Ycharbi : Utilisation du modèle "attention" au lieu du code HTML.

2017-05-04T23:58:27Z

Utilisation du modèle "attention" au lieu du code HTML.

← Version précédente		Version du 4 mai 2017 à 23:58
Ligne 191 :		Ligne 191 :
	* Identifiant uniforme de ressource (" URI ") du serveur LDAP : `ldap://ldap2.jmador.yo`		* Identifiant uniforme de ressource (" URI ") du serveur LDAP : `ldap://ldap2.jmador.yo`

	~~<span style="color:#FF0000">~~'''~~WARNING: Bien remplacer `~~ldapi:///` par `ldap://`'''~~</span>~~		{{attention\|Bien remplacer '''ldapi:///''' par '''ldap://'''.}}

	[[Fichier:LDAP-LIBNSSLDAP1.png\|800px]]		[[Fichier:LDAP-LIBNSSLDAP1.png\|800px]]

Ycharbi : Ycharbi a déplacé la page LDAP vers Ldap sans laisser de redirection : Nom en minuscule afin d'avoir la suggestion dans la barre de recherche

2017-04-08T21:56:48Z

Ycharbi a déplacé la page LDAP vers Ldap sans laisser de redirection : Nom en minuscule afin d'avoir la suggestion dans la barre de recherche

← Version précédente	Version du 8 avril 2017 à 21:56
(Aucune différence)

Nmorin le 8 avril 2017 à 19:46

2017-04-08T19:46:21Z

← Version précédente		Version du 8 avril 2017 à 19:46
Ligne 1 :		Ligne 1 :
			[[Category:service_annuaire]]

	Ce tuto va traiter :		Ce tuto va traiter :
	*La mise en place d'un serveur LDAP assisté par [http://phpldapadmin.sourceforge.net/wiki/index.php/Main_Page phpLDAPadmin].		*La mise en place d'un serveur LDAP assisté par [http://phpldapadmin.sourceforge.net/wiki/index.php/Main_Page phpLDAPadmin].

Nmorin : Page créée avec « Ce tuto va traiter : La mise en place d'un serveur LDAP assisté par [http://phpldapadmin.sourceforge.net/wiki/index.php/Main_Page phpLDAPadmin]. La mise en place des cl... »

2017-04-08T19:44:03Z

Page créée avec « Ce tuto va traiter : *La mise en place d'un serveur LDAP assisté par [http://phpldapadmin.sourceforge.net/wiki/index.php/Main_Page phpLDAPadmin]. *La mise en place des cl... »

Nouvelle page

Ce tuto va traiter :
*La mise en place d'un serveur LDAP assisté par [http://phpldapadmin.sourceforge.net/wiki/index.php/Main_Page phpLDAPadmin].
*La mise en place des clients

=Serveur=
==Installer OpenLDAP==

Changer le hostname et le hosts pour definire le domaine:
ldap2.jmador.yo

Installer slapd et ldap-utils

$ apt install slapd ldap-utils

Pendant l’installation, slapd va vous demander le mot de passe admin pour LDAP. Entrez celui que vous souhaitez (éviter les caractères spéciaux).

[[Fichier:LDAP-Slapd1.png|800px]]

Éditez le fichier '''/etc/ldap/ldap.conf'''

#
# LDAP Defaults
#
# See ldap.conf(5) for details
# This file should be world readable but not world writable.
BASE dc=jmador,dc=yo
URI ldap://127.0.0.1
#SIZELIMIT 12
#TIMELIMIT 15
#DEREF never
# TLS certificates (needed for GnuTLS)
TLS_CACERT /etc/ssl/certs/ca-certificates.crt

Lancez l’assistant de configuration

$ dpkg-reconfigure slapd

Pendant l'installation il vous sera posé les questions suivantes :

* Voulez-vous omettre la configuration d'OpenLDAP : `Non`

[[Fichier:LDAP-Slapd3.png|800px]]

* Nom de domaine : `jmador.yo`

[[Fichier:LDAP-Slapd4.png|800px]]

* Nom d'entité : `ldap2`

[[Fichier:LDAP-Slapd5.png|800px]]

* Mot de passe de l'administrateur : `[mot de passe admin]`

[[Fichier:LDAP-Slapd6.png|800px]]

