doc installation LDAP

This commit is contained in:
Thomas NOËL 2015-02-18 18:40:00 +01:00
parent 19a6f88722
commit 9f6d05ed3a
1 changed files with 130 additions and 0 deletions

View File

@ -11,6 +11,136 @@ _« Gestion d'identités PSL -- Installation de base »_.
Installation du composant LDAP
==============================
Installer le paquet `slapd-supann`:
# apt-get install slapd-supann
Cette installation va déclencher l'installation de tous les composants
logiciels (paquets) nécessaires à la mise en place d'un serveur OpenLDAP
`slapd` conforme à la norme SUPANN 2009.
**Après la première installation, il faut procéder à la mise à zéro des données
et de la configuration de `slapd`.**
Commande slapd-supann
=====================
Le pilotage bas niveau du système s'effectue en grande partie via une commande
spécifique développée dans le cadre de ce projet: `slapd-supann`
# slapd-supann help
syntaxe: slapd-supann commande ...
commandes disponibles:
help cette aide
import import d'un ou plusieurs fichiers LDIF
metasync synchronise un annuaire distant dans le méta-annuaire local
newdb création d'une nouvelle base, avec un nouveau suffixe
reset mise à zéro complète
restore restauration des données depuis un répertoire
save sauvegarde de la configuration et des données
Mise à zéro (_reset_)
=====================
La commande de mise à zéro doit être lancée après l'installation. Elle met à
zéro la configuration du LDAP (conformance norme SUPANN 2009) ainsi que toute
les données:
# slapd-supann reset
Note : au début de cette opération de mise à zéro le système va demander une
confirmation, car **toutes les données LDAP vont être effacées**, y compris les
configurations.
Exemple d'exécution :
# slapd-supann reset
*************
* * La configuration et toutes les données
* ATTENTION * de l'annuaire LDAP vont être définitivement
* * effacées. Avez-vous fait un backup ?
*************
Confirmez la MISE A ZÉRO COMPLÈTE de l'annuaire LDAP.
Tapez oui en toutes lettres : oui
[ ok ] Stopping OpenLDAP: slapd.
Effacement de la configuration et des données ..ok
Installation de la nouvelle configuration ..
_#################### 100.00% eta none elapsed none fast!
Closing DB...
ok
Installation des schémas ..
_#################### 100.00% eta none elapsed none fast!
Closing DB...
_#################### 100.00% eta none elapsed none fast!
Closing DB...
_#################### 100.00% eta none elapsed none fast!
Closing DB...
_#################### 100.00% eta none elapsed none fast!
Closing DB...
_#################### 100.00% eta none elapsed none fast!
Closing DB...
_#################### 100.00% eta none elapsed none fast!
Closing DB...
ok
Pose de certificats SSL par défaut (invalides)
« /usr/share/slapd-supann/ssl.pem » -> « /etc/ldap/ssl/slapd.pem »
« /usr/share/slapd-supann/ssl.key » -> « /etc/ldap/ssl/slapd.key »
ok
[ ok ] Starting OpenLDAP: slapd.
Installation de la racine du méta-annuaire (o=meta) ..
(add) olcDatabase={2}mdb,cn=config
(add) o=meta
ok
root@ldap1-psl:~#
Installation d'un certificat SSL valide
=======================================
_Note: cette procédure peut être effectuée plus tard, lorsqu'un certificat
valide sera nécessaire à la connexion au LDAP. Ce n'est pas nécessaire pour la
liaison avec les composants LdapSaisie et IdP de la solution PSL._
Le serveur `slapd` utilise par défaut des certificats SSL «tests» qui ne seront
pas valides en production.
Il faut obtenir un certificat valable auprès de son fournisseur habituel:
* signé par une autorité reconnue ;
* dont le nom corresponde au nom de la machine ;
* avec de bonnes dates de validité.
Ensuite, copier les clés obtenues sur ces emplacements:
* `/etc/ldap/ssl/slapd.pem` : certificat (clé publique signée par l'AC)
* `/etc/ldap/ssl/slapd.key` : clé privée
Au niveau des droits :
* `/etc/ldap/ssl/slapd.pem` doit être lisible par tout utilisateur
* `/etc/ldap/ssl/slapd.key` ne doit être lisible que par `slapd`
Pour cela, utiliser les commandes suivantes :
# chown -R root:openldap /etc/ldap/ssl
# chmod 0755 /etc/ldap/ssl
# chmod 0644 /etc/ldap/ssl/slapd.pem
# chmod 0640 /etc/ldap/ssl/slapd.key
Une fois le certificat et la clé privée installés, il faut **relancer le service `slapd`** avec la commande `service slapd restart`
# service slapd restart
[ ok ] Stopping OpenLDAP: slapd.
[ ok ] Starting OpenLDAP: slapd.
#
-----
Historique du document