Tout et n’importe quoi

Accueil > Informatique > Un groupware libre ? SOGo ! > Installation et configuration d’OpenLDAP

Installation et configuration d’OpenLDAP

jeudi 26 mai 2011, par Christophe Tariel

Installation et configuration d’OpenLDAP

Je suppose que vous avez déjà une Debian Squeeze installée, sinon, au boulot !

On commence par installer LDAP :

# apt-get install slapd ldap-utils courier-authlib-ldap

Attention aux questions que vous posera debconf, c’est ici que vous déterminez la racine de votre annuaire (dans ce billet dc=monannuaire,dc=ldap) et le mot de passe de l’administrateur (qui sera donc cn=admin,dc=monannuaire,dc=ldap).

Vous remarquerez que j’installe un paquet particulier : courier-authlib-ldap. Ce paquet vient du logiciel Courier IMAP. Ce qui nous intéresse ici, c’est uniquement le schéma LDAP utilisé par Courier IMAP.

On le récupère donc, et on vire le paquet et ses dépendances devenues inutiles (sur mon système ne tout cas !) :

# zcat /usr/share/doc/courier-authlib-ldap/authldap.schema.gz > /etc/ldap/schema/authldap.schema

# apt-get -y remove --purge courier-authlib-ldap courier-authlib expect tcl8.5

Manque de chance, le schéma est buggué dans la version squeeze... On corrige rapidement avec la commande suivante :

# sed -i 's@$ mailhost@ @' /etc/ldap/schema/authldap.schema

On peut ensuite générer la configuration des schémas LDAP. Depuis la version Squeeze, le configuration d’OpenLDAP se fait directement dans l’annuaire dans l’arbre spécial ’cn=config’. Voici la démarche pour intégrer un nouveau schéma :

# cat > /etc/ldap/slapd.conf << EOF
include         /etc/ldap/schema/core.schema
include         /etc/ldap/schema/cosine.schema
include         /etc/ldap/schema/nis.schema
include         /etc/ldap/schema/inetorgperson.schema
include         /etc/ldap/schema/authldap.schema
EOF

# rm -R /etc/ldap/slapd.d/cn\=config/cn\=schema/*
# slaptest -f /etc/ldap/slapd.conf -F /etc/ldap/slapd.d/
# chown openldap:openldap /etc/ldap/schema/ -R
# chown openldap:openldap /etc/ldap/slapd.d/ -R
# rm /etc/ldap/slapd.conf
# /etc/init.d/slapd restart

Dans l’ordre :
- on créé un fichier contenant les schémas qu’on veut intégrer.
- on efface la configuration existante
- on utilise ’slaptest’ pour recréer la configuration avec le nouveau schéma
- on remet les droits dans le bon sens
- on efface le fichier de départ
- et on redémarre pour être sur (normalement pas utile vu que la configuration doit être prise en compte à chaud. Mais bon, je peux pas m’en empêcher)

On créé ensuite une arborescence de base. Pour récupérer les hash de vos mots de passe, voici la commande :

# slappasswd -s votre_mot_de_passe -h {SSHA} |base64

Et voici le fichier ldif de base, à mettre dans /tmp/base.ldif (par exemple...)

Nous avons donc créé (ou recréé) la racine de l’annuaire, une organisation ayant un domaine de messagerie, deux unités d’organisation (une pour les utilisateurs, une pour les alias), et un utilisateur qui nous servira d’admin plus tard.

Il ne nous reste plus qu’à entrer cet arbre dans l’annuaire :

# ldapadd -cxD cn=admin,dc=monannuaire,dc=intra -w <admin_password> -f /tmp/base.ldif

On est bon pour l’annuaire !!!

Voyons maintenant l’installation de Postfix

Messages

  • Bonjour,
    le tuto est très clair et m’a aidé à installé et configuré mon ldap. Cependant comment faire pour ajouter des utilisateurs à un groupe comme USERS. et si je veux devenir administrateur de cette base LDAP comment faire pour ajouter un utilisateur avec des privilèges d’administrateur

    • Bonjour,

      Pour l’ajout d’utilisateur, on peut au choix :
      - recopier les dernières lignes du fichiers LDIF d’exemple autant de fois qu’il y d’utilisateurs (le paragraphe commençant par "dn : cn=MonPrénom MonNom,ou=users,o=maboite,dc=monannuaire,dc=ldap")
      - utiliser un logiciel ldap type jxplorer (plus compliqué à mon gout)
      - développer un petit script pour faire ça facilement (ce que j’ai personnellement fait en PHP pour l’intégrer à mon intranet)
      - autre ??

      Sinon, pour être administrateur ldap,j’avoue que je ne sais pas...

      Bon courage !

      Tof

Un message, un commentaire ?

modération a priori

Ce forum est modéré a priori : votre contribution n’apparaîtra qu’après avoir été validée par un administrateur du site.

Qui êtes-vous ?
Votre message

Pour créer des paragraphes, laissez simplement des lignes vides.