installation ldapsaisie (v0)

This commit is contained in:
Thomas NOËL 2015-02-19 17:22:16 +01:00
parent 964b84527c
commit 43efdff7f0
2 changed files with 144 additions and 1 deletions

View File

@ -15,7 +15,7 @@ cat << EOT
<dl class="doc-index">
EOT
for MD in architecture.md installation-base.md installation-ldap.md exploitation-ldap.md
for MD in architecture.md installation-base.md installation-ldap.md exploitation-ldap.md installation-ldapsaisie.md
do
F=`basename $MD .md`
TITLE=`head -1 $F.md | sed 's/.*-- //'`

View File

@ -11,6 +11,149 @@ _« Gestion d'identités PSL -- Installation de base »_.
Installation du composant LdapSaisie
====================================
Installer le paquet `ldapsaisie-supann`:
# apt-get install ldapsaisie-supann
Cette installation va déclencher l'installation de tous les composants
logiciels (paquets) nécessaires à la mise en place de l'interface LdapSaisie
connectable avec un annuaire SUPANN 2009.
La configuration se fait en deux étapes
* configuration du logiciel LdapSaisie proprement dit
* connexion du logiciel avec le serveur web Apache
Configuration de LdapSaisie
===========================
Modifier le fichier `/etc/ldapsaisie/local/conf/config.local.inc.php` pour
faire correspondre les valeurs avec celles de la base créée dans l'annuaire
LDAP (commande `slapd-supann newdb`).
_Note : les éditeurs vi ou nano sont disponibles pour cela. Si vous êtes
débutant sous Linux, préférez l'éditeur nano, plus accessible. Vous pouvez
aussi installer d'autres éditeurs (`apt-get install vim` ou `apt-get instal
emacs`)_
# nano /etc/ldapsaisie/local/conf/config.local.inc.php
Le fichier est en PHP, attention à la syntaxe, ne retirez pas de virgule
ou de paranthèse, etc.
Exemple d'un fichier renseigné :
<?php
/*******************************************************************************
* Copyright (C) 2014 Easter-eggs
* http://ldapsaisie.labs.libre-entreprise.org
*
* Author: See AUTHORS file in top-level directory.
*
* This program is free software; you can redistribute it and/or
* modify it under the terms of the GNU General Public License version 2
* as published by the Free Software Foundation.
*
* This program is distributed in the hope that it will be useful,
* but WITHOUT ANY WARRANTY; without even the implied warranty of
* MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
* GNU General Public License for more details.
*
* You should have received a copy of the GNU General Public License
* along with this program; if not, write to the Free Software
* Foundation, Inc., 59 Temple Place - Suite 330, Boston, MA 02111-1307, USA.
******************************************************************************/
$debug = false;
$supann_configs = array(
array(
'ldap_config' => array(
/* adresse IP ou nom DNS du serveur LDAP */
'host' => '192.168.1.2',
/* port d'écoute (devrait toujours être 389) */
'port' => 389,
/* LDAPv3, ne pas changer */
'version' => 3,
/* activation d'une connexion chiffrée TLS. Si true, il faut s'assurer
* d'avoir un certificat valide sur le serveur LDAP, sinon ajouter cette
* ligne à la fin de /etc/ldap/ldap.conf:
* TLS_REQCERT allow
*/
'starttls' => false,
/* nom de la base créée avec "newdb" */
'basedn' => 'dc=quelquechose,dc=fr',
/* DN de l'administrateur, il faut juste modifier le suffixe dc=... qui
* doit être égal à la valeur du basedn précédent */
'binddn' => 'uid=admin,ou=people,dc=quelquechose,dc=fr',
/* mot de passe de l'administrateur choisi lors du "newdb" */
'bindpw' => 'as;KUAq*6123',
/* ne pas toucher si vous ne savez pas ce que vous faîtes ...*/
'options' => array(),
'filter' => '(objectClass=*)',
'scope' => 'sub'
),
'globals' => array(
/* indiquer ici le DN de l'entité parente de l'établissement,
* par exemple
* supannCodeEntite=QUELQUECHOSE,ou=structures,dc=quelquechose,dc=fr
* où QUELQUECHOSE est le code choisi lors du "newdb"
*/
'LS_SUPANN_ETABLISSEMENT_DN' => 'supannCodeEntite=QUELQUECHOSE,ou=structures,dc=quelquechose,dc=fr',
/* code UAI indiqué lors du newdb */
'LS_SUPANN_ETABLISSEMENT_UAI' => '{UAI}0610000X',
/* nom de domaine pour construire les eduPersonPrincipalName,
* qui seront au format login@modifiez-moi.fr */
'LS_SUPANN_EPPN_DOMAIN' => 'quelquechose.fr',
),
),
);
La configuration de LdapSaisie, automatiquement modifiée par le paquet
`ldapsaisie-supann`, est déjà conforme à SUPANN 2009.
Configuration d'Apache2 pour exposer LdapSaisie
===============================================
Installation d'un certificat pour HTTPS
---------------------------------------
Connexion au serveur LDAP en SSL/TLS
====================================
Il est préférable que LdapSaisie se connecte au serveur LDAP en TLS. Pour cela,
modifier la valeur starttls dans la configuration de LdapSaisie, c'est-à-dire
la ligne:
'starttls' => false,
dans le fichier `/etc/ldapsaisie/local/conf/config.local.inc.php`.
**Attention, le certificat du serveur LDAP doit être valide.** Si ce n'est pas
le cas (par exemple lors de tests) vous devez modifier la configuration du
client LDAP du système et lui dire de toujours accepter les certificat. Pour
ce faire, ajouter la ligne suivante dans `/etc/ldap/ldap.conf`:
TLS_REQCERT allow
Au final, le fichier `/etc/ldap/ldap.conf` doit ressembler à cela :
# cat /etc/ldap/ldap.conf
# Exemple d'un fichier /etc/ldap/ldap.conf·qui accepte
# n'importe quel certificat serveur
# See ldap.conf(5) for details
# This file should be world readable but not world writable.
# TLS certificates (needed for GnuTLS)
TLS_CACERT /etc/ssl/certs/ca-certificates.crt
TLS_REQCERT allow
-----
Historique du document