OpenLDAP – Configuration SLAPD standard

Introduction

Ce document va expliquer la configuration « basique » d’un serveur slapd de la suite OpenLDAP.

Cela s’applique aussi bien à une distribution Linux, testé sur Debian Sarge, que sur FreeBSD, testé en 6.1.

 

Prérequis

Il faudra avoir installé le paquet slapd sur une Debian ou alors le port openldap23-server sur un FreeBSD.

Dans le cas de la Debian, les configurations se passeront dans /etc/ldap alors que sur FreeBSD, cela sera dans /usr/local/etc/openldap.

Enfin, les données se trouvent dans /var/lib/slapd sur Debian alors que cela se trouve dans /var/db/openldap-data sur FreeBSD.

Dans la suite du document, tout sera basé un FreeBSD.

 

Le fichier slapd.conf

Voici le fichier de configuration avec les commentaires à l’intérieur:

## slapd config file

# Includes
# Tous les schemas à charger
include         /usr/local/etc/openldap/schema/core.schema
include         /usr/local/etc/openldap/schema/cosine.schema
include         /usr/local/etc/openldap/schema/inetorgperson.schema
include         /usr/local/etc/openldap/schema/nis.schema

# Modules
# Le module de stockage que l'on utilise, BDB dans notre cas
modulepath      /usr/local/libexec/openldap
moduleload      back_bdb

# SSL Options
# Le certificat du serveur
TLSCertificateFile      /usr/local/etc/openldap/ssl/ldap1_cert.pem
# La clef du serveur
TLSCertificateKeyFile   /usr/local/etc/openldap/ssl/ldap1_key.pem
# Le certificat du CA qui a signé le certificat du serveur.
TLSCACertificateFile    /usr/local/etc/openldap/ssl/cacert.pem

# Paramètres généraux
# Le fichier pid
pidfile         /var/run/openldap/slapd.pid
# le fichier qui garde la ligne de commande complète utilisée pour lancer le daemon
argsfile        /var/run/openldap/slapd.args

# Définition d'une base
# le type que l'on souhaite utiliser
database bdb
# Le répertoire où la base sera stockée
directory       /var/db/openldap-data
# Le suffix principal de la base
suffix          "o=free-4ever,dc=net"
# le DN du root de la base
rootdn          "cn=manager,o=free-4ever,dc=net"
# Le mot de passe crypté avec la commande slappasswd du root de la base
rootpw          {SSHA}hSixML09eyZsQncyqSebQq5tFpXgXT63

# les paramètres que l'on souhaite indexer 
index           objectClass         eq

## Acces Lists
# Le root de la base peut tout faire
# Le watcher peut tout lire
# Pas d'accès anonyme
access to *     by dn.regex="cn=manager,o=free-4ever,dc=net" write
                by dn.regex="cn=watcher,o=free-4ever,dc=net" read
                by * auth

# Tous les utilisateurs authentifiés peuvent changer certaines de leurs informations
access to attrs=userPassword,sambaLMPassword,sambaNTPassword,gecos,description,loginShell
                by self write
                by anonymous auth
                by * none

En ce qui concerne les paramètres pour que la connexion sécurisée par SSL, il faudra un certificat et sa clef, vous pouvez vous reporter aux documents: Création de l’autorité de certification et Création d’un certificat avec le CA.

 

Application des modifications

Arrêtez le daemon slapd:

# /usr/local/etc/rc.d/slapd stop

Au cas où le daemon aurait été démarré précédemment avec une autre base, il faut effacer le contenu du répertoire /var/db/openldap-data.

Si on veut utiliser le port ldaps, il faut penser à mettre quelque chose du style ldaps://0.0.0.0/ au niveau du paramètre slapd_flags dans le fichier rc.conf. PS: sur une Debian, ca se passe dans le fichier /etc/defaults/slapd.

Démarrez le daemon slapd:

# /usr/local/etc/rc.d/slapd start

 

Mot de la fin

Notre service LDAP est maintenant prêt à recevoir des requêtes. Rien n’est créé dedans hormis la base « o=free-4ever,dc=net », tout se passera en dessous de ce point. Et le compte admin « cn=manager,o=free-4ever,dc=net » qui bien en dessous de ce point. Le compte de visualisation n’est pas créé non plus pour l’instant.

Pour commencer à utiliser votre annuaire LDAP, vous pouvez vous reporter au document suivant: Utilisation des outils client

 

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s