Sie sind auf Seite 1von 23

Un Peuple + Un But + Une Foi

INSTITUT SUPERIEURE DINFORMATIQUE

Thme :

Sur Fedora 11

Travaille Ralis par lEtudiant : Qenn KASSA


6 66

Encadr par : Massamba L

2010-2011

Email : kquenan@yahoo.fr

Ralis par Qenn kassa

666

II

PARTIE 1

MISE EN OEUVRE DUN SERVEUR LDAP

A Introduction et bref

Installation

historique

du Serveur Openldap

Les concepts du protocole LDAP

Installation des outille ncessaire pour la configuration ............................... Les outils fournis par . Configuration du serveur Openldap Utilitaire migrationtools
* Installation * configuration

Utilitaires OpenLDAP et fichiers LDIF

2010-2011

Email : kquenan@yahoo.fr

Ralis par Qenn kassa

666

I Introduction :

L'informatique et la gestion de l'information prend une place de plus en plus importante dans Notre socit, particulirement en entreprises. La multiplication des applications et des Serveurs rend cette information difficile matriser car trs volative et parse. Ceci entrane Bien souvent une obsolescence, voire une incohrence des donnes stockes. Les annuaires LDAP offrent une rponse ce problme en proposant de centraliser les Informations et, par le biais d'un protocole standardis, d'y connecter des applications clientes. LDAP et l'acronyme de Lightweight Directory Access Protocol, c'est une version simplifie du Protocole X.500. La configuration mise en uvre dans ce document permettra l'utilisation de l'authentification avec le serveur dauthentification Kerberos.

Pour la ralisation de notre projet nous avons eu besoin de deux stations tournant sous Linux (Fedora 11). LDAP est un protocole bas sur TCP/IP qui permet de partager des bases de donnes d'information sur un rseau (interne ou externe). Ces bases de donnes sont appeles annuaire lectronique (Directory en anglais), elles peuvent contenir tout type d'informations, des informations sur les personnes, des donnes systmes.

Concept du serveur LDAP


Quatre modles On a coutume de regrouper les caractristiques et fonctionnalits de l'annuaire LDAP sous la forme de quatre modles : Le modle de nommage : dfinit comment l'information est stocke et organise
2010-2011 Email : kquenan@yahoo.fr Ralis par Qenn kassa
666

Le modle fonctionnel : dfinit les services fournis par l'annuaire (recherche, ajout, ...) Le modle d'information : dfinit le type d'informations stockes Le modle de scurit : dfinit les droits d'accs aux ressources Ces diffrents points seront abords au cours de la formation. Un protocole LDAP signifie "Lightweight Directory Access Protocol". LDAP est un protocole, ce qu'il signifie que son rle est de prsenter des informations. Un serveur LDAP agit en tant qu'intermdiaire entre une source de donnes et un client. Nous verrons qu'en tant qu'intermdiaire il dfinit quelques conventions, notamment Lorganisation des donnes qu'il prsente qui sera sous forme hirarchique, mais aussi un Format d'change standard. LDAP fonctionne sur le port TCP 389 (par dfaut). Organisation des donnes (modle de nommage) Introduction Le modle de nommage est la manire dans la sont organises les donnes dans l'annuaire. Etudions cette organisation plus en dtails... Une reprsentation hirarchique des donnes LDAP organise les donnes de manire hirarchique dans l'annuaire. Ceci signifie que toutes les Informations dcoulent d'une seule et mme "racine". Voici un exemple d'arborescence LDAP :
,...

Cette arborescence est lie au nommage de chaque lment : un lment marque son 2010-2011 Email : kquenan@yahoo.fr Ralis par Qenn kassa
666

Appartenance l'lment suprieur en en reprenant le nom, qu'il complte par le sien. Ainsi, en tudiant simplement le nom de l'lment : "cn=informatique,ou=groups,dc=exauce,dc=com" il est possible de le situer dans la hirarchie : il est situ sous l'lment "ou=groups" qui lui mme est situ sous l'lment "dc=exauce,dc=com".

