NOMS DES EXPOSANTS :

ELA ABA JEFF HERMANN

WAFO VALERE

NOM DE L’ENSEIGNANT

M. Brice YAMENI

1

Table des matières INTRODUCTION GENERALE ............................................................................................................................. 2

Chapitre 1 : LE PROTOCOLE LDAP ................................................................................................................... 3

I. Généralités sur les annuaires .............................................................................................................. 3

II. Le protocole LDAP ............................................................................................................................... 3

Conclusion ................................................................................................................................................... 8

CHAPITRE II : PRESENTATION DU SERVEUR LDAP : OpenLDAP ....................................................................... 9

I. Définition ............................................................................................................................................ 9

II. Concept ............................................................................................................................................... 9

III. Histoire ................................................................................................................................................ 9

IV. Aspect techniques .......................................................................................................................... 9

CHAPITRE III : INSTALLATION ET CONFIGURATION D’OpenLDAP ................................................................. 11

I. INSTALLATION ................................................................................................................................... 11

II. CONFIGURATIONS ............................................................................................................................. 12

III. Administration du serveur ................................................................................................................ 15

Conclusion ..................................................................................................................................................... 20

Références ..................................................................................................................................................... 21

Annexe........................................................................................................................................................... 22

Configuration de slapd en images ............................................................................................................. 22

2

INTRODUCTION GENERALE Dans l'entreprise, les applications et les serveurs ont besoin des données pour

l'authentification, les droits d'accès... autant d'informations difficiles à maîtriser car très

volatiles et éparses. Ceci entraîne une obsolescence rapide, voire une incohérence des

données stockées.

Les annuaires LDAP offrent une réponse à ce problème en proposant de centraliser les

informations et, par le biais d'un protocole standardisé, d'y connecter des applications

clientes.

Le but de ce travail est de mettre en place un gestionnaire d’annuaire, du nom d’OpenLDAP.

Pour parvenir à cette mise en place, nous allons tout d’abord dans une première partie

présenter le protocole LDAP, dans une seconde présenter la solution OpenLDAP, dans une

autre configurer cette solution (configuration coté administrateur et configuration coté client)

et enfin nous effectuerons des tests de fonctionnement (création d’une arborescence

contenant groupes et utilisateur, connexion à partir d’un machine cliente, utilisation d’un

fichier ldif pour approvisionnement du carnet d’adresse de Mozilla Thunderbird).

3

Chapitre 1 : LE PROTOCOLE LDAP

I. Généralités sur les annuaires

1. Qu'est-ce qu'un annuaire ? LDAP (Lightweight Directory Access Protocol) est un protocole d'accès à un annuaire. Un

annuaire électronique est une base de donnée spécialisée, dont la fonction première est de

retourner un ou plusieurs attributs d'un objet grâce à des fonctions de recherche multi-

critères. Contrairement à un SGBD, un annuaire est très performant en lecture mais l'est

beaucoup moins en écriture. Sa fonction peut être de servir d'entrepôt pour centraliser des

informations et les rendre disponibles, via le réseau à des applications, des systèmes

d'exploitation ou des utilisateurs. Lightweight Directory Access Protocol (LDAP) est né de la

nécessaire adaptation du protocole DAP (protocole d'accès au service d'annuaire X500 de

l'OSI) à l'environnement TCP/IP. Initialement frontal d'accès à des annuaires X500, LDAP est

devenu en 1995, un annuaire natif (standalone LDAP) sous l'impulsion d'une équipe de

l'Université du Michigan (logiciel U-M LDAP).

2. Que peut-on faire avec un annuaire LDAP ? Annuaire de recherche

Un annuaire LDAP est avant tout un annuaire. Il permet donc d'obtenir des informations

sur une personne enregistrée comme son adresse eMail, son numéro de téléphone, son

service, ou n'importe quel autre renseignement que l'on aura jugé bon de stocker dans la

base. La recherche peut se faire selon de multiples critères.

Des applications clientes (clients de messagerie : Outlook, Netscape, etc ...) comme des

applications serveurs (serveur de messagerie : Postfix, Sendmail, etc ...)

