Beruflich Dokumente
Kultur Dokumente
Thme :
Sur Fedora 11
2010-2011
Email : kquenan@yahoo.fr
666
II
PARTIE 1
A Introduction et bref
Installation
historique
du Serveur Openldap
Installation des outille ncessaire pour la configuration ............................... Les outils fournis par . Configuration du serveur Openldap Utilitaire migrationtools
* Installation * configuration
2010-2011
Email : kquenan@yahoo.fr
666
I Introduction :
L'informatique et la gestion de l'information prend une place de plus en plus importante dans Notre socit, particulirement en entreprises. La multiplication des applications et des Serveurs rend cette information difficile matriser car trs volative et parse. Ceci entrane Bien souvent une obsolescence, voire une incohrence des donnes stockes. Les annuaires LDAP offrent une rponse ce problme en proposant de centraliser les Informations et, par le biais d'un protocole standardis, d'y connecter des applications clientes. LDAP et l'acronyme de Lightweight Directory Access Protocol, c'est une version simplifie du Protocole X.500. La configuration mise en uvre dans ce document permettra l'utilisation de l'authentification avec le serveur dauthentification Kerberos.
Pour la ralisation de notre projet nous avons eu besoin de deux stations tournant sous Linux (Fedora 11). LDAP est un protocole bas sur TCP/IP qui permet de partager des bases de donnes d'information sur un rseau (interne ou externe). Ces bases de donnes sont appeles annuaire lectronique (Directory en anglais), elles peuvent contenir tout type d'informations, des informations sur les personnes, des donnes systmes.
Le modle fonctionnel : dfinit les services fournis par l'annuaire (recherche, ajout, ...) Le modle d'information : dfinit le type d'informations stockes Le modle de scurit : dfinit les droits d'accs aux ressources Ces diffrents points seront abords au cours de la formation. Un protocole LDAP signifie "Lightweight Directory Access Protocol". LDAP est un protocole, ce qu'il signifie que son rle est de prsenter des informations. Un serveur LDAP agit en tant qu'intermdiaire entre une source de donnes et un client. Nous verrons qu'en tant qu'intermdiaire il dfinit quelques conventions, notamment Lorganisation des donnes qu'il prsente qui sera sous forme hirarchique, mais aussi un Format d'change standard. LDAP fonctionne sur le port TCP 389 (par dfaut). Organisation des donnes (modle de nommage) Introduction Le modle de nommage est la manire dans la sont organises les donnes dans l'annuaire. Etudions cette organisation plus en dtails... Une reprsentation hirarchique des donnes LDAP organise les donnes de manire hirarchique dans l'annuaire. Ceci signifie que toutes les Informations dcoulent d'une seule et mme "racine". Voici un exemple d'arborescence LDAP :
,...
Cette arborescence est lie au nommage de chaque lment : un lment marque son 2010-2011 Email : kquenan@yahoo.fr Ralis par Qenn kassa
666
Appartenance l'lment suprieur en en reprenant le nom, qu'il complte par le sien. Ainsi, en tudiant simplement le nom de l'lment : "cn=informatique,ou=groups,dc=exauce,dc=com" il est possible de le situer dans la hirarchie : il est situ sous l'lment "ou=groups" qui lui mme est situ sous l'lment "dc=exauce,dc=com".
dn: uid=martymac,ou=users,dc=exauce,dc=com objectClass: account objectClass: ExosixAccount cn: exaucemac uid: exaucemac uidNumber: 10001 gidNumber: 10001 homeDirectory: /home/exaucemac userPassword:: e0NSWVBUfWJjT29IUk5SbG1HbC4= loginShell: /bin/sh gecos: exaucemac description: exaucemac
Ceci correspond une entre complte, extraite par une interrogation de l'annuaire. Le format affich est le format LDIF, nous y reviendrons.
Nous pouvons observer ici des attributs nomms "dn", "objectClass", "cn", "uid", ...
Le format LDIF
Les donnes contenues dans l'annuaire sont prsentes dans un certain format : il s'agit du format LDIF (LDAP Data Inter change Format - RFC 2849). Nous en avons vu un exemple dans le paragraphe prcdent.
Dans ce format, chaque entre constitue un paragraphe, et, au sein de chaque paragraphe, chaque ligne constitue un attribut. Voici un exemple un peu plus complet, incluant le groupe de notre utilisateur :
2010-2011
Email : kquenan@yahoo.fr
666
Nous Mtons y *Openldap* pour install tous les rpm Openldap sans exception
2010-2011
Email : kquenan@yahoo.fr
666
Linstallation des packages qui ncessite la configurions de du serveur LDAP ce sont install avec succs Tous dabord si nous voulons faire lauthentification Ldap par le serveur Kerberos nous avons besoin de configur le DNS primaire si possible le DNS secondaire sur notre machines..
