technique:adminsys:ldap:utilisation

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision		 Révision précédente
technique:adminsys:ldap:utilisation [2020/03/15 15:22] amaldonatechnique:adminsys:ldap:utilisation [2022/09/23 10:20] (Version actuelle) – modification externe 127.0.0.1
Ligne 1: Ligne 1:
-====== 0. Connexion au LDAP ======+{{indexmenu_n>5}}
  
-Pour nous connecter au LDAP, nous utilisons [[https://directory.apache.org/studio/|Apache Directory Studio]].+# Administrer et configurer le serveur LDAP
  
-Le LDAP n'étant accessible que en interne, il faut d'abord se connecter à ''monitoring'' via ''ssh'' et faire un //port forward//, par exemple:+## Pour modifier des entrées
  
-<code bash> +Il est possible d'administrer le serveur LDAP directement dans le conteneur, à travers l'exécution de fichiers LDIFNéanmoins, ils sont pénibles à construire en pratique, et une interface graphique est très utile.
-ssh -L 3890:localhost:389 <login>@monitoring.picasoft.net +
-</code>+
  
-Une fois Apache Directory Studio téléchargéil ne faut pas oublier de vérifier l'intégrité du fichier, par exemple avec les commandes suivantes: +Pour administrer le serveur LDAPnous utilisons [[https://directory.apache.org/studio/|Apache Directory Studio]].
-<code bash> +
-wget https://www.apache.org/dist/directory/studio/2.0.0.v20180908-M14/ApacheDirectoryStudio-2.0.0.v20180908-M14-linux.gtk.x86_64.tar.gz.asc +
-wget https://www.apache.org/dist/directory/KEYS +
-gpg --import KEYS +
-gpg --verify ApacheDirectoryStudio-2.0.0.v20180908-M14-linux.gtk.x86_64.tar.gz.asc ApacheDirectoryStudio-2.0.0.v20180908-M14-linux.gtk.x86_64.tar.gz +
-</code>+
  
-Ensuite, il suffit d'extraire le fichier ''.tar.gz'' et de lancer l'exécutable ''ApacheDirectoryStudio''.+Installer Apache Directory Studio en suivant [ces instructions](https://directory.apache.org/studio/downloads.html).
  
 On peut maximiser toutes les fenêtres concernant le LDAP en cliquant sur l'icône ''Restore'' en haut à droite. On peut maximiser toutes les fenêtres concernant le LDAP en cliquant sur l'icône ''Restore'' en haut à droite.
  
-{{ :infrastructure:ldap:ads_config1.png?nolink&600 |}}+{{ :infrastructure:ldap:ads_config1.png?nolink&400 |}}
  
 On peut également minimiser le panneau ''Welcome'' pour avoir plus de place. On peut également minimiser le panneau ''Welcome'' pour avoir plus de place.
  
-{{ :infrastructure:ldap:ads_config2.png?nolink&600 |}}+{{ :infrastructure:ldap:ads_config2.png?nolink&400 |}}
  
-Dernière étape: créer 2 nouvelles connexion LDAP:  +On va ensuite créer une connexion LDAP en tant qu'administrateur, qui va nous permettre d'effectuer toutes les modifications souhaitées.
-  * Pour l'administrateur de la base de données ''cn=admin,dc=picasoft,dc=net''  +
-  * Pout l'administrateur de la configuration ''cn=admin,cn=config''.+
  
-(Les mots de passe sont chiffrés dans notre [[https://gitlab.utc.fr/picasoft/interne/pass|repo pass]].+(Les mots de passe sont chiffrés dans notre [[asso:tuto:vaultwarden|vaultwarden]].
  
 +Créer une nouvelle connexion :
 {{ :infrastructure:ldap:ads_config3.png?nolink&600 |}} {{ :infrastructure:ldap:ads_config3.png?nolink&600 |}}
-{{ :infrastructure:ldap:ads_config4.png?nolink&400 |}}+ 
 +Spécifier les paramètres (en particulier, utiliser LDAPS pour une connexion chiffrée) : 
 +{{ technique:adminsys:ldap:2020-09-07_17-38-30.png?nolink&500 |}} 
 + 
 +Spécifier l'utilisateur admin : `cn=admin,dc=picasoft,dc=net` :
 {{ :infrastructure:ldap:ads_config5.png?nolink&400 |}} {{ :infrastructure:ldap:ads_config5.png?nolink&400 |}}
  
 +On peut confirmer puis double cliquer sur la connexion nouvellement créée : on a alors accès aux entrées du LDAP et on peut les modifier.
 +
 +## Pour modifier la configuration
 +
 +En théorie, la configuration devrait être modifiée sur le dépôt Git.
 +Cependant, il peut arriver qu'on ait besoin de modifier la configuration d'un serveur LDAP déjà lancé, auquel cas les modifications doivent être consignées sur une page de Wiki et référencées sur le dépôt Git.
 +
 +Historiquement, OpenLDAP est configuré de manière statique : on a un fichier de configuration (`slapd.conf`), chargé au démarrage. Pour changer un paramètre de configuration, on doit redémarrer LDAP.
 +
 +Depuis la version 2.3, la configuration est gérée dynamiquement, à travers une entrée spéciale appelée `cn=config`. Les entrées de cet arbre sont des entrées d'annuaire "comme les autres". Cette fonctionnalité est appelée OLC (On-Line Configuration).
 +
 +Chaque modification d'une entrée applique immédiatement la configuration sans avoir besoin de redémarrage.
 +
 +Pour se connecter avec l'utilisateur de configuration, on utilisera le même tutoriel, mais on utilisera :
 +
 +* `cn=admin,cn=config` pour le `Bind DN`, avec le mot de passe associé dans le [[asso:tuto:vaultwarden|vaultwarden]]
 +* `cn=config` comme `Base DN`
 +
 +Une fois connecté, on arrive sur une fenêtre comme celle-ci :
 +
 +{{ technique:adminsys:ldap:2020-09-08_15-58-21.png?nolink&500 |}}
 +
 +On voit par exemple que l'on peut dynamiquement modifier le niveau de log, utile pour faire du debug sans avoir à redémarrer le serveur!
 +
 +On retrouve aussi l'ensemble des schémas disponibles sur le serveur LDAP sous `cn=schema`. Par exemple, on constatera que celui-ci contient `cn={10}openssh-lpk`, qui contient la définition pour l'attribut `sshPublicKey`. La plupart des tutoriels utilisant cet attribut demandent d'ajouter le schéma manuellement. C'est une manière de vérifier qu'il est nécessaire de le faire ou non.
  
 +Pour comprendre comment fonctionne la configuration (assez cryptique), on pourra se référer à [cette référence](https://www.zytrax.com/books/ldap/ch6/slapd-config.html).
  • technique/adminsys/ldap/utilisation.1584282134.txt.gz
  • de amaldona