Plan du site  
pixel
pixel

Articles - Étudiants SUPINFO

Serveur OpenLDAP sur debian

Par Lionel SANOU Publié le 27/10/2016 à 02:26:14 Noter cet article:
(0 votes)
Avis favorable du comité de lecture

Le but de cet article est d'expliquer dans un premier temps le rôle d'un serveur OpenLDAP et par la suite de mettre en place un serveur OpenLDAP.

Présentation

Open LDAP est une implémentation open source du protocole LDAP, c'est un annuaire informatique qui fonctionne en mode client serveur dans lequels sont rangés des informations de nature quelconques de manière hirarchique.

Il est constitué de 3 éléments principaux :

  • slapd (Stand-alone LDAP Daemon) : démon LDAP autonome. Il écoute les connexions LDAP sur n'importe quel port (389 par défaut) et répond aux opérations LDAP qu'il reçoit via ces connexions. Typiquement, slapd est appelé au moment du boot.

  • Des Bibliothèques implémentant le protocole LDAP.

  • Des Utilitaires, des outils et des exemples de clients.

Open Ldap supporte le protocole SASL (Simple Authentication and Security Layer) pour l’authentification et la sécurité. SASL permet à une application de s’authentifier à l’annuaire en utilisant divers mécanismes d’authentification forte comme DIGEST-MD5, EXTERNAL, et Kerberos 5 (GSSAPI).

Il supporte le protocole TLS (Transport Layer Security) qui permet d’assurer le chiffrement et l’intégrité des données échangées avec l’annuaire. Cette fonctionnalité peut être activée ou désactivée à tout moment lors d’une même session, permettant ainsi de protéger des données sensibles tout en assurant des performances et un temps de réponse optimal du serveur.

Par ailleurs, OpenLDAP offre des fonctions de gestion fine des autorisations, permettant de contrôler l’accès aux entrées et aux attributs en fonction du profil de l’utilisateur connecté à l’annuaire. Ces fonctions sont offertes à l’aide d’une syntaxe d’ACL particulière (Access Control List), offrant de nombreuses possibilités comme le contrôle d’accès à partir de l’adresse IP du client, ou encore en fonction de l’action demandée comme la création ou la suppression.

Il autorise la réplication multi-maître et maître-esclave, assurant ainsi une meilleure disponibilité de l’annuaire et une répartition de charge sur différentes instances de l’annuaire, situées sur une ou plusieurs machines. De plus, il supporte les codes internationaux, permettant ainsi de gérer plusieurs langues dans l’annuaire. Et enfin, OpenLDAP fournit des fonctions de proxy, permettant la mise en place d’un cache mémoire afin d’optimiser les requêtes d’accès à un ou plusieurs annuaires.

Pré-requis

Nous aurons besoin d'une machine avec Debian installé.

Installation et configuration

Intallation des paquets Open LDAP :

#apt‐get install slapd ldap‐utils

Configuration de slapd :

#dpkg‐reconfigure slapd

Après configuration de notre slapd nous pouvons maintenant modifier notre fichier de configuration qui se trouve dans le répertoire /etc/ldap/ldap.conf.

Vérifions nos configurations initiales :

Nous allons maintenant créer des unités d’organisations (OU), une pour nos utilisateurs et une pour les groupes. Pour cela il nous faut créer un fichier « ldif ».

Ou.ldif pour nos OU comme suit.

On ajoute ces OU à notre base de donnée ldap comme suit.

#ldapadd ‐x ‐D cn=admin,dc=sbm,dc=com ‐W ‐f ou.ldif

user.ldif pour l’ajout d’utilisateurs.

Pour ajouter les utilisateur à notre base de donnée LDAP :

#ldapadd ‐x ‐D cn=admin,dc=sbm,dc=com ‐W ‐f user.ldif

On vérifie que nos utilisateurs ont bien étés ajoutés avec un slapcat.

Tout a donc bien été pris en compte et tout est fonctionnel.

Conclusion

OpenLDAP a l’avantage d’être gratuit et peut être installé sur tout type de plate-forme, y compris Windows et les principaux Unix, dont Linux bien sûr. Toutes les distributions Linux offrent en standard la possibilité de l’installer. Par ailleurs, son code source est accessible à tous et il est tout à fait possible de faire évoluer le serveur d’annuaire en fonction des besoins. On trouve par exemple des extensions permettant d’intégrer OpenLDAP avec Kerberos, Radius, et tout autre mécanisme d’authentification. Des développeurs maîtrisant le langage C et le code d’OpenLDAP peuvent également réaliser leurs propres extensions de l’annuaire.

Autre avantage, OpenLDAP est un des rares produits du marché disponible sur toutes les plates-formes. Il est écrit en langage C et peut être facilement recompilé. Dans le cas d’une entreprise qui doit exploiter simultanément plusieurs systèmes (Windows, Linux, Solaris, HP, etc.), et qui souhaite réduire les formations et l’expertise requise par ses administrateurs, le déploiement d’un seul serveur d’annuaire, commun à toutes ces plates-formes, peut constituer un avantage indéniable. S’il existe des produits du marché qui fonctionnent sur plusieurs plates-formes (par exemple Novell eDirectory), aucun de ces logiciels n’est gratuit.

Et enfin, OpenLDAP est totalement intégré à Linux. La plupart des distributions Linux ont adopté OpenLDAP comme annuaire de référence, et offre une version compilée et prête à l’emploi de celui-ci. De plus, OpenLDAP peut être utilisé pour gérer les utilisateurs du système d’exploitation, et partager ainsi un même référentiel avec les applications fonctionnant sous Linux et livré avec le système, comme Samba, NIS, etc.

Bien entendu, OpenLDAP a ses limites. Ce serveur n’a pas la richesse fonctionnelle que l’on peut trouver dans certains produits du marché : il lui manque notamment une console d’administration intégrée, une gestion de la réplication multi-maître évoluée à l’instar de celle des produits de Microsoft, Novell et Sun, des fonctionnalités d’exploitation (monitoring, suivi et optimisation des performances, etc.) et surtout une bonne documentation.

A propos de SUPINFO | Contacts & adresses | Enseigner à SUPINFO | Presse | Conditions d'utilisation & Copyright | Respect de la vie privée | Investir
Logo de la société Cisco, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société IBM, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Sun-Oracle, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Apple, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Sybase, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Novell, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Intel, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Accenture, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société SAP, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Prometric, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo de la société Toeic, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management Logo du IT Academy Program par Microsoft, partenaire pédagogique de SUPINFO, la Grande École de l'informatique, du numérique et du management

SUPINFO International University
Ecole d'Informatique - IT School
École Supérieure d'Informatique de Paris, leader en France
La Grande Ecole de l'informatique, du numérique et du management
Fondée en 1965, reconnue par l'État. Titre Bac+5 certifié au niveau I.
SUPINFO International University is globally operated by EDUCINVEST Belgium - Avenue Louise, 534 - 1050 Brussels