Les donnes contenues dans l'annuaire (modle d'information)


Les attributs
Un attribut est une valeur contenue dans une entre. Une entre peut bien entendu contenir plusieurs attributs. Prenons l'exemple de l'entre LDAP complte d'un compte utilisateur EXOSIC

dn: uid=martymac,ou=users,dc=exauce,dc=com objectClass: account objectClass: ExosixAccount cn: exaucemac uid: exaucemac uidNumber: 10001 gidNumber: 10001 homeDirectory: /home/exaucemac userPassword:: e0NSWVBUfWJjT29IUk5SbG1HbC4= loginShell: /bin/sh gecos: exaucemac description: exaucemac

Ceci correspond une entre complte, extraite par une interrogation de l'annuaire. Le format affich est le format LDIF, nous y reviendrons.
Nous pouvons observer ici des attributs nomms "dn", "objectClass", "cn", "uid", ...
Le format LDIF

Les donnes contenues dans l'annuaire sont prsentes dans un certain format : il s'agit du format LDIF (LDAP Data Inter change Format - RFC 2849). Nous en avons vu un exemple dans le paragraphe prcdent.

Dans ce format, chaque entre constitue un paragraphe, et, au sein de chaque paragraphe, chaque ligne constitue un attribut. Voici un exemple un peu plus complet, incluant le groupe de notre utilisateur :

2010-2011

Email : kquenan@yahoo.fr

Ralis par Qenn kassa

666

Installation des outille ncessaire pour la configuration De Ldap


Tout d'abord, pour installer le serveur OpenLDAP nous avons besoin des diffrente packages contenant les daemon serveur slapd et le paquet ldaputils, un paquet contenant des utilitaires de gestion de LDAP pour ce faire nous allons proced de manier suivante : Vrifions les package de openldap si sont prs install sur notre machine par la commande rpm qa | grep openldap Tapons sur notre terminal en mode super utilisateur <root>. Nous constatons que tous les packages ne sont pas install, nous allons les install en ligne avec lutilitaire yum qui nous permet dinstall les packages en lignes depuis les dpts. Pour ce faire il faut avoir une connexion Ethernet . Nous allons procder de la manire suivante comme la dessous sur la capture :
2010-2011 Email : kquenan@yahoo.fr Ralis par Qenn kassa
666

Nous Mtons y *Openldap* pour install tous les rpm Openldap sans exception

2010-2011

Email : kquenan@yahoo.fr

Ralis par Qenn kassa

666

Linstallation des packages qui ncessite la configurions de du serveur LDAP ce sont install avec succs Tous dabord si nous voulons faire lauthentification Ldap par le serveur Kerberos nous avons besoin de configur le DNS primaire si possible le DNS secondaire sur notre machines..

Configuration du serveur DNS Primaire

Dans notre test nous disposons dun station tournant sous fedora 11 Grace a Dieu le DNS est dj prs configur sur notre machine donc pas trop de tra-la-la-la.

Configuration du serveur Openldap

Editons le fichier /etc/ldap/slapd.conf (fichier de configuration du serveur Ldap) pour y configurer : (a) le nom de domaine ldap (suffix "dc=exauce,dc=com") (b) le nom de l'administrateur (rootdn "cn=admin,dc=exauce,dc=com") (c) et le mot de passe de l'administrateur. Ceci devra tre fait en ajoutant (rootpw xxxx) ou xxxx est le rsultat de la commande slappasswd (cette dernire vous renvoie le mot de passe que vous avez saisi sous forme crypt).

Voici notre fichier slapd.conf a ltat initial :

2010-2011

Email : kquenan@yahoo.fr

Ralis par Qenn kassa

666

Nous allons modifier les lignes suivantes et fixe notre domaine exauce.com A la suite crypt notre mot de passe..ldap Avant tout tapons sur notre terminal

Il vas nous demand de tapez notre mot de passe que nous voulons bien sur Tapez le mot de passe et confirmons l en suite copions le et le col a la lingne 97 de notre fichier slapd.conf et dcommettez la ligne afin de lactiv et crypt notre mot de passe et modifions ensuite Les lignes 90 , 92 et 124 comme sur la capture

2010-2011

Email : kquenan@yahoo.fr

Ralis par Qenn kassa

666

En changer le niveaux dexcution de notre serveur Ldap en tapons comme sur la capture et redmarrons notre serveur Ldap afin quelle puis prendre en compte les modifications comme la dessous.

