summaryrefslogtreecommitdiffstats
diff options
context:
space:
mode:
authorThomas NOEL <tnoel@entrouvert.com>2015-02-18 17:40:00 (GMT)
committerThomas NOEL <tnoel@entrouvert.com>2015-02-18 17:40:00 (GMT)
commit9f6d05ed3ac707d58ac34f94620bdd10302509ae (patch)
tree24c706365eccf99123bb8e6a37f8643aa5a235f6
parent19a6f887225d8efd3a15e5a2296fa9d792019f0e (diff)
downloadgi-psl-9f6d05ed3ac707d58ac34f94620bdd10302509ae.zip
gi-psl-9f6d05ed3ac707d58ac34f94620bdd10302509ae.tar.gz
gi-psl-9f6d05ed3ac707d58ac34f94620bdd10302509ae.tar.bz2
doc installation LDAP
-rw-r--r--documentation/installation-ldap.md130
1 files changed, 130 insertions, 0 deletions
diff --git a/documentation/installation-ldap.md b/documentation/installation-ldap.md
index 8a90782..2b052df 100644
--- a/documentation/installation-ldap.md
+++ b/documentation/installation-ldap.md
@@ -11,6 +11,136 @@ _« Gestion d'identités PSL -- Installation de base »_.
Installation du composant LDAP
==============================
+Installer le paquet `slapd-supann`:
+
+ # apt-get install slapd-supann
+
+Cette installation va déclencher l'installation de tous les composants
+logiciels (paquets) nécessaires à la mise en place d'un serveur OpenLDAP
+`slapd` conforme à la norme SUPANN 2009.
+
+**Après la première installation, il faut procéder à la mise à zéro des données
+et de la configuration de `slapd`.**
+
+
+Commande slapd-supann
+=====================
+
+Le pilotage bas niveau du système s'effectue en grande partie via une commande
+spécifique développée dans le cadre de ce projet: `slapd-supann`
+
+ # slapd-supann help
+ syntaxe: slapd-supann commande ...
+
+ commandes disponibles:
+ help cette aide
+ import import d'un ou plusieurs fichiers LDIF
+ metasync synchronise un annuaire distant dans le méta-annuaire local
+ newdb création d'une nouvelle base, avec un nouveau suffixe
+ reset mise à zéro complète
+ restore restauration des données depuis un répertoire
+ save sauvegarde de la configuration et des données
+
+
+Mise à zéro (_reset_)
+=====================
+
+La commande de mise à zéro doit être lancée après l'installation. Elle met à
+zéro la configuration du LDAP (conformance norme SUPANN 2009) ainsi que toute
+les données:
+
+ # slapd-supann reset
+
+Note : au début de cette opération de mise à zéro le système va demander une
+confirmation, car **toutes les données LDAP vont être effacées**, y compris les
+configurations.
+
+Exemple d'exécution :
+
+ # slapd-supann reset
+
+ *************
+ * * La configuration et toutes les données
+ * ATTENTION * de l'annuaire LDAP vont être définitivement
+ * * effacées. Avez-vous fait un backup ?
+ *************
+
+ Confirmez la MISE A ZÉRO COMPLÈTE de l'annuaire LDAP.
+
+ Tapez oui en toutes lettres : oui
+ [ ok ] Stopping OpenLDAP: slapd.
+ Effacement de la configuration et des données ..ok
+ Installation de la nouvelle configuration ..
+ _#################### 100.00% eta none elapsed none fast!
+ Closing DB...
+ ok
+ Installation des schémas ..
+ _#################### 100.00% eta none elapsed none fast!
+ Closing DB...
+ _#################### 100.00% eta none elapsed none fast!
+ Closing DB...
+ _#################### 100.00% eta none elapsed none fast!
+ Closing DB...
+ _#################### 100.00% eta none elapsed none fast!
+ Closing DB...
+ _#################### 100.00% eta none elapsed none fast!
+ Closing DB...
+ _#################### 100.00% eta none elapsed none fast!
+ Closing DB...
+ ok
+ Pose de certificats SSL par défaut (invalides)
+ « /usr/share/slapd-supann/ssl.pem » -> « /etc/ldap/ssl/slapd.pem »
+ « /usr/share/slapd-supann/ssl.key » -> « /etc/ldap/ssl/slapd.key »
+ ok
+ [ ok ] Starting OpenLDAP: slapd.
+ Installation de la racine du méta-annuaire (o=meta) ..
+ (add) olcDatabase={2}mdb,cn=config
+ (add) o=meta
+ ok
+ root@ldap1-psl:~#
+
+
+
+Installation d'un certificat SSL valide
+=======================================
+
+_Note: cette procédure peut être effectuée plus tard, lorsqu'un certificat
+valide sera nécessaire à la connexion au LDAP. Ce n'est pas nécessaire pour la
+liaison avec les composants LdapSaisie et IdP de la solution PSL._
+
+Le serveur `slapd` utilise par défaut des certificats SSL «tests» qui ne seront
+pas valides en production.
+
+Il faut obtenir un certificat valable auprès de son fournisseur habituel:
+
+* signé par une autorité reconnue ;
+* dont le nom corresponde au nom de la machine ;
+* avec de bonnes dates de validité.
+
+Ensuite, copier les clés obtenues sur ces emplacements:
+
+* `/etc/ldap/ssl/slapd.pem` : certificat (clé publique signée par l'AC)
+* `/etc/ldap/ssl/slapd.key` : clé privée
+
+Au niveau des droits :
+
+* `/etc/ldap/ssl/slapd.pem` doit être lisible par tout utilisateur
+* `/etc/ldap/ssl/slapd.key` ne doit être lisible que par `slapd`
+
+Pour cela, utiliser les commandes suivantes :
+
+ # chown -R root:openldap /etc/ldap/ssl
+ # chmod 0755 /etc/ldap/ssl
+ # chmod 0644 /etc/ldap/ssl/slapd.pem
+ # chmod 0640 /etc/ldap/ssl/slapd.key
+
+Une fois le certificat et la clé privée installés, il faut **relancer le service `slapd`** avec la commande `service slapd restart`
+
+ # service slapd restart
+ [ ok ] Stopping OpenLDAP: slapd.
+ [ ok ] Starting OpenLDAP: slapd.
+ #
+
-----
Historique du document