Un Peuple + Un But + Une Foi

INSTITUT SUPERIEURE D’INFORMATIQUE

Thème :

Sur Fedora 11

Travaille Réalisé par l’Etudiant : Qenân KASSA
6 66

Encadré par : Massamba Lô

2010-2011

Email : kquenan@yahoo.fr

Réalisé par Qenân kassa

666

II

PARTIE 1

MISE EN OEUVRE D’UN SERVEUR LDAP

A Introduction et bref

Installation

historique

du Serveur Openldap

□ Les concepts du protocole LDAP

□ Installation des outille nécessaire pour la configuration ............................... □ Les outils fournis par ………………………………………………. □ Configuration du serveur Openldap………………………………… □Utilitaire migrationtools………………………………………………
* Installation * configuration

□ Utilitaires OpenLDAP et fichiers LDIF

2010-2011

Email : kquenan@yahoo.fr

Réalisé par Qenân kassa

666

2

I Introduction :

L'informatique et la gestion de l'information prend une place de plus en plus importante dans Notre société, particulièrement en entreprises. La multiplication des applications et des Serveurs rend cette information difficile à maîtriser car très volative et éparse. Ceci entraîne Bien souvent une obsolescence, voire une incohérence des données stockées. Les annuaires LDAP offrent une réponse à ce problème en proposant de centraliser les Informations et, par le biais d'un protocole standardisé, d'y connecter des applications clientes. LDAP et l'acronyme de Lightweight Directory Access Protocol, c'est une version simplifiée du Protocole X.500. La configuration mise en œuvre dans ce document permettra l'utilisation de l'authentification avec le serveur d’authentification Kerberos.

Pour la réalisation de notre projet nous avons eu besoin de deux stations tournant sous Linux (Fedora 11). LDAP est un protocole basé sur TCP/IP qui permet de partager des bases de données d'information sur un réseau (interne ou externe). Ces bases de données sont appelées annuaire électronique (Directory en anglais), elles peuvent contenir tout type d'informations, des informations sur les personnes, à des données systèmes.

 Concept du serveur LDAP
Quatre modèles On a coutume de regrouper les caractéristiques et fonctionnalités de l'annuaire LDAP sous la forme de quatre modèles : • Le modèle de nommage : définit comment l'information est stockée et organisée
2010-2011 Email : kquenan@yahoo.fr Réalisé par Qenân kassa
666

• Le modèle fonctionnel : définit les services fournis par l'annuaire (recherche, ajout, ...) • Le modèle d'information : définit le type d'informations stockées • Le modèle de sécurité : définit les droits d'accès aux ressources Ces différents points seront abordés au cours de la formation. Un protocole LDAP signifie "Lightweight Directory Access Protocol". LDAP est un protocole, ce qu'il signifie que son rôle est de présenter des informations. Un serveur LDAP agit en tant qu'intermédiaire entre une source de données et un client. Nous verrons qu'en tant qu'intermédiaire il définit quelques conventions, notamment L’organisation des données qu'il présente qui sera sous forme hiérarchique, mais aussi un Format d'échange standard. LDAP fonctionne sur le port TCP 389 (par défaut). Organisation des données (modèle de nommage) Introduction Le modèle de nommage est la manière dans la sont organisées les données dans l'annuaire. Etudions cette organisation plus en détails... Une représentation hiérarchique des données LDAP organise les données de manière hiérarchique dans l'annuaire. Ceci signifie que toutes les Informations découlent d'une seule et même "racine". Voici un exemple d'arborescence LDAP :
,...

Cette arborescence est liée au nommage de chaque élément : un élément marque son 2010-2011 Email : kquenan@yahoo.fr Réalisé par Qenân kassa
666

Appartenance à l'élément supérieur en en reprenant le nom, qu'il complète par le sien. Ainsi, en étudiant simplement le nom de l'élément : "cn=informatique,ou=groups,dc=exauce,dc=com" il est possible de le situer dans la hiérarchie : il est situé sous l'élément "ou=groups" qui lui même est situé sous l'élément "dc=exauce,dc=com".

