summaryrefslogtreecommitdiffstats
path: root/documentation/installation-ldap.md
blob: aab3914c46ec6143136a91e8a4da956c23655eab (plain)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
% Gestion d'identités PSL -- Installation LDAP
% Entr'ouvert SCOP -- http://www.entrouvert.com

Installation du système de base
===============================

La procédure décrite dans cette documentation doit être effectuée
après l'installation du système de base décrite dans la documentation
_« Gestion d'identités PSL -- Installation de base »_.

Rappel sur la la synchronisation des horloges
---------------------------------------------

Il est très important de faire en sorte que toutes les machines de la solution
soient à l'heure. C'est par exemple obligatoire pour tout ce qui concerne les
synchronisation LDAP.

Pour cela, vous pouvez installer le paquet `ntp`:

→       # apt-get install ntp

Éventuellement, si vous disposez d'un serveur NTP local, vous pouvez l'indiquer
dans le fichier `/etc/ntp.conf`. Par défaut, `ntp` utilise les serveurs du
projet Debian (`*.debian.pool.ntp.org`).

Note : le paquet `ntp` n'est pas installé par défaut car certains systèmes de
virtualisation peuvent proposer une horloge système déjà synchronisée par la
machine hôte.

Installation du composant LDAP
==============================

Installer le paquet `slapd-supann`:

	# apt-get install slapd-supann

Cette installation va déclencher l'installation de tous les composants
logiciels (paquets) nécessaires à la mise en place d'un serveur OpenLDAP
`slapd` conforme à la norme SUPANN 2009.

**Après la première installation, il faut procéder à la mise à zéro des données
et de la configuration de `slapd`.**


Commande slapd-supann
=====================

Le pilotage bas niveau du système s'effectue en grande partie via une commande
spécifique développée dans le cadre de ce projet: `slapd-supann`

	# slapd-supann help
	syntaxe: slapd-supann commande ...

	commandes disponibles:
	help		cette aide
	import		import d'un ou plusieurs fichiers LDIF
	metasync	synchronise un annuaire distant dans le méta-annuaire local
	newdb		création d'une nouvelle base, avec un nouveau suffixe
	reset		mise à zéro complète
	restore		restauration des données depuis un répertoire
	save		sauvegarde de la configuration et des données


Mise à zéro (_reset_)
=====================

La commande de mise à zéro doit être lancée après l'installation. Elle met à
zéro la configuration du LDAP (conformance norme SUPANN 2009) ainsi que toute
les données:

	# slapd-supann reset

Note : au début de cette opération de mise à zéro le système va demander une
confirmation, car **toutes les données LDAP vont être effacées**, y compris les
configurations.

Exemple d'exécution :

	# slapd-supann reset

	  *************
	  *           *   La configuration et toutes les données
	  * ATTENTION *   de l'annuaire LDAP vont être définitivement
	  *           *   effacées. Avez-vous fait un backup ?
	  *************

	Confirmez la MISE A ZÉRO COMPLÈTE de l'annuaire LDAP.

	Tapez oui en toutes lettres : oui
	[ ok ] Stopping OpenLDAP: slapd.
	Effacement de la configuration et des données ..ok
	Installation de la nouvelle configuration .. 
	_#################### 100.00% eta   none elapsed            none fast!         
	Closing DB...
	ok
	Installation des schémas .. 
	_#################### 100.00% eta   none elapsed            none fast!         
	Closing DB...
	_#################### 100.00% eta   none elapsed            none fast!         
	Closing DB...
	_#################### 100.00% eta   none elapsed            none fast!         
	Closing DB...
	_#################### 100.00% eta   none elapsed            none fast!         
	Closing DB...
	_#################### 100.00% eta   none elapsed            none fast!         
	Closing DB...
	_#################### 100.00% eta   none elapsed            none fast!         
	Closing DB...
	ok
	Pose de certificats SSL par défaut (invalides)
	« /usr/share/slapd-supann/ssl.pem » -> « /etc/ldap/ssl/slapd.pem »
	« /usr/share/slapd-supann/ssl.key » -> « /etc/ldap/ssl/slapd.key »
	ok
	[ ok ] Starting OpenLDAP: slapd.
	Installation de la racine du méta-annuaire (o=meta) .. 
	(add) olcDatabase={2}mdb,cn=config
	(add) o=meta
	ok
	root@ldap1-psl:~# 



Installation d'un certificat SSL valide
=======================================

_Note: cette procédure peut être effectuée plus tard, lorsqu'un certificat
valide sera nécessaire à la connexion au LDAP. Ce n'est pas nécessaire pour la
liaison avec les composants LdapSaisie et IdP de la solution PSL._

Le serveur `slapd` utilise par défaut des certificats SSL «tests» qui ne seront
pas valides en production.

Il faut obtenir un certificat valable auprès de son fournisseur habituel:

* signé par une autorité reconnue ;
* dont le nom corresponde au nom de la machine ;
* avec de bonnes dates de validité.

Ensuite, copier les clés obtenues sur ces emplacements:

* `/etc/ldap/ssl/slapd.pem` : certificat (clé publique signée par l'AC)
* `/etc/ldap/ssl/slapd.key` : clé privée

Au niveau des droits :

* `/etc/ldap/ssl/slapd.pem` doit être lisible par tout utilisateur
* `/etc/ldap/ssl/slapd.key` ne doit être lisible que par `slapd`

Pour cela, utiliser les commandes suivantes :

	# chown -R root:openldap /etc/ldap/ssl
	# chmod 0755 /etc/ldap/ssl
	# chmod 0644 /etc/ldap/ssl/slapd.pem
	# chmod 0640 /etc/ldap/ssl/slapd.key

Une fois le certificat et la clé privée installés, il faut **relancer le service `slapd`** avec la commande `service slapd restart`

	# service slapd restart
	[ ok ] Stopping OpenLDAP: slapd.
	[ ok ] Starting OpenLDAP: slapd.
	#

-----

Historique du document
======================

> 20150217 tnoel -- première version