Authentification

De nombreuses applications nécessitant une authentification sont aujourd'hui capables

d'interroger un annuaire LDAP et d'y vérifier l'identité d'un utilisateur grâce à un couple

login / mot de passe.

II. Le protocole LDAP

1. Introduction Lightweight Directory Access Protocol (LDAP) est à l'origine un protocole permettant

l'interrogation et la modification des services d'annuaire. Ce protocole repose sur TCP/IP. Il a

cependant évolué pour représenter une norme pour les systèmes d'annuaires, incluant un

modèle de données, un modèle de nommage, un modèle fonctionnel basé sur le protocole

LDAP, un modèle de sécurité et un modèle de réplication. C'est une structure arborescente

dont chacun des nœuds est constitué d'attributs associés à leurs valeurs. LDAP est moins

complexe que le modèle X.500 édicté par l'UIT-T.

Le nommage des éléments constituant l'arbre (racine, branches, feuilles) reflète souvent le

modèle politique, géographique ou d'organisation de la structure représentée. La tendance

actuelle est d'utiliser le nommage DNS pour les éléments de base de l'annuaire (racine et

premières branches, domain components ou dc=…). Les branches plus profondes de

4

l'annuaire peuvent représenter des unités d'organisation ou des groupes (organizational

units ou ou=…), des personnes (common name ou cn=… voire user identifier uid=…).

L'assemblage de tous les composants (du plus précis au plus général) d'un nom forme

son distinguished name, l'exemple suivant en présente deux :

cn=Jeff,ou=etudiant,dc=ldap,dc=com

cn=Valere,ou=personel,dc=ldap,dc=cm

dc=ldap,dc=com

/ \

ou=etudiants ou=personnel

/ \

cn=Jeff cn=Valere

La dernière version en date du protocole est LDAPv3. Cette version est définie par l'IETF dans

plusieurs RFC en commençant par la RFC 45101.

2. Origine et influence LDAP a été initialement conçu pour accéder de manière légère aux annuaires X.500. Ces

annuaires étaient traditionnellement interrogés à travers le protocole X.500 Directory Access

Protocol (DAP) qui nécessitait l'utilisation de la pile de protocoles du modèle OSI. L'utilisation

d'une passerelle LDAP/DAP permettait d'accéder à un serveur DAP en étant sur un réseau

TCP/IP.

L'apparition d'annuaires LDAP natifs (standalone LDAP directory) a suivi rapidement, tout

comme celle de serveurs prenant en charge à la fois DAP et LDAP. Les annuaires sont devenus

populaires dans les entreprises car il n'était plus nécessaire de déployer un réseau OSI. De nos

jours, les protocoles d'accès aux annuaires X.500 (incluant DAP) peuvent être directement

utilisés sur TCP/IP.

Le protocole fut créé par Tim Howes de l'Université du Michigan, Steve Kille du ISODE et

Wengyik Yeong de Performance Systems International en 1993. Les développements qui

suivirent, furent menés par l’Internet Engineering Task Force (IETF).

Initialement le protocole avait pour nom Lightweight Directory Browsing Protocol (LDBP), car

il ne permettait que la recherche de données. Il fut renommé lors de l'ajout de nouvelles

possibilités (ajout, modification).

3. Vue d’ensemble Un client commence une session LDAP en se connectant sur le port TCP 389 du serveur. Le

client envoie ensuite des requêtes d'opération au serveur. Le serveur envoie des réponses en

retour. À part quelques exceptions, le client n'a pas besoin d'attendre de réponse du serveur

pour envoyer de nouvelles requêtes, et le serveur peut envoyer ses réponses dans n'importe

quel ordre.

5

Une fois la connexion au serveur établie, les opérations classiques sont :

Start TLS : utilisation de la couche Transport Layer Security (TLS) pour sécuriser la

connexion ;

Bind : indique la version du protocole utilisée, et authentifie l'utilisateur. Il est possible

de faire un bind anonyme en ne fournissant ni nom d'utilisateur ni mot de passe ;

Search : recherche dans l'annuaire et rapatriement des données ;

Compare : test qui détermine si une entrée contient un attribut avec une valeur

donnée ;

Add : ajout d'une nouvelle entrée ;

Delete : suppression d'une entrée ;

Modify : modification d'une entrée ;

Modify DN : déplacement ou renommage d'une entrée ;

Abandon : annulation d'une requête précédente ;

Extended Operation : opération qui permet de définir d'autres opérations ;

Une méthode pour sécuriser les communications LDAP est d'utiliser un tunnel TLS/SSL. Lors

de l'emploi d'URL cet usage est traduit par le nom du protocole ldaps en remplacement

de ldap. Le port TCP standard pour ldaps est 636.

