{{indexmenu_n>5}} # Administrer et configurer le serveur LDAP ## Pour modifier des entrées Il est possible d'administrer le serveur LDAP directement dans le conteneur, à travers l'exécution de fichiers LDIF. Néanmoins, ils sont pénibles à construire en pratique, et une interface graphique est très utile. Pour administrer le serveur LDAP, nous utilisons [[https://directory.apache.org/studio/|Apache Directory Studio]]. Installer Apache Directory Studio en suivant [ces instructions](https://directory.apache.org/studio/downloads.html). On peut maximiser toutes les fenêtres concernant le LDAP en cliquant sur l'icône ''Restore'' en haut à droite. {{ :infrastructure:ldap:ads_config1.png?nolink&400 |}} On peut également minimiser le panneau ''Welcome'' pour avoir plus de place. {{ :infrastructure:ldap:ads_config2.png?nolink&400 |}} On va ensuite créer une connexion LDAP en tant qu'administrateur, qui va nous permettre d'effectuer toutes les modifications souhaitées. (Les mots de passe sont chiffrés dans notre [[asso:tuto:vaultwarden|vaultwarden]]. Créer une nouvelle connexion : {{ :infrastructure:ldap:ads_config3.png?nolink&600 |}} Spécifier les paramètres (en particulier, utiliser LDAPS pour une connexion chiffrée) : {{ technique:adminsys:ldap:2020-09-07_17-38-30.png?nolink&500 |}} Spécifier l'utilisateur admin : `cn=admin,dc=picasoft,dc=net` : {{ :infrastructure:ldap:ads_config5.png?nolink&400 |}} On peut confirmer puis double cliquer sur la connexion nouvellement créée : on a alors accès aux entrées du LDAP et on peut les modifier. ## Pour modifier la configuration En théorie, la configuration devrait être modifiée sur le dépôt Git. Cependant, il peut arriver qu'on ait besoin de modifier la configuration d'un serveur LDAP déjà lancé, auquel cas les modifications doivent être consignées sur une page de Wiki et référencées sur le dépôt Git. Historiquement, OpenLDAP est configuré de manière statique : on a un fichier de configuration (`slapd.conf`), chargé au démarrage. Pour changer un paramètre de configuration, on doit redémarrer LDAP. Depuis la version 2.3, la configuration est gérée dynamiquement, à travers une entrée spéciale appelée `cn=config`. Les entrées de cet arbre sont des entrées d'annuaire "comme les autres". Cette fonctionnalité est appelée OLC (On-Line Configuration). Chaque modification d'une entrée applique immédiatement la configuration sans avoir besoin de redémarrage. Pour se connecter avec l'utilisateur de configuration, on utilisera le même tutoriel, mais on utilisera : * `cn=admin,cn=config` pour le `Bind DN`, avec le mot de passe associé dans le [[asso:tuto:vaultwarden|vaultwarden]] * `cn=config` comme `Base DN` Une fois connecté, on arrive sur une fenêtre comme celle-ci : {{ technique:adminsys:ldap:2020-09-08_15-58-21.png?nolink&500 |}} On voit par exemple que l'on peut dynamiquement modifier le niveau de log, utile pour faire du debug sans avoir à redémarrer le serveur! On retrouve aussi l'ensemble des schémas disponibles sur le serveur LDAP sous `cn=schema`. Par exemple, on constatera que celui-ci contient `cn={10}openssh-lpk`, qui contient la définition pour l'attribut `sshPublicKey`. La plupart des tutoriels utilisant cet attribut demandent d'ajouter le schéma manuellement. C'est une manière de vérifier qu'il est nécessaire de le faire ou non. Pour comprendre comment fonctionne la configuration (assez cryptique), on pourra se référer à [cette référence](https://www.zytrax.com/books/ldap/ch6/slapd-config.html).