□ Les données contenues dans l'annuaire (modèle d'information)
Les attributs
Un attribut est une valeur contenue dans une entrée. Une entrée peut bien entendu contenir plusieurs attributs. Prenons l'exemple de l'entrée LDAP complète d'un compte utilisateur EXOSIC

dn: uid=martymac,ou=users,dc=exauce,dc=com objectClass: account objectClass: ExosixAccount cn: exaucemac uid: exaucemac uidNumber: 10001 gidNumber: 10001 homeDirectory: /home/exaucemac userPassword:: e0NSWVBUfWJjT29IUk5SbG1HbC4= loginShell: /bin/sh gecos: exaucemac description: exaucemac

Ceci correspond à une entrée complète, extraite par une interrogation de l'annuaire. Le format affiché est le format LDIF, nous y reviendrons.
Nous pouvons observer ici des attributs nommés "dn", "objectClass", "cn", "uid", ...
Le format LDIF

Les données contenues dans l'annuaire sont présentées dans un certain format : il s'agit du format LDIF (LDAP Data Inter change Format - RFC 2849). Nous en avons vu un exemple dans le paragraphe précédent.

Dans ce format, chaque entrée constitue un paragraphe, et, au sein de chaque paragraphe, chaque ligne constitue un attribut. Voici un exemple un peu plus complet, incluant le groupe de notre utilisateur :

2010-2011

Email : kquenan@yahoo.fr

Réalisé par Qenân kassa

666

 Installation des outille nécessaire pour la configuration De Ldap
Tout d'abord, pour installer le serveur OpenLDAP nous avons besoin des différente packages contenant les daemon serveur slapd et le paquet ldaputils, un paquet contenant des utilitaires de gestion de LDAP pour ce faire nous allons procedé de manier suivante : Vérifions les package de openldap si sont prés installé sur notre machine par la commande rpm –qa | grep openldap Tapons sur notre terminal en mode super utilisateur <root>. Nous constatons que tous les packages ne sont pas installé, nous allons les installé en ligne avec l’utilitaire yum qui nous permet d’installé les packages en lignes depuis les dépôts. Pour ce faire il faut avoir une connexion Ethernet …. Nous allons procéder de la manière suivante comme la dessous sur la capture :
2010-2011 Email : kquenan@yahoo.fr Réalisé par Qenân kassa
666

Nous Métons –y *Openldap* pour installé tous les rpm Openldap sans exception

2010-2011

Email : kquenan@yahoo.fr

Réalisé par Qenân kassa

666

L’installation des packages qui nécessite la configurions de du serveur LDAP ce sont installé avec succès… Tous d’abord si nous voulons faire l’authentification Ldap par le serveur Kerberos nous avons besoin de configuré le DNS primaire si possible le DNS secondaire sur notre machines..

Configuration du serveur DNS Primaire

Dans notre test nous disposons d’un station tournant sous fedora 11 Grace a Dieu le DNS est déjà prés configuré sur notre machine donc pas trop de tra-la-la-la.

Configuration du serveur Openldap

Editons le fichier /etc/ldap/slapd.conf (fichier de configuration du serveur Ldap) pour y configurer : (a) le nom de domaine ldap (suffix "dc=exauce,dc=com") (b) le nom de l'administrateur (rootdn "cn=admin,dc=exauce,dc=com") (c) et le mot de passe de l'administrateur. Ceci devra être fait en ajoutant (rootpw xxxx) ou xxxx est le résultat de la commande slappasswd (cette dernière vous renvoie le mot de passe que vous avez saisi sous forme crypté).

Voici notre fichier slapd.conf a l’état initial :

2010-2011

Email : kquenan@yahoo.fr

Réalisé par Qenân kassa

666

Nous allons modifier les lignes suivantes et fixe notre domaine exauce.com A la suite crypté notre mot de passe..ldap Avant tout tapons sur notre terminal

Il vas nous demandé de tapez notre mot de passe que nous voulons bien sur Tapez le mot de passe et confirmons là en suite copions le et le colé a la lingne 97 de notre fichier slapd.conf et décommettez la ligne afin de l’activé et crypté notre mot de passe et modifions ensuite Les lignes 90 , 92 et 124 comme sur la capture

2010-2011

Email : kquenan@yahoo.fr

Réalisé par Qenân kassa

666

En changer le niveaux d’exécution de notre serveur Ldap en tapons comme sur la capture et redémarrons notre serveur Ldap afin qu’elle puis prendre en compte les modifications comme la dessous…….