Le protocole LDAP employant la notation ASN.1 et les messages sont codés avec le format

binaire BER. Cependant il utilise une représentation textuelle pour un certain nombre

d'attributs et de types d'ASN.1.

4. Structure d’un annuaire Les annuaires LDAP suivent le modèle X.500 et son architecture nativement multi-tenant :

Un annuaire est un arbre d'entrées.

Une entrée est constituée d'un ensemble d'attributs.

Un attribut possède un nom, un type et une ou plusieurs valeurs.

Les attributs sont définis dans des schémas.

Le fait que les attributs puissent être multi-valués est une différence majeure entre les

annuaires LDAP et les SGBDR. De plus, si un attribut n'a pas de valeur, il est purement et

simplement absent de l'entrée.

Chaque entrée a un identifiant unique, le Distinguished Name (DN). Il est constitué à partir

de son Relative Distinguished Name (RDN) suivi du DN de son parent. C'est une définition

récursive. On peut faire l'analogie avec une autre structure arborescente, les systèmes de

fichiers ; le DN étant le chemin absolu et le RDN le chemin relatif à un répertoire. En règle

générale le RDN d'une entrée représentant une personne est l'attribut uid :

dc=example,dc=com

/ \

ou=people ou=groups

|

6

uid=Brice

Le RDN de Brice est rdn:uid=Brice, son DN est dn:uid=Brice,ou=people,dc=example,dc=com

Une entrée peut ressembler à la représentation suivante lorsqu'elle est formatée en LDIF :

dn: cn=Jeff Wafo,dc=example,dc=cm

cn: Jeff Wafo

givenName: Jeff

sn: Wafo

telephoneNumber: +234695950514

telephoneNumber: +237699943995

mail: jwaf@example.cm

manager: cn=Brice,dc=example,dc=cm

objectClass: inetOrgPerson

objectClass: organizationalPerson

objectClass: person

objectClass: top

dn est le nom de l'entrée, ce n'est pas un attribut de l'entrée. "cn=Jeff Wafo" est le RDN de

l'entrée et "dc=example,dc=cm" est le DN de son parent. Les autres lignes montrent les

attributs de l'entrée. Les noms des attributs sont parfois des abréviations pour les plus

courants : "cn" pour common name, "dc" pour domain component, "sn" pour surname.

Un serveur contient un sous-arbre dont la racine est une entrée spécifique et tous ses enfants,

par exemple : "dc=example,dc=cm". Les serveurs peuvent également contenir des références

vers d'autres serveurs, ainsi l'accès à une entrée ("ou=un service,dc=example,dc=cm") peut

retourner une référence (referral) à un autre serveur qui contient le sous-arbre voulu. Le client

peut alors contacter (automatiquement ou pas) l'autre serveur. Certains serveurs prennent

en charge le chaînage (chaining) qui permet au serveur d'interroger d'autres serveurs pour

renvoyer l'information voulue au client.

Les résultats renvoyés par le serveur ne sont pas triés, que ce soit pour les entrées, pour les

attributs des entrées ou pour les valeurs des attributs.

5. Operations Le client donne à chaque requête un identifiant Message ID, le serveur répond à la requête

avec le même identifiant. La réponse inclut un code de résultat numérique indiquant l'état

de la requête (succès, échec, …). La réponse inclut également les données éventuelles qui

peuvent résulter d'une recherche. Il inclut aussi un code ID.

