13.3. D�mons et utilitaires d'OpenLDAP
La suite de biblioth�ques et d'outils OpenLDAP est incluse dans les paquetages suivants�:
openldap — Contient les biblioth�ques n�cessaires pour faire fonctionner le serveur OpenLDAP et les applications clientes.
openldap-clients — Contient les outils de ligne de commande pour visualiser et modifier les r�pertoires d'un serveur LDAP.
openldap-servers — Contient les serveurs et autres utilitaires n�cessaires pour configurer et faire fonctionner un serveur LDAP.
Deux serveurs sont contenus dans le paquetage openldap-servers�: le d�mon autonome LDAP (/usr/sbin/slapd) et le d�mon autonome LDAP de r�plication de mise � jour (/usr/sbin/slurpd).
Le d�mon slapd est un serveur LDAP autonome, tandis que le d�mon slurpd sert � synchroniser les changements d'un serveur LDAP vers les autres serveurs LDAP du r�seau. Le d�mon slurpd n'est utilis� que pour des op�rations avec de multiples serveurs LDAP.
Pour effectuer des t�ches administratives, le paquetage openldap-servers installe les utilitaires suivants dans le r�pertoire /usr/sbin/�:
slapadd — Ajoute des entr�es d'un fichier LDIF dans un r�pertoire LDAP. Par exemple, la commande /usr/sbin/slapadd -l ldif-input lit le fichier LDIF ldif-input contenant les nouvelles entr�es.
 | Important |
|---|
| | Seul le super-utilisateur peut utiliser /usr/sbin/slapadd. Toutefois, le serveur de r�pertoires tourne en tant que l'utilisateur ldap. Par cons�quent, le serveur de r�pertoires n'est pas en mesure de modifier un fichier quelconque cr�� par slapadd. Pour r�soudre ce probl�me, apr�s avoir utilis� slapadd, tapez la commande suivante�: chown -R ldap /var/lib/ldap |
|
slapcat — Extrait des donn�es d'un r�pertoire LDAP dans le format par d�faut, � savoir le syst�me Berkeley DB de Sleepycat Software, et les enregistre dans un fichier LDIF. Par exemple, la commande /usr/sbin/slapcat -l ldif-output renvoie un fichier LDIF nomm� ldif-output qui contient les entr�es du r�pertoire LDAP.
slapindex — Indexe � nouveau le r�pertoire slapd sur la base du contenu actuel. Cet outil devrait �tre ex�cut� chaque fois que les options d'indexation de /etc/openldap/slapd.conf sont modifi�es.
slappasswd — Cr�e une valeur pour le mot de passe utilisateur crypt� devant �tre utiliser avec ldapmodify ou la valeur rootpw dans le fichier de configuration de slapd, /etc/openldap/slapd.conf. Ex�cutez la commande /usr/sbin/slappasswd pour cr�er le mot de passe.
 | Avertissement |
|---|
| | Vous devez arr�ter slapd en ex�cutant la commande /sbin/service lapd stop avant d'utiliser slapadd, slapcat ou slapindex. Dans le cas contraire, l'int�grit� du r�pertoire LDAP risque d'�tre compromise. |
Pour obtenir de plus amples informations sur l'utilisation de ces utilitaires, consultez leurs pages de manuel respectives.
Le paquetage openldap-clients installe dans /usr/bin/ des outils permettant d'ajouter, de modifier et de supprimer des entr�es dans un r�pertoire LDAP. Parmi ces outils figurent�:
ldapadd — Ajoute des entr�es dans un r�pertoire LDAP en acceptant la saisie d'entr�es par le biais d'un fichier ou par une saisie standard�; ldapadd est en fait un lien dur vers la commande ldapmodify -a.
ldapdelete — Supprime des entr�es dans un r�pertoire LDAP en acceptant la saisie de l'utilisateur � une invite du shell ou par le biais d'un fichier.
ldapmodify — Modifie les entr�es dans un r�pertoire LDAP, acceptant leur saisie par un fichier ou par une saisie standard.
ldappasswd — D�finit le mot de passe pour un utilisateur LDAP.
ldapsearch — Recherche des entr�es dans un r�pertoire LDAP en utilisant une invite du shell.