En suite modifions le fichier ldap.conf qui se trouve dans /etc/openldap/ldap.conf Comme sur la capture

2010-2011

Email : kquenan@yahoo.fr

Réalisé par Qenân kassa

666

Copion notre base de donnée dans /var/lib/ldap comme là-dessous Avant cherchon ou se trouve notre base de donnée avec la commande locate

En suite a travers ce chemin copions notre base par defaut Ldap DB_CONFIG Dans /var/lib/ldap comme la dessous

Ensuite donnons les droit d’ecriture et de lecture sur notre base comme si desous

□Utilitaire migrationtools
Une fois la configuration minimale opérationnelle, il faut remplir l'annuaire ldap avec par exemple les comptes/informations du serveur. L'ajout d'entrées dans la base se fait via des _fichiers textes au format ldif. Ce dernier n'étant pas très pratique a manipuler, l'utilisation du script /usr/share/migrationtools/migrate_all_online.sh vous permettra d'utiliser une procedure automatique. D’abord installé ces packages par defaut il ne viens pas avec les packages openldap donc nous allons procedé de la manière comme d’abitude avec la commande fétiche yum install

2010-2011

Email : kquenan@yahoo.fr

Réalisé par Qenân kassa

666

*Configuration
Editons le fichier /etc/migrationtools/migrate common.ph et y modifier les entrees $DEFAULT MAIL DOMAIN et $DEFAULT BASE pour qu'elles soient conformes au nom de notre domaine ldap. Faisons d’abord un locate pour voire le chemins ou se trouve notre fichier migrationtools..

Voila notre chemin et essayons de l’ouvrire pour voire le fichier migrate_common.ph s’il se trouve bien là

Editons le maintenant comme là-dessous

Voila nous allons changer DEFAULT_DOMAINE ET DEFAULT_BAS

2010-2011

Email : kquenan@yahoo.fr

Réalisé par Qenân kassa

666

□Fichier LDIF
LDAP Data Interchange Format (LDIF), définit qu’ont a déjà definit plus haut est un format texte Standard qui permet de représenter les données LDAP. Il a pour vocation de Donner une meilleur lisibilité des données. Il est utilise pour importer, exporter ou modifier les données de la base et doit obéir aux règles définies dans le schéma De l’annuaire Un fichier LDAP est constitué d’une suite d’entrées séparées par un saut de ligne. Le format est le suivant : <attribut> : <valeur> ou le premier attribut d’une entrée est le DN . créons notre fichier ldif comme sur la capture :

Bigon notre fichier ldif a été bien crée essayons maintenant de voire sont contenu en tapon :

Voila maintenant ce que contient notre fichier exauce.ldif

2010-2011

Email : kquenan@yahoo.fr

Réalisé par Qenân kassa

666

Ajoutons metons un utilisateur dans la base grâce au fichier ldif qui nous permet d’ajouté une entré dans la base ….. comme la dessous

Notre entré a été ajouter avec succée… Ici nous mettons
2010-2011 Email : kquenan@yahoo.fr Réalisé par Qenân kassa
666

* -x

Active la ”simple authentification” * -W demande un prompt pour entrer le mot de passe du DN utilise pour la connexion * -D spécifie le DN utilise pour la connexion au serveur LDAP * -f specifie le fichier LDIF contenant les entrées a utilisé pour l’opération

pour voire notre utilisateur ajouté en faisons Ldapsearch Et voila notre utilisateur ajouté avec la commande ldapadd

Maintenant nous pouvons même ajouté un utilisateur « Massamba » dans notre annuaire Pour ce faire créons un dossier ou serra loger par défaut notre users par la commande mkdir

Ajoutons maintenant notre utilisateur

Donnons maintenant un mot de passe a notre utilisateur « Massamba »

Là nous allons utilisé a nouveau ces scripts de migration que nous avons dû installé si récent sur notre machine… et nous allons aussi Crée notre fichier massamba.isi.ldif afin de l’ajouté dans notre base comme la dessous sur les capture

2010-2011

Email : kquenan@yahoo.fr

Réalisé par Qenân kassa

666

Voila notre fichier massamba.isi.ldif a été crée

Et faisons encore un cat pour voire son contenu

Notre utilisateur a été crée ajouté le maintenant dans notre annuaire comme si dessous il nous demandera notre mot de passe Ldap celle que nous avons crée avec la commande slapdpasswrd tapons le comme si dessous….