Bind(Authentification) : L'opération bind authentifie le client au sein du serveur. Cette étape

de bind permet également au client et au serveur de se mettre d'accord sur la version du

protocole à utiliser. En général la version 3 est utilisée. Il est même possible au serveur de

refuser de communiquer avec des clients dans un protocole inférieur au sien

7

StartTLS : L'opération StartTLS établit une connexion sécurisée entre le client et le serveur en

utilisant la technique TLS, héritière de SSL. Cette sécurisation opère sur deux points : la

confidentialité et l'intégrité des données. Les serveurs prennent en charge généralement le

protocole non standard « LDAPS » (LDAP over SSL). Ce protocole utilise le port 636

contrairement au TLS qui utilise le port 389 (le même que le LDAP non sécurisé)

Search et Compare : L'opération Search est utilisée à la fois pour faire une recherche et

rapatrier des entrées. L'opération Compare prend en argument un DN, un nom d'attribut et

une valeur d'attribut, puis vérifie si l'entrée correspondante contient bien un attribut ayant

cette valeur.

Mise à jour : Les opérations de mise à jour Add (ajout), Delete (suppression), Modify

(modification) prennent en argument le DN de l'entrée à mettre à jour.

Il existe de nombreuses autres opérations telles que, Unbind et Abandon.

6. Utilisation L'intérêt principal de LDAP est la normalisation de l'authentification. Il est très facile de

programmer un module d'authentification utilisant LDAP à partir d'un langage possédant une

API LDAP. C'est l'opération Bind qui permet d'authentifier un utilisateur. De plus en plus

d'applications Web possèdent un module d'authentification prenant en charge LDAP.

Sur les systèmes GNU/Linux récents, on voit de plus en plus l'adoption d'une base de données

utilisant LDAP à la place des fichiers à plat passwd et shadow. Les données peuvent être

accédées par les modules PAM et NSS.

7. Quelques serveurs LDAP Il en existe une multitude, on peut citer entre autres,

Apache Directory Server

389 Directory Server

OpenLDAP

Oracle Directory Server Enterprise Edition (en)

tinyldap [archive] un serveur LDAP minimaliste

Mandriva Directory Server offre une interface web pour administrer Samba et LDAP

8. Quelques Clients LDAP Jxplorer (en) : un client développé sous Java, multiplateforme

Apache Directory Server : un client multiplateforme, développé en Java, par Apache

Software Foundation

Luma3 : une application cliente pour Linux développée en QT4. Sa notion de "plugin"

permet de gérer des comptes utilisateur, des carnets d'adresses...

PhpLDAPadmin: un client Web multiplateforme sous licence GPL développé en PHP

permettant de gérer son annuaire LDAP.

FusionDirectory4 : une application web sous licence GPL développée en PHP

permettant de gérer son annuaire LDAP et tous les services associés.

8

Conclusion Il a été question dans cette partie de présenter le concept d’annuaire LDAP. Il en ressort qu’un

annuaire LDAP peut servir pour l’authentification et pour la recherche. Il dispose de moult

avantages parmi lesquels on peut citer, la centralisation, la fiabilité et la sécurité, son

inconvénient est qu’il possède un langage d’interrogation pauvre. Dans la suite de ce documen

nous allons présenter et installer OpenLDAP.

9

CHAPITRE II : PRESENTATION DU SERVEUR LDAP : OpenLDAP

I. Définition OpenLDAP est une implémentation libre du protocole LDAP écrit en C et C ++, maintenue par

le projet OpenLDAP et distribuée selon les termes de la licence OpenLDAP Public Licence2.

C’est une solution multiplateforme, on trouve des versions compilées pour GNU/Linux,

FreeBSD, NetBSD, OpenBSD, AIX, HP-UX, Mac OS X, Solaris, et Microsoft Windows (2000, XP).

II. Concept OpenLDAP est un annuaire informatique qui fonctionne sur le modèle client/serveur. Il

contient des informations de n'importe quelle nature qui sont rangées de manière

hiérarchique.

En pratique, dans un réseau informatique, il est utilisé pour enregistrer une grande quantité

d'utilisateurs ou de services, parfois des centaines de milliers. Il permet d'organiser

hiérarchiquement les utilisateurs par département, par lieu géographique ou par n'importe

quel autre critère. C'est une alternative libre à Microsoft Active Directory.

III. Histoire Le projet a débuté en 1998 sous l’impulsion de Kurt Zeilenga en prenant pour base les travaux

de l’université du Michigan ou les chercheurs développaient le protocole LDAP.

