4.8 KiB
% Gestion d'identités PSL -- Installation LDAP % Entr'ouvert SCOP -- http://www.entrouvert.com
Installation du système de base
La procédure décrite dans cette documentation doit être effectuée après l'installation du système de base décrite dans la documentation « Gestion d'identités PSL -- Installation de base ».
Installation du composant LDAP
Installer le paquet slapd-supann
:
# apt-get install slapd-supann
Cette installation va déclencher l'installation de tous les composants
logiciels (paquets) nécessaires à la mise en place d'un serveur OpenLDAP
slapd
conforme à la norme SUPANN 2009.
Après la première installation, il faut procéder à la mise à zéro des données
et de la configuration de slapd
.
Commande slapd-supann
Le pilotage bas niveau du système s'effectue en grande partie via une commande
spécifique développée dans le cadre de ce projet: slapd-supann
# slapd-supann help
syntaxe: slapd-supann commande ...
commandes disponibles:
help cette aide
import import d'un ou plusieurs fichiers LDIF
metasync synchronise un annuaire distant dans le méta-annuaire local
newdb création d'une nouvelle base, avec un nouveau suffixe
reset mise à zéro complète
restore restauration des données depuis un répertoire
save sauvegarde de la configuration et des données
Mise à zéro (reset)
La commande de mise à zéro doit être lancée après l'installation. Elle met à zéro la configuration du LDAP (conformance norme SUPANN 2009) ainsi que toute les données:
# slapd-supann reset
Note : au début de cette opération de mise à zéro le système va demander une confirmation, car toutes les données LDAP vont être effacées, y compris les configurations.
Exemple d'exécution :
# slapd-supann reset
*************
* * La configuration et toutes les données
* ATTENTION * de l'annuaire LDAP vont être définitivement
* * effacées. Avez-vous fait un backup ?
*************
Confirmez la MISE A ZÉRO COMPLÈTE de l'annuaire LDAP.
Tapez oui en toutes lettres : oui
[ ok ] Stopping OpenLDAP: slapd.
Effacement de la configuration et des données ..ok
Installation de la nouvelle configuration ..
_#################### 100.00% eta none elapsed none fast!
Closing DB...
ok
Installation des schémas ..
_#################### 100.00% eta none elapsed none fast!
Closing DB...
_#################### 100.00% eta none elapsed none fast!
Closing DB...
_#################### 100.00% eta none elapsed none fast!
Closing DB...
_#################### 100.00% eta none elapsed none fast!
Closing DB...
_#################### 100.00% eta none elapsed none fast!
Closing DB...
_#################### 100.00% eta none elapsed none fast!
Closing DB...
ok
Pose de certificats SSL par défaut (invalides)
« /usr/share/slapd-supann/ssl.pem » -> « /etc/ldap/ssl/slapd.pem »
« /usr/share/slapd-supann/ssl.key » -> « /etc/ldap/ssl/slapd.key »
ok
[ ok ] Starting OpenLDAP: slapd.
Installation de la racine du méta-annuaire (o=meta) ..
(add) olcDatabase={2}mdb,cn=config
(add) o=meta
ok
root@ldap1-psl:~#
Installation d'un certificat SSL valide
Note: cette procédure peut être effectuée plus tard, lorsqu'un certificat valide sera nécessaire à la connexion au LDAP. Ce n'est pas nécessaire pour la liaison avec les composants LdapSaisie et IdP de la solution PSL.
Le serveur slapd
utilise par défaut des certificats SSL «tests» qui ne seront
pas valides en production.
Il faut obtenir un certificat valable auprès de son fournisseur habituel:
- signé par une autorité reconnue ;
- dont le nom corresponde au nom de la machine ;
- avec de bonnes dates de validité.
Ensuite, copier les clés obtenues sur ces emplacements:
/etc/ldap/ssl/slapd.pem
: certificat (clé publique signée par l'AC)/etc/ldap/ssl/slapd.key
: clé privée
Au niveau des droits :
/etc/ldap/ssl/slapd.pem
doit être lisible par tout utilisateur/etc/ldap/ssl/slapd.key
ne doit être lisible que parslapd
Pour cela, utiliser les commandes suivantes :
# chown -R root:openldap /etc/ldap/ssl
# chmod 0755 /etc/ldap/ssl
# chmod 0644 /etc/ldap/ssl/slapd.pem
# chmod 0640 /etc/ldap/ssl/slapd.key
Une fois le certificat et la clé privée installés, il faut relancer le service slapd
avec la commande service slapd restart
# service slapd restart
[ ok ] Stopping OpenLDAP: slapd.
[ ok ] Starting OpenLDAP: slapd.
#
Historique du document
20150217 tnoel -- première version