Différences

Ci-dessous, les différences entre deux révisions de la page.

--- technique:adminsys:ldap:utilisation [2020/09/08 15:45] – qduchemi
+++ technique:adminsys:ldap:utilisation [2022/09/23 10:20] (Version actuelle) – modification externe 127.0.0.1
@@ Ligne 1: / Ligne 1: @@
 {{indexmenu_n>5}}
-# Administrer le serveur LDAP
+# Administrer et configurer le serveur LDAP
+## Pour modifier des entrées
 Il est possible d'administrer le serveur LDAP directement dans le conteneur, à travers l'exécution de fichiers LDIF. Néanmoins, ils sont pénibles à construire en pratique, et une interface graphique est très utile.
@@ Ligne 19: / Ligne 21: @@
 On va ensuite créer une connexion LDAP en tant qu'administrateur, qui va nous permettre d'effectuer toutes les modifications souhaitées.
-(Les mots de passe sont chiffrés dans notre [[https://gitlab.utc.fr/picasoft/interne/pass|repo pass]]).
+(Les mots de passe sont chiffrés dans notre [[asso:tuto:vaultwarden|vaultwarden]].
 Créer une nouvelle connexion :
@@ Ligne 25: / Ligne 27: @@
 Spécifier les paramètres (en particulier, utiliser LDAPS pour une connexion chiffrée) :
-{{ :technique:adminsys:ldap:2020-09-07_17-38-30.png?nolink&500 |}}
+{{ technique:adminsys:ldap:2020-09-07_17-38-30.png?nolink&500 |}}
 Spécifier l'utilisateur admin : `cn=admin,dc=picasoft,dc=net` :
@@ Ligne 31: / Ligne 33: @@
 On peut confirmer puis double cliquer sur la connexion nouvellement créée : on a alors accès aux entrées du LDAP et on peut les modifier.
+## Pour modifier la configuration
+En théorie, la configuration devrait être modifiée sur le dépôt Git.
+Cependant, il peut arriver qu'on ait besoin de modifier la configuration d'un serveur LDAP déjà lancé, auquel cas les modifications doivent être consignées sur une page de Wiki et référencées sur le dépôt Git.
+Historiquement, OpenLDAP est configuré de manière statique : on a un fichier de configuration (`slapd.conf`), chargé au démarrage. Pour changer un paramètre de configuration, on doit redémarrer LDAP.
+Depuis la version 2.3, la configuration est gérée dynamiquement, à travers une entrée spéciale appelée `cn=config`. Les entrées de cet arbre sont des entrées d'annuaire "comme les autres". Cette fonctionnalité est appelée OLC (On-Line Configuration).
+Chaque modification d'une entrée applique immédiatement la configuration sans avoir besoin de redémarrage.
+Pour se connecter avec l'utilisateur de configuration, on utilisera le même tutoriel, mais on utilisera :
+* `cn=admin,cn=config` pour le `Bind DN`, avec le mot de passe associé dans le [[asso:tuto:vaultwarden|vaultwarden]]
+* `cn=config` comme `Base DN`
+Une fois connecté, on arrive sur une fenêtre comme celle-ci :
+{{ technique:adminsys:ldap:2020-09-08_15-58-21.png?nolink&500 |}}
+On voit par exemple que l'on peut dynamiquement modifier le niveau de log, utile pour faire du debug sans avoir à redémarrer le serveur!
+On retrouve aussi l'ensemble des schémas disponibles sur le serveur LDAP sous `cn=schema`. Par exemple, on constatera que celui-ci contient `cn={10}openssh-lpk`, qui contient la définition pour l'attribut `sshPublicKey`. La plupart des tutoriels utilisant cet attribut demandent d'ajouter le schéma manuellement. C'est une manière de vérifier qu'il est nécessaire de le faire ou non.
+Pour comprendre comment fonctionne la configuration (assez cryptique), on pourra se référer à [cette référence](https://www.zytrax.com/books/ldap/ch6/slapd-config.html).