From 9f6d05ed3ac707d58ac34f94620bdd10302509ae Mon Sep 17 00:00:00 2001 From: Thomas NOEL Date: Wed, 18 Feb 2015 18:40:00 +0100 Subject: [PATCH] doc installation LDAP --- documentation/installation-ldap.md | 130 +++++++++++++++++++++++++++++ 1 file changed, 130 insertions(+) diff --git a/documentation/installation-ldap.md b/documentation/installation-ldap.md index 8a90782..2b052df 100644 --- a/documentation/installation-ldap.md +++ b/documentation/installation-ldap.md @@ -11,6 +11,136 @@ _« Gestion d'identités PSL -- Installation de base »_. Installation du composant LDAP ============================== +Installer le paquet `slapd-supann`: + + # apt-get install slapd-supann + +Cette installation va déclencher l'installation de tous les composants +logiciels (paquets) nécessaires à la mise en place d'un serveur OpenLDAP +`slapd` conforme à la norme SUPANN 2009. + +**Après la première installation, il faut procéder à la mise à zéro des données +et de la configuration de `slapd`.** + + +Commande slapd-supann +===================== + +Le pilotage bas niveau du système s'effectue en grande partie via une commande +spécifique développée dans le cadre de ce projet: `slapd-supann` + + # slapd-supann help + syntaxe: slapd-supann commande ... + + commandes disponibles: + help cette aide + import import d'un ou plusieurs fichiers LDIF + metasync synchronise un annuaire distant dans le méta-annuaire local + newdb création d'une nouvelle base, avec un nouveau suffixe + reset mise à zéro complète + restore restauration des données depuis un répertoire + save sauvegarde de la configuration et des données + + +Mise à zéro (_reset_) +===================== + +La commande de mise à zéro doit être lancée après l'installation. Elle met à +zéro la configuration du LDAP (conformance norme SUPANN 2009) ainsi que toute +les données: + + # slapd-supann reset + +Note : au début de cette opération de mise à zéro le système va demander une +confirmation, car **toutes les données LDAP vont être effacées**, y compris les +configurations. + +Exemple d'exécution : + + # slapd-supann reset + + ************* + * * La configuration et toutes les données + * ATTENTION * de l'annuaire LDAP vont être définitivement + * * effacées. Avez-vous fait un backup ? + ************* + + Confirmez la MISE A ZÉRO COMPLÈTE de l'annuaire LDAP. + + Tapez oui en toutes lettres : oui + [ ok ] Stopping OpenLDAP: slapd. + Effacement de la configuration et des données ..ok + Installation de la nouvelle configuration .. + _#################### 100.00% eta none elapsed none fast! + Closing DB... + ok + Installation des schémas .. + _#################### 100.00% eta none elapsed none fast! + Closing DB... + _#################### 100.00% eta none elapsed none fast! + Closing DB... + _#################### 100.00% eta none elapsed none fast! + Closing DB... + _#################### 100.00% eta none elapsed none fast! + Closing DB... + _#################### 100.00% eta none elapsed none fast! + Closing DB... + _#################### 100.00% eta none elapsed none fast! + Closing DB... + ok + Pose de certificats SSL par défaut (invalides) + « /usr/share/slapd-supann/ssl.pem » -> « /etc/ldap/ssl/slapd.pem » + « /usr/share/slapd-supann/ssl.key » -> « /etc/ldap/ssl/slapd.key » + ok + [ ok ] Starting OpenLDAP: slapd. + Installation de la racine du méta-annuaire (o=meta) .. + (add) olcDatabase={2}mdb,cn=config + (add) o=meta + ok + root@ldap1-psl:~# + + + +Installation d'un certificat SSL valide +======================================= + +_Note: cette procédure peut être effectuée plus tard, lorsqu'un certificat +valide sera nécessaire à la connexion au LDAP. Ce n'est pas nécessaire pour la +liaison avec les composants LdapSaisie et IdP de la solution PSL._ + +Le serveur `slapd` utilise par défaut des certificats SSL «tests» qui ne seront +pas valides en production. + +Il faut obtenir un certificat valable auprès de son fournisseur habituel: + +* signé par une autorité reconnue ; +* dont le nom corresponde au nom de la machine ; +* avec de bonnes dates de validité. + +Ensuite, copier les clés obtenues sur ces emplacements: + +* `/etc/ldap/ssl/slapd.pem` : certificat (clé publique signée par l'AC) +* `/etc/ldap/ssl/slapd.key` : clé privée + +Au niveau des droits : + +* `/etc/ldap/ssl/slapd.pem` doit être lisible par tout utilisateur +* `/etc/ldap/ssl/slapd.key` ne doit être lisible que par `slapd` + +Pour cela, utiliser les commandes suivantes : + + # chown -R root:openldap /etc/ldap/ssl + # chmod 0755 /etc/ldap/ssl + # chmod 0644 /etc/ldap/ssl/slapd.pem + # chmod 0640 /etc/ldap/ssl/slapd.key + +Une fois le certificat et la clé privée installés, il faut **relancer le service `slapd`** avec la commande `service slapd restart` + + # service slapd restart + [ ok ] Stopping OpenLDAP: slapd. + [ ok ] Starting OpenLDAP: slapd. + # + ----- Historique du document