� l'exception de la commande ldapsearch, chacun de ces utilitaires est plus facilement utilis� en r�f�rencant un fichier contenant les changements � effectuer plut�t qu'en tapant une commande pour chaque entr�e devant �tre modifi�e dans le r�pertoire LDAP. Le format d'un tel fichier est expliqu� dans les pages de manuel de chaque utilitaire.
13.3.1. NSS, PAM et LDAP
Outre les paquetages OpenLDAP, Red Hat Enterprise Linux comprend un paquetage nomm� nss_ldap qui am�liore la capacit� de LDAP � s'int�grer aussi bien dans un environnement Linux que dans tout autre environnement UNIX.
Le paquetage nss_ldap fournit les modules suivants�:
Le paquetage nss_ldap fournit les modules suivants pour les architectures Itanium ou AMD64�:
Le module libnss_ldap-<glibc-version>.so permet aux applications de rechercher des utilisateurs, des groupes, des h�tes et d'autres informations en utilisant un r�pertoire LDAP via l'interface Nameservice Switch (ou NSS) de glibc (remplacez <glibc-version> par la version de libnss_ldap utilis�e). NSS permet aux applications de s'authentifier en utilisant LDAP de concert avec le service de noms NIS et les fichiers plats d'authentification.
Le module pam_ldap permet aux applications fonctionnant avec PAM d'authentifier les utilisateurs en utilisant les informations stock�es dans un r�pertoire LDAP. Les applications fonctionnant avec PAM comprennent la connexion console, les serveurs de messagerie POP et IMAP ainsi que Samba. En d�ployant un serveur LDAP sur votre r�seau, toutes ces applications peuvent, pour leur authentification, utiliser la m�me combinaison identifiant d'utilisateur/mot de passe, ce qui simplifie consid�rablement l'administration.
Pour obtenir de plus amples informations sur la configuration des PAM, reportez-vous au Chapitre 16 et aux pages de manuel de PAM.
13.3.2. PHP4, LDAP et le Serveur HTTP Apache
Red Hat Enterprise Linux comprend un paquetage avec un module LDAP pour le langage de scripts PHP c�t� serveur.
Le paquetage php-ldap ajoute la prise en charge LDAP au langage de script PHP4 avec int�gration HTML gr�ce au module /usr/lib/php4/ldap.so. Ce module permet aux scripts PHP4 d'acc�der aux informations stock�es dans un r�pertoire LDAP.
Red Hat Enterprise Linux est vendu avec le module mod_authz_ldap pour le Serveur HTTP Apache. Ce module utilise la forme courte du nom distinct d'un sujet et le fournisseur du certificat SSL client afin de d�terminer le nom distinct de l'utilisateur au sein d'un r�pertoire LDAP. Il est �galement capable d'autoriser des utilisateurs selon les attributs de l'entr�e du r�pertoire LDAP de cet utilisateur, en d�terminant l'acc�s aux ressources sur la base des privil�ges dont disposent l'utilisateur et du groupe sur ces derni�res et en refusant l'acc�s aux utilisateurs dont les mots de passe ont expir�. Le module mod_ssl est n�cessaire lorsque le module mod_authz_ldap est utilis�.
| Important |
|---|
| | Le module mod_authz_ldap n'authentifie pas un utilisateur aupr�s d'un r�pertoire LDAP � l'aide d'un mot de passe crypt�. Cette fonctionnalit� est fournie par le module exp�rimental nomm�e mod_auth_ldap qui n'est pas inclus dans Red Hat Enterprise Linux. Pour obtenir de plus amples informations sur le statut de ce module, reportez-vous au site Web de l'organisation Apache Software Foundation � l'adresse suivante�: https://www.apache.org/. |
13.3.3. Applications client LDAP
Il existe des clients LDAP graphiques prennant en charge la cr�ation et la modification de r�pertoires, mais ces applications ne sont pas incluses dans Red Hat Enterprise Linux. C'est le cas de l'application LDAP Browser/Editor (Navigateur/�diteur LDAP) — Cet outil bas� sur Java est disponible en ligne � l'adresse suivante�: https://www.iit.edu/~gawojar/ldap/.
La plupart des autres clients LDAP acc�dent aux r�pertoires en lecture-seule et les utilisent pour r�f�rencer, et non pas modifier, les informations relatives � toute l'entreprise. Parmi ces applications figurent Sendmail, Mozilla, Gnome Meeting et Evolution.
