summaryrefslogtreecommitdiffstats
diff options
context:
space:
mode:
authorThomas NOEL <tnoel@entrouvert.com>2015-02-19 16:22:16 (GMT)
committerThomas NOEL <tnoel@entrouvert.com>2015-02-19 16:22:16 (GMT)
commit43efdff7f01d4210c7c75bc14c1e3c81835c52ed (patch)
tree5f9bafbb5b6e58d4ccbc82f0e3e2e375437ed6fe
parent964b84527c2196b2822afdc3cb8d4bd711670da8 (diff)
downloadgi-psl-43efdff7f01d4210c7c75bc14c1e3c81835c52ed.zip
gi-psl-43efdff7f01d4210c7c75bc14c1e3c81835c52ed.tar.gz
gi-psl-43efdff7f01d4210c7c75bc14c1e3c81835c52ed.tar.bz2
installation ldapsaisie (v0)
-rw-r--r--documentation/index.html.build2
-rw-r--r--documentation/installation-ldapsaisie.md143
2 files changed, 144 insertions, 1 deletions
diff --git a/documentation/index.html.build b/documentation/index.html.build
index 4c4467e..73c7a19 100644
--- a/documentation/index.html.build
+++ b/documentation/index.html.build
@@ -15,7 +15,7 @@ cat << EOT
<dl class="doc-index">
EOT
-for MD in architecture.md installation-base.md installation-ldap.md exploitation-ldap.md
+for MD in architecture.md installation-base.md installation-ldap.md exploitation-ldap.md installation-ldapsaisie.md
do
F=`basename $MD .md`
TITLE=`head -1 $F.md | sed 's/.*-- //'`
diff --git a/documentation/installation-ldapsaisie.md b/documentation/installation-ldapsaisie.md
index 1032583..a5a00d5 100644
--- a/documentation/installation-ldapsaisie.md
+++ b/documentation/installation-ldapsaisie.md
@@ -11,6 +11,149 @@ _« Gestion d'identités PSL -- Installation de base »_.
Installation du composant LdapSaisie
====================================
+Installer le paquet `ldapsaisie-supann`:
+
+ # apt-get install ldapsaisie-supann
+
+Cette installation va déclencher l'installation de tous les composants
+logiciels (paquets) nécessaires à la mise en place de l'interface LdapSaisie
+connectable avec un annuaire SUPANN 2009.
+
+La configuration se fait en deux étapes
+
+* configuration du logiciel LdapSaisie proprement dit
+* connexion du logiciel avec le serveur web Apache
+
+Configuration de LdapSaisie
+===========================
+
+Modifier le fichier `/etc/ldapsaisie/local/conf/config.local.inc.php` pour
+faire correspondre les valeurs avec celles de la base créée dans l'annuaire
+LDAP (commande `slapd-supann newdb`).
+
+_Note : les éditeurs vi ou nano sont disponibles pour cela. Si vous êtes
+débutant sous Linux, préférez l'éditeur nano, plus accessible. Vous pouvez
+aussi installer d'autres éditeurs (`apt-get install vim` ou `apt-get instal
+emacs`)_
+
+ # nano /etc/ldapsaisie/local/conf/config.local.inc.php
+
+Le fichier est en PHP, attention à la syntaxe, ne retirez pas de virgule
+ou de paranthèse, etc.
+
+Exemple d'un fichier renseigné :
+
+ <?php
+ /*******************************************************************************
+ * Copyright (C) 2014 Easter-eggs
+ * http://ldapsaisie.labs.libre-entreprise.org
+ *
+ * Author: See AUTHORS file in top-level directory.
+ *
+ * This program is free software; you can redistribute it and/or
+ * modify it under the terms of the GNU General Public License version 2
+ * as published by the Free Software Foundation.
+ *
+ * This program is distributed in the hope that it will be useful,
+ * but WITHOUT ANY WARRANTY; without even the implied warranty of
+ * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
+ * GNU General Public License for more details.
+ *
+ * You should have received a copy of the GNU General Public License
+ * along with this program; if not, write to the Free Software
+ * Foundation, Inc., 59 Temple Place - Suite 330, Boston, MA 02111-1307, USA.