En suite modifions le fichier ldap.conf qui se trouve dans /etc/openldap/ldap.conf Comme sur la capture

2010-2011

Email : kquenan@yahoo.fr

Ralis par Qenn kassa

666

Copion notre base de donne dans /var/lib/ldap comme l-dessous Avant cherchon ou se trouve notre base de donne avec la commande locate

En suite a travers ce chemin copions notre base par defaut Ldap DB_CONFIG Dans /var/lib/ldap comme la dessous

Ensuite donnons les droit decriture et de lecture sur notre base comme si desous

Utilitaire migrationtools
Une fois la configuration minimale oprationnelle, il faut remplir l'annuaire ldap avec par exemple les comptes/informations du serveur. L'ajout d'entres dans la base se fait via des _fichiers textes au format ldif. Ce dernier n'tant pas trs pratique a manipuler, l'utilisation du script /usr/share/migrationtools/migrate_all_online.sh vous permettra d'utiliser une procedure automatique. Dabord install ces packages par defaut il ne viens pas avec les packages openldap donc nous allons proced de la manire comme dabitude avec la commande ftiche yum install

2010-2011

Email : kquenan@yahoo.fr

Ralis par Qenn kassa

666

*Configuration
Editons le fichier /etc/migrationtools/migrate common.ph et y modifier les entrees $DEFAULT MAIL DOMAIN et $DEFAULT BASE pour qu'elles soient conformes au nom de notre domaine ldap. Faisons dabord un locate pour voire le chemins ou se trouve notre fichier migrationtools..

Voila notre chemin et essayons de louvrire pour voire le fichier migrate_common.ph sil se trouve bien l

Editons le maintenant comme l-dessous

Voila nous allons changer DEFAULT_DOMAINE ET DEFAULT_BAS

2010-2011

Email : kquenan@yahoo.fr

Ralis par Qenn kassa

666

Fichier LDIF
LDAP Data Interchange Format (LDIF), dfinit quont a dj definit plus haut est un format texte Standard qui permet de reprsenter les donnes LDAP. Il a pour vocation de Donner une meilleur lisibilit des donnes. Il est utilise pour importer, exporter ou modifier les donnes de la base et doit obir aux rgles dfinies dans le schma De lannuaire Un fichier LDAP est constitu dune suite dentres spares par un saut de ligne. Le format est le suivant : <attribut> : <valeur> ou le premier attribut dune entre est le DN . crons notre fichier ldif comme sur la capture :

Bigon notre fichier ldif a t bien cre essayons maintenant de voire sont contenu en tapon :

Voila maintenant ce que contient notre fichier exauce.ldif

2010-2011

Email : kquenan@yahoo.fr

Ralis par Qenn kassa

666

Ajoutons metons un utilisateur dans la base grce au fichier ldif qui nous permet dajout une entr dans la base .. comme la dessous

Notre entr a t ajouter avec succe Ici nous mettons


2010-2011 Email : kquenan@yahoo.fr Ralis par Qenn kassa
666

* -x

Active la simple authentification * -W demande un prompt pour entrer le mot de passe du DN utilise pour la connexion * -D spcifie le DN utilise pour la connexion au serveur LDAP * -f specifie le fichier LDIF contenant les entres a utilis pour lopration

pour voire notre utilisateur ajout en faisons Ldapsearch Et voila notre utilisateur ajout avec la commande ldapadd

Maintenant nous pouvons mme ajout un utilisateur Massamba dans notre annuaire Pour ce faire crons un dossier ou serra loger par dfaut notre users par la commande mkdir

Ajoutons maintenant notre utilisateur

Donnons maintenant un mot de passe a notre utilisateur Massamba

L nous allons utilis a nouveau ces scripts de migration que nous avons d install si rcent sur notre machine et nous allons aussi Cre notre fichier massamba.isi.ldif afin de lajout dans notre base comme la dessous sur les capture

2010-2011

Email : kquenan@yahoo.fr

Ralis par Qenn kassa

666

Voila notre fichier massamba.isi.ldif a t cre

Et faisons encore un cat pour voire son contenu

Notre utilisateur a t cre ajout le maintenant dans notre annuaire comme si dessous il nous demandera notre mot de passe Ldap celle que nous avons cre avec la commande slapdpasswrd tapons le comme si dessous.