Dans notre test nous disposons dun station tournant sous fedora 11 Grace a Dieu le DNS est dj prs configur sur notre machine donc pas trop de tra-la-la-la.
Editons le fichier /etc/ldap/slapd.conf (fichier de configuration du serveur Ldap) pour y configurer : (a) le nom de domaine ldap (suffix "dc=exauce,dc=com") (b) le nom de l'administrateur (rootdn "cn=admin,dc=exauce,dc=com") (c) et le mot de passe de l'administrateur. Ceci devra tre fait en ajoutant (rootpw xxxx) ou xxxx est le rsultat de la commande slappasswd (cette dernire vous renvoie le mot de passe que vous avez saisi sous forme crypt).
2010-2011
Email : kquenan@yahoo.fr
666
Nous allons modifier les lignes suivantes et fixe notre domaine exauce.com A la suite crypt notre mot de passe..ldap Avant tout tapons sur notre terminal
Il vas nous demand de tapez notre mot de passe que nous voulons bien sur Tapez le mot de passe et confirmons l en suite copions le et le col a la lingne 97 de notre fichier slapd.conf et dcommettez la ligne afin de lactiv et crypt notre mot de passe et modifions ensuite Les lignes 90 , 92 et 124 comme sur la capture
2010-2011
Email : kquenan@yahoo.fr
666
En changer le niveaux dexcution de notre serveur Ldap en tapons comme sur la capture et redmarrons notre serveur Ldap afin quelle puis prendre en compte les modifications comme la dessous.
En suite modifions le fichier ldap.conf qui se trouve dans /etc/openldap/ldap.conf Comme sur la capture
2010-2011
Email : kquenan@yahoo.fr
666
Copion notre base de donne dans /var/lib/ldap comme l-dessous Avant cherchon ou se trouve notre base de donne avec la commande locate
En suite a travers ce chemin copions notre base par defaut Ldap DB_CONFIG Dans /var/lib/ldap comme la dessous
Ensuite donnons les droit decriture et de lecture sur notre base comme si desous
Utilitaire migrationtools
Une fois la configuration minimale oprationnelle, il faut remplir l'annuaire ldap avec par exemple les comptes/informations du serveur. L'ajout d'entres dans la base se fait via des _fichiers textes au format ldif. Ce dernier n'tant pas trs pratique a manipuler, l'utilisation du script /usr/share/migrationtools/migrate_all_online.sh vous permettra d'utiliser une procedure automatique. Dabord install ces packages par defaut il ne viens pas avec les packages openldap donc nous allons proced de la manire comme dabitude avec la commande ftiche yum install
2010-2011
Email : kquenan@yahoo.fr
666
*Configuration
Editons le fichier /etc/migrationtools/migrate common.ph et y modifier les entrees $DEFAULT MAIL DOMAIN et $DEFAULT BASE pour qu'elles soient conformes au nom de notre domaine ldap. Faisons dabord un locate pour voire le chemins ou se trouve notre fichier migrationtools..
Voila notre chemin et essayons de louvrire pour voire le fichier migrate_common.ph sil se trouve bien l
2010-2011
Email : kquenan@yahoo.fr
666
Fichier LDIF
LDAP Data Interchange Format (LDIF), dfinit quont a dj definit plus haut est un format texte Standard qui permet de reprsenter les donnes LDAP. Il a pour vocation de Donner une meilleur lisibilit des donnes. Il est utilise pour importer, exporter ou modifier les donnes de la base et doit obir aux rgles dfinies dans le schma De lannuaire Un fichier LDAP est constitu dune suite dentres spares par un saut de ligne. Le format est le suivant : <attribut> : <valeur> ou le premier attribut dune entre est le DN . crons notre fichier ldif comme sur la capture :
Bigon notre fichier ldif a t bien cre essayons maintenant de voire sont contenu en tapon :
2010-2011
Email : kquenan@yahoo.fr
666
Ajoutons metons un utilisateur dans la base grce au fichier ldif qui nous permet dajout une entr dans la base .. comme la dessous
* -x
Active la simple authentification * -W demande un prompt pour entrer le mot de passe du DN utilise pour la connexion * -D spcifie le DN utilise pour la connexion au serveur LDAP * -f specifie le fichier LDIF contenant les entres a utilis pour lopration
pour voire notre utilisateur ajout en faisons Ldapsearch Et voila notre utilisateur ajout avec la commande ldapadd
Maintenant nous pouvons mme ajout un utilisateur Massamba dans notre annuaire Pour ce faire crons un dossier ou serra loger par dfaut notre users par la commande mkdir
L nous allons utilis a nouveau ces scripts de migration que nous avons d install si rcent sur notre machine et nous allons aussi Cre notre fichier massamba.isi.ldif afin de lajout dans notre base comme la dessous sur les capture
2010-2011
Email : kquenan@yahoo.fr
666
Notre utilisateur a t cre ajout le maintenant dans notre annuaire comme si dessous il nous demandera notre mot de passe Ldap celle que nous avons cre avec la commande slapdpasswrd tapons le comme si dessous.