+
+ ******************************************************************************/
+
+ $debug = false;
+
+ $supann_configs = array(
+ array(
+ 'ldap_config' => array(
+ /* adresse IP ou nom DNS du serveur LDAP */
+ 'host' => '192.168.1.2',
+ /* port d'écoute (devrait toujours être 389) */
+ 'port' => 389,
+ /* LDAPv3, ne pas changer */
+ 'version' => 3,
+ /* activation d'une connexion chiffrée TLS. Si true, il faut s'assurer
+ * d'avoir un certificat valide sur le serveur LDAP, sinon ajouter cette
+ * ligne à la fin de /etc/ldap/ldap.conf:
+ * TLS_REQCERT allow
+ */
+ 'starttls' => false,
+
+ /* nom de la base créée avec "newdb" */
+ 'basedn' => 'dc=quelquechose,dc=fr',
+ /* DN de l'administrateur, il faut juste modifier le suffixe dc=... qui
+ * doit être égal à la valeur du basedn précédent */
+ 'binddn' => 'uid=admin,ou=people,dc=quelquechose,dc=fr',
+ /* mot de passe de l'administrateur choisi lors du "newdb" */
+ 'bindpw' => 'as;KUAq*6123',
+
+ /* ne pas toucher si vous ne savez pas ce que vous faîtes ...*/
+ 'options' => array(),
+ 'filter' => '(objectClass=*)',
+ 'scope' => 'sub'
+ ),
+ 'globals' => array(
+ /* indiquer ici le DN de l'entité parente de l'établissement,
+ * par exemple
+ * supannCodeEntite=QUELQUECHOSE,ou=structures,dc=quelquechose,dc=fr
+ * où QUELQUECHOSE est le code choisi lors du "newdb"
+ */
+ 'LS_SUPANN_ETABLISSEMENT_DN' => 'supannCodeEntite=QUELQUECHOSE,ou=structures,dc=quelquechose,dc=fr',
+ /* code UAI indiqué lors du newdb */
+ 'LS_SUPANN_ETABLISSEMENT_UAI' => '{UAI}0610000X',
+ /* nom de domaine pour construire les eduPersonPrincipalName,
+ * qui seront au format login@modifiez-moi.fr */
+ 'LS_SUPANN_EPPN_DOMAIN' => 'quelquechose.fr',
+ ),
+ ),
+ );
+
+La configuration de LdapSaisie, automatiquement modifiée par le paquet
+`ldapsaisie-supann`, est déjà conforme à SUPANN 2009.
+
+Configuration d'Apache2 pour exposer LdapSaisie
+===============================================
+
+Installation d'un certificat pour HTTPS
+---------------------------------------
+
+Connexion au serveur LDAP en SSL/TLS
+====================================
+
+Il est préférable que LdapSaisie se connecte au serveur LDAP en TLS. Pour cela,
+modifier la valeur starttls dans la configuration de LdapSaisie, c'est-à-dire
+la ligne:
+
+ 'starttls' => false,
+
+dans le fichier `/etc/ldapsaisie/local/conf/config.local.inc.php`.
+
+**Attention, le certificat du serveur LDAP doit être valide.** Si ce n'est pas
+le cas (par exemple lors de tests) vous devez modifier la configuration du
+client LDAP du système et lui dire de toujours accepter les certificat. Pour
+ce faire, ajouter la ligne suivante dans `/etc/ldap/ldap.conf`:
+
+ TLS_REQCERT allow
+
+Au final, le fichier `/etc/ldap/ldap.conf` doit ressembler à cela :
+
+ # cat /etc/ldap/ldap.conf
+
+ # Exemple d'un fichier /etc/ldap/ldap.conf·qui accepte
+ # n'importe quel certificat serveur
+
+ # See ldap.conf(5) for details
+ # This file should be world readable but not world writable.
+
+ # TLS certificates (needed for GnuTLS)
+ TLS_CACERT /etc/ssl/certs/ca-certificates.crt
+ TLS_REQCERT allow
+
+
-----
Historique du document