Ajout avec suce nous pouvons mme ajouter un group pour notre utilisateur comme si dessous

La en redirige notre groupe pour massamba

Ajoutons maintenant le group dans notre annuaire .. il nous demandera notre mot de passe Ldap celle que nous avons cre avec la cmd slappdasswrd tapons le comme si dessous

2010-2011

Email : kquenan@yahoo.fr

Ralis par Qenn kassa

666

On fixe notre domaine en mode graphique avec la command authenconfig-tui et ont choisi certaines diffrente service dauthentification que nous avons besoin. differente service dauthentification que nous avons besoin.
En la fixe comme la dessous

La en coche avec la touche espace du clavier comme la dessus sur la capture en suite on clic sur suivant La en fixe notre adresse IP pour notre serveur Ldap et notre domaine afin ldap la prend e

En fait un geten passwd pour voire notre user et son passwd

2010-2011

Email : kquenan@yahoo.fr

Ralis par Qenn kassa

666

La nous allons maintenant redemar notre serveur Ldap par la commande suivant

Sa prend du temps pour redmarr en peut mme y pass toute une ternit

Voila notre serveur qui redemar aprs 5h gloire a Dieu.

CONFIGURATION KERBEROS
INTRODUCTION INSTALLATION CONFIGURATION CONCLUSION

INTRODUCTION 2010-2011 Email : kquenan@yahoo.fr Ralis par Qenn kassa


666

Kerberos est un protocole d'authentification rseau qui repose sur un mcanisme de cls secrtes (chiffrement symtrique) , de l'utilisation de tickets et non de mots de passe en clair pour viter le risque d'interception frauduleuse des mots de passe des utilisateurs. Cr au Massachusetts Institute of Technology (MIT), il porte le nom grec de Cerbre, gardien des Enfers. Kerberos a d'abord t mis en uvre sur des systmes Unix . INSTALLATION Pour implmenter Kerberos il faut: Etre doter dune machine ayant une mmoire minimal de 156M0 et un disque dur de 10Go Installer linux a vous de choisir la distribution Une connaissance en linux Nous avons besoin des outils ncessaire pour la configuration de notre server kerberos Comme la dessous Yum install krb5-libs krb5-workstation V krb5-server krb5-server-ldap

Modifiez les fichiers de configuration /etc/krb5.conf et /var/kerberos/krb5kdc/kdc.conf afin qu'ils refltent le nom de votre zone (realm) et les mappages domaine-zone. Editons le fichier : vim /etc/krb5.conf

Ensuite en edite le fichier kdc.conf : vim /var/kerberos/krb5kdc/kdc.conf

2010-2011

Email : kquenan@yahoo.fr

Ralis par Qenn kassa

666

Ensuite on passe la cration de la base de donnes Kerberos en excutant : /usr/kerberos/sbin/kdb5_util create s

Voila la base de donnes est ainsi cre. Pour le voir on fait un ls du rpertoire /var/kerberos/krb5kdc

On definit les administrateurs de la base de donne kerberos Pour cela ditons : vim /var/kerberos/krb5kdc/kadm5.acl

On ajoute les users (principal) dfinis dans le fichier prcdent. Pour cela excuter sur le KDC pour administrer la base de donne kerberos : kadmin.local il vas nous demand un mot de passe quand nas mit lors de la cration de notre base kerberos

2010-2011

Email : kquenan@yahoo.fr

Ralis par Qenn kassa

666

Ajout dun autre utilisateur principal Vrifions les diffrents user en excutant toujours kadmin.local puis listprincs

On redmarre les services krb5kdc et kadmin

Dmarrage automatique des services avec des notre stations en marche les service dmarre automatiquement

Pour sauthentifier et obtenir un ticket (certificat didentit), on tape la commande kinit notre utilistateur le notre cest massamba.isi et ensuite en klist -5f

A prsent nous allons modifier le fichier de PAM de manires ce que les utilisateurs se connectent au dmarrage avec leurs comptes kerberos

2010-2011

Email : kquenan@yahoo.fr

Ralis par Qenn kassa

666

On modifie les differente ligne pour une question de securit la dessus sur la capture

On copie le schma de kerberos dans le schma de ldap

On fait un vim/etc/openldap/slap.conf pour inclure la ligne du schema de kerberos dans notre fichier slapd.conf

Redmarrons notre systme pour se connecter au dmarrage avec notre compte kerberos en tapon le login De notre utilisteur massamba.isi

2010-2011

Email : kquenan@yahoo.fr

Ralis par Qenn kassa

666

Lauthentification sest droule correctement et on saperoit que par la mme occasion lutilisateur toto a obtenu un ticket aprs avoir saisi son login et son mot de passe. NB : nos utilisateur A noter chaque utilisateur doit exister sur ldap.

END

2010-2011

Email : kquenan@yahoo.fr

Ralis par Qenn kassa

666

Das könnte Ihnen auch gefallen