Parmi d’autres contributeurs, on peut citer Howard Chu et Pierangelo Masarati

IV. Aspect techniques

1. Stockage Le logiciel OpenLDAP ne stocke pas les données directement, il utilise une bibliothèque tierce

pour le faire. Généralement c’est la base donnée Berkeley DB qui est utilisée sous GNU/Linux.

Mais il est possible d’utiliser MySQL, LDBM, des fichiers à plat, etc.

2. Réplication OpenLDAP prend en charge le mécanisme de réplication, via une directive de configuration

syncrepl

3. Composants d'OpenLDAP OpenLDAP est constitué de 3 éléments principaux :

slapd (Stand-alone LDAP Daemon): démon LDAP autonome. Il écoute les connexions

LDAP sur n'importe quel port (389 par défaut) et répond aux opérations LDAP qu'il

reçoit via ces connexions. Typiquement, slapd est appelé au moment du boot.

des bibliothèques implémentant le protocole LDAP.

des utilitaires, des outils et des exemples de clients

Le projet OpenLDAP propose également des bibliothèques en Java :

JLDAP : bibliothèque d’accès à LDAP en Java

10

JDBC-LDAP driver faisant office de pont JDBC-LDAP

4. Composants tiers FusionDirectory est une application web sous licence GPL développé en PHP

permettant de gérer facilement son annuaire LDAP et tous les services associés.

Apache Directory Studio est une interface en Java basé sur Eclipse. Permet de gérer

l'architecture LDAP, les Schéma LDAP et les fichiers LDIF.

PhpLDAPadmin est une interface en PHP qui facilite l'édition des données du serveur

OpenLDAP. Son utilisation passe par un navigateur Web.

5. Principales versions Les versions d’OpenLDAP qui ont été marquantes sont :

OpenLDAP Version 1 (1998) : première version publique

OpenLDAP Version 2 (aout 2000) : prise en charge de LDAPv3, d’IPv6, du TLS…

OpenLDAP Version 2.1 (juin 2001)

OpenLDAP Version 2.2 (décembre 2003)

OpenLDAP Version 2.3 (juin 2005) : possibilité d’avoir la configuration accessible dans

l’annuaire (cn=config)

OpenLDAP Version 2.4 (octobre 2007) : réplication miroir et multi-maitre ; réplication

Proxy Sync ; extensions LDAP v3

11

CHAPITRE III : INSTALLATION ET CONFIGURATION D’OpenLDAP

I. INSTALLATION

Les étapes de l’installation d’OpenLDAP sont les suivantes :

Etape 1 : Ouvrir le terminal et se mettre en mode super utilisateur afin de changer le nom d’hôte

Ouvrir le terminal à l’aide de la commande Ctrl+Alt+T. Le terminal ouvert, faire :

$sudo su

Et entrez le mot de passe root

Une fois en mode privilégié, on tape la commande

#gedit /etc/hostname

L’éditeur de texte gedit va s’ouvrir et on change le nom d’hôte, dans notre cas nous avons mis

« server.ldap.com »

Enregistrez et redémarrer votre poste depuis le terminal à l’aide de la commande « reboot »

Etape 2: Installation des composants OpenLDAP

Le poste redémarré, on ouvre de nouveau le terminal et on se met en mode super-utilisateur,

et on fait exécuter la commande :

#apt-get install slapd ldap-utils

Un mot de passe vous sera demandé, entrez celui du root il vous sera demandé de le

confirmer, vous entrez le même mot de passe.

12

Le serveur ainsi installé, on passe aux configurations de base, nécessaires à son

fonctionnement.

Nous allons effectuer des configurations coté serveur et coté client.