Ajout avec sucée…… nous pouvons même ajouter un group pour notre utilisateur comme si dessous

La en redirige notre groupe pour massamba

Ajoutons maintenant le group dans notre annuaire .. il nous demandera notre mot de passe Ldap celle que nous avons crée avec la cmd slappdasswrd tapons le comme si dessous

2010-2011

Email : kquenan@yahoo.fr

Réalisé par Qenân kassa

666

On fixe notre domaine en mode graphique avec la command authenconfig-tui et ont choisi certaines différente service d’authentification que nous avons besoin…. differente service d’authentification que nous avons besoin….
En la fixe comme la dessous

La en coche avec la touche espace du clavier comme la dessus sur la capture en suite on clic sur suivant La en fixe notre adresse IP pour notre serveur Ldap et notre domaine afin ldap la prend e

En fait un geten passwd pour voire notre user et son passwd

2010-2011

Email : kquenan@yahoo.fr

Réalisé par Qenân kassa

666

La nous allons maintenant redemaré notre serveur Ldap par la commande suivant

Sa prend du temps pour redémarré en peut même y passé toute une éternité

Voila notre serveur qui redemar après 5h gloire a Dieu.

 CONFIGURATION KERBEROS
INTRODUCTION INSTALLATION CONFIGURATION CONCLUSION

INTRODUCTION 2010-2011 Email : kquenan@yahoo.fr Réalisé par Qenân kassa
666

Kerberos est un protocole d'authentification réseau qui repose sur un mécanisme de clés secrètes (chiffrement symétrique) , de l'utilisation de tickets et non de mots de passe en clair pour éviter le risque d'interception frauduleuse des mots de passe des utilisateurs. Créé au Massachusetts Institute of Technology (MIT), il porte le nom grec de Cerbère, gardien des Enfers. Kerberos a d'abord été mis en œuvre sur des systèmes Unix . INSTALLATION Pour implémenter Kerberos il faut: Etre doter d’une machine ayant une mémoire minimal de 156M0 et un disque dur de 10Go Installer linux a vous de choisir la distribution Une connaissance en linux… Nous avons besoin des outils nécessaire pour la configuration de notre server kerberos Comme la dessous  Yum install krb5-libs krb5-workstation V krb5-server krb5-server-ldap

Modifiez les fichiers de configuration /etc/krb5.conf et /var/kerberos/krb5kdc/kdc.conf afin qu'ils reflètent le nom de votre zone (realm) et les mappages domaine-zone. Editons le fichier : vim /etc/krb5.conf

Ensuite en edite le fichier kdc.conf : vim /var/kerberos/krb5kdc/kdc.conf

2010-2011

Email : kquenan@yahoo.fr

Réalisé par Qenân kassa

666

Ensuite on passe à la création de la base de données Kerberos en exécutant : /usr/kerberos/sbin/kdb5_util create –s

Voila la base de données est ainsi créée. Pour le voir on fait un « ls » du répertoire /var/kerberos/krb5kdc

On definit les administrateurs de la base de donnée kerberos Pour cela éditons : vim /var/kerberos/krb5kdc/kadm5.acl

On ajoute les users (principal) définis dans le fichier précédent. Pour cela exécuter sur le KDC pour administrer la base de donnée kerberos : kadmin.local il vas nous demandé un mot de passe quand n’as mit lors de la création de notre base kerberos

2010-2011

Email : kquenan@yahoo.fr

Réalisé par Qenân kassa

666

Ajout d’un autre utilisateur principal Vérifions les différents user en exécutant toujours kadmin.local puis listprincs

On redémarre les services krb5kdc et kadmin

Démarrage automatique des services avec des notre stations en marche les service démarre automatiquement

Pour s’authentifier et obtenir un ticket (certificat d’identité), on tape la commande kinit notre utilistateur le notre c’est massamba.isi et ensuite en klist -5f

A présent nous allons modifier le fichier de PAM de manières à ce que les utilisateurs se connectent au démarrage avec leurs comptes kerberos

2010-2011

Email : kquenan@yahoo.fr

Réalisé par Qenân kassa

666

On modifie les differente ligne pour une question de securité la dessus sur la capture

On copie le schéma de kerberos dans le schéma de ldap

On fait un vim/etc/openldap/slap.conf pour inclure la ligne du schema de kerberos dans notre fichier slapd.conf

Redémarrons notre système pour se connecter au démarrage avec notre compte kerberos en tapon le login De notre utilisteur massamba.isi

2010-2011

Email : kquenan@yahoo.fr

Réalisé par Qenân kassa

666

L’authentification s’est déroulée correctement et on s’aperçoit que par la même occasion l’utilisateur « toto» a obtenu un ticket après avoir saisi son login et son mot de passe. NB : nos utilisateur A noter chaque utilisateur doit exister sur ldap.

 END

2010-2011

Email : kquenan@yahoo.fr

Réalisé par Qenân kassa

666

Sign up to vote on this title
UsefulNot useful