entrouvert
/
gi-psl
Archived
17
0
Fork 0
Code Issues Pull Requests Releases Activity
This repository has been archived on 2023-02-21. You can view files and clone it, but cannot push or open issues or pull requests.
gi-psl/documentation/installation-ldap.md

4.8 KiB
Raw Blame History

% Gestion d'identités PSL -- Installation LDAP % Entr'ouvert SCOP -- http://www.entrouvert.com

Installation du système de base

La procédure décrite dans cette documentation doit être effectuée après l'installation du système de base décrite dans la documentation « Gestion d'identités PSL -- Installation de base ».

Installation du composant LDAP

Installer le paquet slapd-supann:

# apt-get install slapd-supann

Cette installation va déclencher l'installation de tous les composants logiciels (paquets) nécessaires à la mise en place d'un serveur OpenLDAP slapd conforme à la norme SUPANN 2009.

Après la première installation, il faut procéder à la mise à zéro des données et de la configuration de slapd.

Commande slapd-supann

Le pilotage bas niveau du système s'effectue en grande partie via une commande spécifique développée dans le cadre de ce projet: slapd-supann

# slapd-supann help
syntaxe: slapd-supann commande ...

commandes disponibles:
help		cette aide
import		import d'un ou plusieurs fichiers LDIF
metasync	synchronise un annuaire distant dans le méta-annuaire local
newdb		création d'une nouvelle base, avec un nouveau suffixe
reset		mise à zéro complète
restore		restauration des données depuis un répertoire
save		sauvegarde de la configuration et des données

Mise à zéro (reset)

La commande de mise à zéro doit être lancée après l'installation. Elle met à zéro la configuration du LDAP (conformance norme SUPANN 2009) ainsi que toute les données:

# slapd-supann reset

Note : au début de cette opération de mise à zéro le système va demander une confirmation, car toutes les données LDAP vont être effacées, y compris les configurations.

Exemple d'exécution :

# slapd-supann reset

  *************
  *           *   La configuration et toutes les données
  * ATTENTION *   de l'annuaire LDAP vont être définitivement
  *           *   effacées. Avez-vous fait un backup ?
  *************

Confirmez la MISE A ZÉRO COMPLÈTE de l'annuaire LDAP.

Tapez oui en toutes lettres : oui
[ ok ] Stopping OpenLDAP: slapd.
Effacement de la configuration et des données ..ok
Installation de la nouvelle configuration .. 
_#################### 100.00% eta   none elapsed            none fast!         
Closing DB...
ok
Installation des schémas .. 
_#################### 100.00% eta   none elapsed            none fast!         
Closing DB...
_#################### 100.00% eta   none elapsed            none fast!         
Closing DB...
_#################### 100.00% eta   none elapsed            none fast!         
Closing DB...
_#################### 100.00% eta   none elapsed            none fast!         
Closing DB...
_#################### 100.00% eta   none elapsed            none fast!         
Closing DB...
_#################### 100.00% eta   none elapsed            none fast!         
Closing DB...
ok
Pose de certificats SSL par défaut (invalides)
« /usr/share/slapd-supann/ssl.pem » -> « /etc/ldap/ssl/slapd.pem »
« /usr/share/slapd-supann/ssl.key » -> « /etc/ldap/ssl/slapd.key »
ok
[ ok ] Starting OpenLDAP: slapd.
Installation de la racine du méta-annuaire (o=meta) .. 
(add) olcDatabase={2}mdb,cn=config
(add) o=meta
ok
root@ldap1-psl:~#

Installation d'un certificat SSL valide

Note: cette procédure peut être effectuée plus tard, lorsqu'un certificat valide sera nécessaire à la connexion au LDAP. Ce n'est pas nécessaire pour la liaison avec les composants LdapSaisie et IdP de la solution PSL.

Le serveur slapd utilise par défaut des certificats SSL «tests» qui ne seront pas valides en production.

Il faut obtenir un certificat valable auprès de son fournisseur habituel:

  • signé par une autorité reconnue ;
  • dont le nom corresponde au nom de la machine ;
  • avec de bonnes dates de validité.

Ensuite, copier les clés obtenues sur ces emplacements:

  • /etc/ldap/ssl/slapd.pem : certificat (clé publique signée par l'AC)
  • /etc/ldap/ssl/slapd.key : clé privée

Au niveau des droits :

  • /etc/ldap/ssl/slapd.pem doit être lisible par tout utilisateur
  • /etc/ldap/ssl/slapd.key ne doit être lisible que par slapd

Pour cela, utiliser les commandes suivantes :

# chown -R root:openldap /etc/ldap/ssl
# chmod 0755 /etc/ldap/ssl
# chmod 0644 /etc/ldap/ssl/slapd.pem
# chmod 0640 /etc/ldap/ssl/slapd.key

Une fois le certificat et la clé privée installés, il faut relancer le service slapd avec la commande service slapd restart

# service slapd restart
[ ok ] Stopping OpenLDAP: slapd.
[ ok ] Starting OpenLDAP: slapd.
#

Historique du document

20150217 tnoel -- première version