* Mot de passe de l'administrateur : `[mot de passe admin]`

[[Fichier:LDAP-Slapd7.png|800px]]

* Module de base de données à utiliser : `MDB`

[[Fichier:LDAP-Slapd8.png|800px]]

* Faut-il supprimer la base de données lors de la purge du paquet : `Oui`

[[Fichier:LDAP-Slapd9.png|800px]]

* Faut-il déplacer l'ancienne base de données : `Oui`

[[Fichier:LDAP-Slapd10.png|800px]]

* Faut-il autoriser le protocole LDAPv2 : `Non`

[[Fichier:LDAP-Slapd11.png|800px]]

Pour vérifier que votre serveur LDAP fonctionne, il suffit de lancer la commande suivante :

$ ldapsearch -x

Vous devriez obtenir ce résultat :

[...]
result: 0 Success
[...]

==phpLDAPadmin==

===Installation et configuration===

Installation d’une interface graphique pour l’administration de LDAP

$ apt install phpldapadmin

Créez un lien symbolique pour le dossier de phpldapadmin

$ ln -s /usr/share/phpldapadmin/ /var/www/phpldapadmin

Maintenant éditez le fichier '''/etc/phpldapadmin/config.php''' et remplacer le nom de domaine par le votre. Editez également les lignes suivantes

[...]
// Uncomment and set your timezone //
$config->custom->appearance['timezone'] = 'Europe/Paris';
[...]
// Set your LDAP server name //
$servers->setValue('server','name','Mon serveur LDAP');
[...]
// Set your LDAP server IP address //
$servers->setValue('server','host','192.168.10.133');
[...]
// Set Server domain name //
$servers->setValue('server','base',array('dc=jmador,dc=yo'));
[...]
// Set Server domain name //
$servers->setValue('login','bind_id','cn=admin,dc=jmador,dc=yo');
[...]

Relancez le service Apache2

$ service apache2 restart

===L'interface phpLDAPadmin===

Dans un navigateur web, rendez-vous à l’adresse suivante : https://ldap2.jmador.yo/phpldapadmin/

Cliquer sur connexion pour vous identifier:

[[Fichier:LDAP-PHPLDAPADMIN1.png|800px]]

Taper votre mot de passe administateur:

[[Fichier:LDAP-PHPLDAPADMIN2.png|800px]]

====Créer une Unité Organisationnelle====

* Cliquer sur "Créer une nouvelle entrée ici:

[[Fichier:LDAP-PHPLDAPADMIN3.png|800px]]

* Cliquer sur "Générique : Unité Organisationnelle" :

[[Fichier:LDAP-PHPLDAPADMIN4.png|800px]]

* Nommer l'Unité Organisationnelle :

[[Fichier:LDAP-PHPLDAPADMIN5.png|800px]]

* Puis cliquer sur "Créer un objet" puis "Valider"

====Créer un groupe Posix====

* Cliquer sur votre Unité Organisationnelle et cliquer sur "Créer une sous-entrée"

[[Fichier:LDAP-PHPLDAPADMIN6.png|800px]]

* Choisir "Générique : Groupe Posix"

[[Fichier:LDAP-PHPLDAPADMIN7.png|800px]]

* Nommer le groupe :

[[Fichier:LDAP-PHPLDAPADMIN8.png|800px]]

* Puis cliquer sur "Créer un objet" puis "Valider"

====Créer un utilisateur====

* Cliquer sur votre groupe Posix et cliquer sur "Créer une sous-entrée"

[[Fichier:LDAP-PHPLDAPADMIN9.png|800px]]

* Choisir "Générique : Compte Utilisateur"

[[Fichier:LDAP-PHPLDAPADMIN10.png|800px]]

* Compléter les champs comme sur la capture (Ne pas compléter les champs "Nom Commun" et "Répertoire personnel" car ils vont s'auto compléter avec les champs "Prénom" et "Nom de famille") :

[[Fichier:LDAP-PHPLDAPADMIN11.png|800px]]

* Puis cliquer sur "Créer un objet" puis "Valider"

=Client=
==Installation==
Installez le paquet '''libnss-ldap''':

