Red Hat Enterprise Linux 3: Guide de référence | ||
---|---|---|
Précédent | Chapitre 13. Protocole LDAP (Lightweight Directory Access Protocol) | Suivant |
Cette suite de bibliothèques et d'outils OpenLDAP se trouve dans les paquetages suivants :
openldap — Contient les bibliothèques nécessaires pour faire fonctionner le serveur OpenLDAP et les applications clientes.
openldap-clients — Contient les outils de ligne de commande pour visualiser et modifier les répertoires d'un serveur LDAP.
openldap-servers — Contient les serveurs et autres utilitaires nécessaires pour configurer et faire fonctionner un serveur LDAP.
Deux serveurs sont contenus dans le paquetage openldap-servers : le démon autonome LDAP (/usr/sbin/slapd) et le démon autonome LDAP de réplication de mise à jour (/usr/sbin/slurpd).
Le démon slapd est un serveur LDAP autonome, tandis que le démon slurpd sert à synchroniser les changements d'un serveur LDAP vers les autres serveurs LDAP du réseau. Le démon slurpd n'est nécessaire que pour un serveur LDAP multiple.
Pour effectuer des tâches administratives, le paquetage openldap-servers installe les utilitaires suivants dans le répertoire /usr/sbin/ :
slapadd — ajoute des entrées d'un fichier LDIF vers un répertoire LDAP. Par exemple, la commande /usr/sbin/slapadd -l ldif-input lira le fichier LDIF ldif-input contenant les nouvelles entrées.
slapcat — extrait des données d'un répertoire LDAP dans le format par défaut, Berkeley DB, et les enregistre dans un fichier LDIF. Par exemple, la commande /usr/sbin/slapcat -l ldif-output produira un fichier LDIF nommé ldif-output qui contient les entrées du répertoire LDAP. Cette commande fonctionne pour les répertoires créés sous Red Hat Enterprise Linux 3 et Red Hat Linux 9.
slapcat-gdbm — extrait des données d'un répertoire LDAP dans le format gdbm (format par défaut pour les versions précédentes de OpenLDAP) et les enregistre dans un fichier LDIF. Cette commande est fournie uniquement dans le but de migrer un répertoire de OpenLDAP implémenté sous Red Hat Enterprise Linux 2.1 et Red Hat Linux versions 7.x vers la version 8. Reportez-vous à la Section 13.8 pour davantage d'informations sur l'utilisation de cette commande.
slapindex — indexe à nouveau le répertoire slapd à partir du contenu actuel. Cet outil devrait être exécuté chaque fois que les options d'index dans /etc/openldap/slapd.conf sont modifiées.
slappasswd — crée une valeur pour le mot de passe utilisateur crypté à utiliser avec ldapmodify ou la valeur rootpw dans le fichier de configuration de slapd, /etc/openldap/slapd.conf. Exécutez la commande /usr/sbin/slappasswd pour créer le mot de passe.
![]() | Avertissement |
---|---|
Assurez-vous d'avoir arrêté slapd par la commande /sbin/service lapd stop avant d'utiliser slapadd, slapcat ou slapindex. Sinon vous risquez d'endommager votre répertoire LDAP. |
Pour plus d'informations sur l'utilisation de ces utilitaires, consultez les pages de manuel qui y sont consacrées.
Le paquetage openldap-clients installe dans /usr/bin/ des outils permettant d'ajouter, modifier et supprimer des entrées dans un répertoire LDAP. Parmi ces outils se trouvent :
ldapadd — ajoute des entrées dans un répertoire LDAP en acceptant des entrées par un fichier ou par entrée standard ; ldapadd est en fait un lien dur vers la commande ldapmodify -a.
ldapdelete — supprime des entrées dans un répertoire LDAP en acceptant l'action dont l'origine est un fichier ou la saisie de l'utilisateur à une invite du shell.
ldapmodify — modifie les entrées dans un répertoire LDAP, acceptant leur apport par un fichier ou par inscription standard.
ldappasswd — définit le mot de passe pour un utilisateur LDAP.
ldapsearch — recherche des entrées dans un répertoire LDAP par une invite du shell.