II. CONFIGURATIONS

1. Configuration du serveur Les configurations faites dans cette partie, vont permettre le lancement effectif du serveur

On va modifier les fichiers de configuration de LDAP

Configuration de ldap.conf

Le premier qu’on va modifier est « ldap.conf ». Pour cela, étant dans le terminal et en mode

super-utilisateur, on va ouvrir ce fichier avec l’éditeur de texte « gedit », la commande à faire

pour cela est :

#gedit /etc/ldap/ldap.conf

L’éditeur de texte ouvert, on va décommander la ligne BASE et la ligne URI et on modifie

comme le montre la capture ci-dessous :

Au niveau de base, on va donner le nom de domaine de notre serveur, dans notre cas

« ldap.com » et au niveau de « URI ldap://localhost :389 », on remplace localhost par

l’adresse IP de la machine qui sert de serveur, c’est-à-dire de la machine sur laquelle on a

installé OpenLDAP

Configuration de slapd Pour cela on tape la commande :

#dpkg-reconfigure slapd

13

Voulez-vous omettre la configuration d’OpenLDAP ? Non

Nom de domaine ldap.com

Nom d’entité Jeff et Valere

Mot de passe de l’administrateur ***********

Confirmation du mot de passe ***********

Module de base de données à utiliser HDB

Suppression de la base de données à la purge du paquet ? Non

Déplacer l’ancienne base de données ? Oui

Autoriser le protocole LDAPv2 ? Non

L’écran ci-dessous apparaitra à la fin de la configuration.

On constate que notre serveur a effectivement démarré via la ligne « *Starting OpenLDAP

slapd »

Pour faire un test de fonctionnement, tapez la commande #ldapsearch –x. Si l’écran ci-

dessous apparait alors tout est OK

2. Configuration du client Dans cette partie, il sera question pour nous de configurer un poste client afin qu’il ait accès

à l’annuaire.

Pour ce faire, une fois la machine cliente allumé, on ouvre le terminal et on se met en mode

super-utilisateur.

14

On se sert de la commande #apt-get install ldap-auth-client nscd afin d’installer les packages

qui vont servir à l’authentification du client qui souhaite accéder à l’annuaire.

Une fois cette commande exécuté, une question nous sera posé, celle de savoir, si connaissant

la taille du package, on désire continuer l’installation. On répond par un « Y » et on valide. La

fenêtre ci-dessous va apparaitre afin d’entamer la configuration.

Confirmation du téléchargement Y

LDAP Server Uniform Resource Identifier 192.168.42.101

Distinguished name of the search base dc=ldap,dc=com

LDAP version to use 3

Make local root Database admin Yes

Does the LDAP database require login? No

LDAP account for root cn=admin,dc=ldap,dc=com

LDAP root account password ***********

Local crypt to use when changing passwords md5

A la fin de ce paramétrage, dans le terminal et en mode super-utilisateur toujours on exécute

la commande « auth-client-config –t nss –p lac_ldap ». C’est une commande muette donc

rien de particulier ne va apparaitre après son exécution.

On va maintenant créer un répertoire pour les utilisateurs qui vont s’authentifier sur le

serveur. Pour cela on va faire des configurations dans le PAM (Pluggable Authentication

module).

On va créer pour cela un fichier de configuration à l’aide de la commande « #gedit

/usr/share/pam-configs/mkhomedir » et le remplir comme va le montrer la prochaine

capture.

Une fois rempli, on enregistre et on fait exécuter la commande « pam-auth-update » et la

fenêtre ci-dessous va s’afficher

15

On active tous les profils PAM et on valide. Maintenant nous allons redémarrer le nscd (Name

Service Cache Daemon) par l’intermédiaire de la commande « #/etc/init.d/nscd restart »

Une fois le nscd redémarré, on sort du mode super utilisateur, parce qu’on va ce logger

maintenant en tant qu’utilisateur autorisé de l’annuaire.

III. Administration du serveur Dans cette partie, nous allons créer des groupes et des utilisateurs afin de peupler notre annuaire et nous allons, utiliser un fichier ldif pour remplir le carnet d’adresse de Mozilla Thunderbird, enfin nous allons nous connecter sur un poste client configuré et tenter de nous connecter en tant qu’utilisateur de l’annuaire.

1. Création des groupes et des utilisateurs Nous allons créer des groupes et des utilisateurs respectant l’arborescence ci-dessous :

ldap.com

people services

etudiants personnel groupes nfs

Jeff Ela Valere Wafo groupe1

Création des groupes

Pour cela, il faut créer un fichier ldif (LDAP Data Interchange Format), dont nous allons ajouter

des données par la commande ldapadd.