$ apt install libnss-ldap

Pendant l'installation il vous sera posé les questions suivantes :

* Identifiant uniforme de ressource (" URI ") du serveur LDAP : `ldap://ldap2.jmador.yo`

'''WARNING: Bien remplacer `ldapi:///` par `ldap://`'''

[[Fichier:LDAP-LIBNSSLDAP1.png|800px]]

* Nom distinctif (DN) de la base de recherche : `dc=jmador,dc=yo`

[[Fichier:LDAP-LIBNSSLDAP2.png|800px]]

* Version de LDAP à utiliser : `3`

[[Fichier:LDAP-LIBNSSLDAP3.png|800px]]

* Compte LDAP pour le superutilisateur (" root ") : `cn=admin,dc=jmador,dc=yo`

[[Fichier:LDAP-LIBNSSLDAP4.png|800px]]

* Mot de passe du compte du superutilisateur LDAP : `[mot de passe admin]`

[[Fichier:LDAP-LIBNSSLDAP5.png|800px]]

* Taper entrée

[[Fichier:LDAP-LIBNSSLDAP6.png|800px]]

* Donner les privilèges de superutilisateur local au compte administrateur LDAP : `Non`

[[Fichier:LDAP-LIBNSSLDAP7.png|800px]]

* La base de données LDAP demande-t-elle une identification : `Non`

[[Fichier:LDAP-LIBNSSLDAP8.png|800px]]

==Configurations==

Modifier le fichier '''/etc/nsswitch.conf'''

passwd: compat ldap
group: compat ldap
shadow: compat ldap
gshadow: files

hosts: files dns ldap
networks: files ldap

protocols: db files
services: db files
ethers: db files
rpc: db files

netgroup: nis

Vérifiez que NSS voit bien ce que fournit LDAP à l'aide '''getent''':

$ getent passwd

Ceci devrait vous montrer les comptes de LDAP qui ne sont pas dans le fichier '''/etc/passwd'''.

Puis redemmarer le service:

$ service nscd restart

Pour permet la création du dossier personnel des utilisateurs LDAP, ajouter dans le fichier '''/etc/pam.d/common-session''' la ligne suivante :

[...]
session required pam_mkhomedir.so

==Configurations Avancées==
Une tâche commune est de restreindre la connexion à un certain groupe LDAP. Avec NIS, vous auriez fait cela en ajustant précautionneusement le fichier /etc/passwd. Avec LDAP, la façon la plus simple de faire est d'utiliser le module pam_access qui est fourni avec libpam-modules.

Ajoutez la ligne suivante au fichier '''/etc/pam.d/common-auth''' :

[...]
account required pam_access.so

Ceci va activer le fichier '''/etc/security/access.conf''', que vous pouvez ajuster comme suit :

[...]
-:ALL EXCEPT root (groupe-famille):ALL

'''Explication:'''

* '''-:ALL''' : Interdire toutes les connexions sur l'ordi
* '''EXCEPT root (groupe-famille)''' : Sauf l'utilisateur '''root''' et le groupe '''groupe-famille'''
* ''':ALL''' : Sur tous les tty (je suis pas sûr)

Ldap - Historique des versions

Ycharbi : Utilisation du modèle "attention" au lieu du code HTML.

Ycharbi : Ycharbi a déplacé la page LDAP vers Ldap sans laisser de redirection : Nom en minuscule afin d'avoir la suggestion dans la barre de recherche

Nmorin le 8 avril 2017 à 19:46

Nmorin : Page créée avec « Ce tuto va traiter : *La mise en place d'un serveur LDAP assisté par [http://phpldapadmin.sourceforge.net/wiki/index.php/Main_Page phpLDAPadmin]. *La mise en place des cl... »

Ycharbi : Utilisation du modèle "attention" au lieu du code HTML.

Ycharbi : Ycharbi a déplacé la page LDAP vers Ldap sans laisser de redirection : Nom en minuscule afin d'avoir la suggestion dans la barre de recherche

Nmorin : Page créée avec « Ce tuto va traiter : La mise en place d'un serveur LDAP assisté par [http://phpldapadmin.sourceforge.net/wiki/index.php/Main_Page phpLDAPadmin]. La mise en place des cl... »