.

13.3.2. PHP4, LDAP et Serveur HTTP Apache

Red Hat Enterprise Linux comprend un paquetage avec un module LDAP pour le langage de scripts PHP côté serveur.

Le paquetage php-ldap ajoute le support LDAP au langage de script PHP4 à HTML intégré grâce au module /usr/lib/php4/ldap.so. Ce module permet aux scripts PHP4 d'accéder aux informations stockées dans une répertoire LDAP.

Red Hat Enterprise Linux est vendu avec le module mod_authz_ldap pour Serveur HTTP Apache. Ce module utilise la forme courte du nom distinct d'un sujet et le fournisseur du certificat SSL client afin de déterminer le nom distinct de l'utilisateur au sein d'un répertoire LDAP. Il est également capable d'autoriser des utilisateurs selon les attributs de l'entrée du répertoire LDAP de cet utilisateur, en déterminant l'accès aux éléments selon les privilèges de l'utilisateur et du groupe sur celui-ci et en refusant l'accès aux utilisateurs dont les mots de passe ont expiré. Le module mod_ssl est requis lors de l'utilisation du module mod_authz_ldap.

ImportantImportant
 

Le module mod_authz_ldap n'authentifie pas un utilisateur sur un répertoire LDAP à l'aide d'un mot de passe crypté. Cette fonctionnalité est fournie par le module expérimental mod_auth_ldap qui n'est pas inclus dans Red Hat Enterprise Linux. Reportez-vous au site Web de Apache Software Foundation à l'adresse suivante : http://www.apache.org/ afin d'obtenir de plus amples informations sur le statut de ce module.

13.3.3. Applications clientes LDAP

Il existe des clients LDAP graphiques qui supportent la création et la modification de répertoires, mais ces applications ne sont pas inclues dans Red Hat Enterprise Linux. Un exemple est le Navigateur/éditeur LDAP — cet outil basé sur Java est disponible en ligne à l'adresse suivante : http://www.iit.edu/~gawojar/ldap/.

La plupart des autres clients LDAP accèdent aux répertoires en lecture seule et les utilisent pour référencer, et non pas modifier, les informations sur toute l'entreprise. Parmi ces applications figurent Sendmail, Mozilla, Gnome Meeting et Evolution.