À l'exception de la commande ldapsearch, chacun de ces utilitaires est plus facilement utilisé en faisant référence à un fichier contenant les changements à effectuer plutôt que de taper une commande pour chaque entrée que vous désirez changer dans le répertoire LDAP. Le format d'un tel fichier est expliqué dans les pages de manuel relatives à chaque utilitaire.
Outre les paquetages OpenLDAP, Red Hat Enterprise Linux comprend un paquetage nommé nss_ldap qui améliore la capacité de LDAP à s'intégrer aussi bien dans un environnement Linux que tout autre environnement UNIX.
Le paquetage nss_ldap fournit les modules suivants :
/lib/libnss_ldap-<glibc-version>.so
/lib/security/pam_ldap.so
Le module libnss_ldap-<glibc-version>.so permet aux applications de rechercher les utilisateurs, les groupes, les hôtes et d'autres informations en utilisant un répertoire LDAP via l'interface Nameservice Switch (NSS) de glibc (remplacez <glibc-version> par la version de libnss_ldap utilisée). NSS permet l'authentification d'applications en utilisant LDAP avec le service de noms Network Information Service (NIS) et les fichiers simples pour l'authentification.
Le module pam_ldap permet aux applications fonctionnant avec PAM d'authentifier les utilisateurs en utilisant les informations stockées dans un répertoire LDAP. Les applications fonctionnant avec PAM comprennent la connexion de console, les serveurs de mail POP et IMAP et Samba. En déployant un serveur LDAP sur votre réseau, toutes ces applications peuvent, pour leur authentification, utiliser la même combinaison identifiant d'utilisateur/mot de passe, ce qui simplifie considérablement l'administration.
Red Hat Enterprise Linux comprend un paquetage avec un module LDAP pour le langage de scripts PHP côté serveur.
Le paquetage php-ldap ajoute le support LDAP au langage de script PHP4 à HTML intégré grâce au module /usr/lib/php4/ldap.so. Ce module permet aux scripts PHP4 d'accéder aux informations stockées dans une répertoire LDAP.
Red Hat Enterprise Linux est vendu avec le module mod_authz_ldap pour Serveur HTTP Apache. Ce module utilise la forme courte du nom distinct d'un sujet et le fournisseur du certificat SSL client afin de déterminer le nom distinct de l'utilisateur au sein d'un répertoire LDAP. Il est également capable d'autoriser des utilisateurs selon les attributs de l'entrée du répertoire LDAP de cet utilisateur, en déterminant l'accès aux éléments selon les privilèges de l'utilisateur et du groupe sur celui-ci et en refusant l'accès aux utilisateurs dont les mots de passe ont expiré. Le module mod_ssl est requis lors de l'utilisation du module mod_authz_ldap.
![]() | Important |
---|---|
Le module mod_authz_ldap n'authentifie pas un utilisateur sur un répertoire LDAP à l'aide d'un mot de passe crypté. Cette fonctionnalité est fournie par le module expérimental mod_auth_ldap qui n'est pas inclus dans Red Hat Enterprise Linux. Reportez-vous au site Web de Apache Software Foundation à l'adresse suivante : http://www.apache.org/ afin d'obtenir de plus amples informations sur le statut de ce module. |
Il existe des clients LDAP graphiques qui supportent la création et la modification de répertoires, mais ces applications ne sont pas inclues dans Red Hat Enterprise Linux. Un exemple est le Navigateur/éditeur LDAP — cet outil basé sur Java est disponible en ligne à l'adresse suivante : http://www.iit.edu/~gawojar/ldap/.
La plupart des autres clients LDAP accèdent aux répertoires en lecture seule et les utilisent pour référencer, et non pas modifier, les informations sur toute l'entreprise. Parmi ces applications figurent Sendmail, Mozilla, Gnome Meeting et Evolution.
Précédent | Sommaire | Suivant |
Terminologie de LDAP | Niveau supérieur | Fichiers de configuration OpenLDAP |