Ajout avec suce nous pouvons mme ajouter un group pour notre utilisateur comme si dessous
Ajoutons maintenant le group dans notre annuaire .. il nous demandera notre mot de passe Ldap celle que nous avons cre avec la cmd slappdasswrd tapons le comme si dessous
2010-2011
Email : kquenan@yahoo.fr
666
On fixe notre domaine en mode graphique avec la command authenconfig-tui et ont choisi certaines diffrente service dauthentification que nous avons besoin. differente service dauthentification que nous avons besoin.
En la fixe comme la dessous
La en coche avec la touche espace du clavier comme la dessus sur la capture en suite on clic sur suivant La en fixe notre adresse IP pour notre serveur Ldap et notre domaine afin ldap la prend e
2010-2011
Email : kquenan@yahoo.fr
666
La nous allons maintenant redemar notre serveur Ldap par la commande suivant
Sa prend du temps pour redmarr en peut mme y pass toute une ternit
CONFIGURATION KERBEROS
INTRODUCTION INSTALLATION CONFIGURATION CONCLUSION
Kerberos est un protocole d'authentification rseau qui repose sur un mcanisme de cls secrtes (chiffrement symtrique) , de l'utilisation de tickets et non de mots de passe en clair pour viter le risque d'interception frauduleuse des mots de passe des utilisateurs. Cr au Massachusetts Institute of Technology (MIT), il porte le nom grec de Cerbre, gardien des Enfers. Kerberos a d'abord t mis en uvre sur des systmes Unix . INSTALLATION Pour implmenter Kerberos il faut: Etre doter dune machine ayant une mmoire minimal de 156M0 et un disque dur de 10Go Installer linux a vous de choisir la distribution Une connaissance en linux Nous avons besoin des outils ncessaire pour la configuration de notre server kerberos Comme la dessous Yum install krb5-libs krb5-workstation V krb5-server krb5-server-ldap
Modifiez les fichiers de configuration /etc/krb5.conf et /var/kerberos/krb5kdc/kdc.conf afin qu'ils refltent le nom de votre zone (realm) et les mappages domaine-zone. Editons le fichier : vim /etc/krb5.conf
2010-2011
Email : kquenan@yahoo.fr
666
Voila la base de donnes est ainsi cre. Pour le voir on fait un ls du rpertoire /var/kerberos/krb5kdc
On definit les administrateurs de la base de donne kerberos Pour cela ditons : vim /var/kerberos/krb5kdc/kadm5.acl
On ajoute les users (principal) dfinis dans le fichier prcdent. Pour cela excuter sur le KDC pour administrer la base de donne kerberos : kadmin.local il vas nous demand un mot de passe quand nas mit lors de la cration de notre base kerberos
2010-2011
Email : kquenan@yahoo.fr
666
Ajout dun autre utilisateur principal Vrifions les diffrents user en excutant toujours kadmin.local puis listprincs
Dmarrage automatique des services avec des notre stations en marche les service dmarre automatiquement
Pour sauthentifier et obtenir un ticket (certificat didentit), on tape la commande kinit notre utilistateur le notre cest massamba.isi et ensuite en klist -5f
A prsent nous allons modifier le fichier de PAM de manires ce que les utilisateurs se connectent au dmarrage avec leurs comptes kerberos
2010-2011
Email : kquenan@yahoo.fr
666
On modifie les differente ligne pour une question de securit la dessus sur la capture
On fait un vim/etc/openldap/slap.conf pour inclure la ligne du schema de kerberos dans notre fichier slapd.conf
Redmarrons notre systme pour se connecter au dmarrage avec notre compte kerberos en tapon le login De notre utilisteur massamba.isi
2010-2011
Email : kquenan@yahoo.fr
666
Lauthentification sest droule correctement et on saperoit que par la mme occasion lutilisateur toto a obtenu un ticket aprs avoir saisi son login et son mot de passe. NB : nos utilisateur A noter chaque utilisateur doit exister sur ldap.
END
2010-2011
Email : kquenan@yahoo.fr
666