Pour créer notre fichier ldif, à partir du terminal et en mode super-utilisateur, on tape la

commande :

#gedit MesGroupes.ldif

16

Cela va créer un fichier ldif nommé MesGroupes. Une fois le fichier ouvert, on va le remplir

comme le montre la capture ci-dessous, afin de créer nos groupes selon notre l’arborescence.

Une fois ce fichier rempli comme le montre les captures, on l’enregistre et on se retrouve de

nouveau sur notre terminal.

Afin d’ajouter le contenu de de ce fichier ldif à notre annuaire, on va se servir de la

commande ldapadd. On va taper #ldapadd –x –W –D ‘’cn=admin,dc=ldap,dc=com’’ –f

MesGroupes.ldif et valider par un mot de passe.

NB :

17

-x : ne pas utiliser SASL (Simple Authentication and Security Layer)

-W : s'authentifier par mot de passe

-D : avec le login admin@ldap.com

-f : utiliser le fichier MesGroupes.ldif

La commande validée, on obtient le résultat ci-dessous…

On peut constater via la précédente capture, la création des groupes suivant notre

arborescence.

Création d’utilisateurs

Pour créer des utilisateurs, nous allons créer un fichier Users.ldif. Alors, dans le terminal, faire

exécuter la commande #gedit Users.ldif et remplir ce fichier comme le montre les captures

suivantes

Utilisateur Jeff Ela

Utilisateur Wafo Valere

Apres avoir rempli comme le montre les captures ci-dessous, nous allons enregistrer et nous

servir de la commande #ldapadd –x –W –D ‘’cn=admin,dc=ldap,dc=com’’ –f Users.ldif, afin

18

de créer les utilisateurs de l’annuaire. Ceci va passer par la validation à l’aide du mot de passe

de l’admin. Nous aurons le résultat suivant :

On a ainsi crée deux utilisateurs qui pourront avoir accès aux données de l’annuaire.

Il existe d’autres commandes pour la gestion des entrées de l’annuaire, on peut citer,

ldapdelete pour supprimer une entrée, ldapmodify pour modifier une entrée, ldapsearch pour

les recherches etc… Nous ne nous attarderons pas dessus au risque de faire un document très

long.

2. Connexion d’un client à l’annuaire Dans la section précédente, nous avons créé deux utilisateurs. Dans celle-ci nous allons nous

connecter avec le compte d’un utilisateur afin de consulter l’annuaire et vérifier notre

arborescence.

Pour se connecter par exemple en tant que Jeff Ela, on va saisir la commande « su – ‘’Jeff

Ela’’ »

On entre le mot de passe de l’utilisateur Jeff Ela et on valide.

On constate à travers la capture précédente qu’on est connecté en tant que Jeff Ela, donc,

l’authentification a bien réussi.

Si on fait un « ls /home/users » on va constater qu’un dossier a été créé pour Jeff Ela.

Essayons de consulter l’annuaire avec la commande ldapsearch.

Pour rechercher des informations à propos de notre collegue Wafo valere, etant connecté à

la machine cliente en tant que Jeff Ela, on utilise la commande ldapsearch –Xlll cn=’Valere

Wafo’

Le résultat est illustré par la capture ci-dessous

19

Pratique en entreprise lorsqu’on souhaite joindre un collègue de travail et qu’on ne possède

pas son numéro par exemple, ou son mail.

20

Conclusion

Au cours de ce travail il a été question de mettre en place un gestionnaire d’annuaire LDAP,

pour ce faire nous sommes passés par la présentation du protocole LDAP, la présentation

d’OpenLDAP et la mise en place du gestionnaire d’annuaire, proprement dit. LDAP, du fait de

sa standardisation, permet aux annuaires d'entreprise d'être interopérables. Ils sont simples,

fiables, pérennes et centralisent l'information au sein d'une entreprise : Identifiant/mot de

passe, comptes POSIX/ utilisateur...

21

Références

https://fr.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol

https://fr.wikipedia.org/wiki/OpenLDAP

https://youtu.be/DM_UQVVVtoY

https://youtu.be/l0e8rG0mku8

22

Annexe

Configuration de slapd en images