Différences

Ci-dessous, les différences entre deux révisions de la page.

--- adminsys:ldap [2016/10/31 20:35] – Ajout section outils kheops
+++ adminsys:ldap [2016/11/01 19:11] – [Le DN d'une entrée se construit avec les attributs] Tentative de précision sur la formation d'un DN kheops
@@ Ligne 55: / Ligne 55: @@
 ==== Le DN d'une entrée se construit avec les attributs ====
-Comme une entrée n'est ni plus ni moins qu'un ensemble d'attributs, un attribut accompagné de sa valeur doit être choisi pour figurer dans le DN de ladite entrée.
+Comme une entrée n'est ni plus ni moins qu'un ensemble d'attributs, un attribut accompagné de sa valeur doit être choisi pour figurer dans le DN de ladite entrée. Le DN d'une entrée est donc toujours composé d'une suite de couples attribut-valeur écrits sous la forme ''nom_attribut=valeur'', partant de la racine pour arriver à l'entrée en question.
 Exemple : dans une base LDAP où l'entrée de base, ou //DN de base//, est ''%%dc=faimaison,dc=net%%'', un DN pour notre ami Luc sera :
@@ Ligne 163: / Ligne 163: @@
 L'installation et la configuration d'OpenLDAP sont documentées sur internet dans des pages plus ou moins à jour. Une méthode facile et rapide consiste à utiliser le rôle ''openldap'' de [[https://github.com/equalitie/Caislean/|Caisleàn]], un ensemble de recettes Ansible visant à faciliter l'autohébergement.
-==== Outil utilisé ====
+==== Outil ====
-On utilise [[https://directory.apache.org/studio/|Apache Directory Studio]], un logiciel graphique facilitant grandement les interactions avec un serveur LDAP. Ce logiciel connaît les classes standard et nous avertira si des attributs sont manquants ou en trop. Il nous épargnera aussi pas mal de fautes de frappes faciles à faire si on se paluche tout à la main avec les outils en terminal de base. Il nous laisse aussi le temps d'aller à la machine à café pendant qu'il démarre.
+On utilise [[https://directory.apache.org/studio/|Apache Directory Studio]] (ADS), un logiciel graphique facilitant grandement les interactions avec un serveur LDAP. Ce logiciel connaît les classes standard et nous avertira si des attributs sont manquants ou en trop. Il nous épargnera aussi pas mal de fautes de frappes faciles à faire si on se paluche tout à la main avec les outils en terminal de base. Il nous laisse aussi le temps d'aller à la machine à café pendant qu'il démarre.
-Des alternatives sont : [[http://www.lichteblau.com/ldapvi/|ldapvi]], [[http://www.gq-project.org/|GQ]] et les outils de base trouvés dans le paquet ''ldap-utils'' dans la plupart des distributions GNU/Linux.
+Des alternatives sont : [[http://www.lichteblau.com/ldapvi/|ldapvi]], [[http://www.gq-project.org/|GQ]] et les outils de base trouvés dans le paquet ''ldap-utils'' de la plupart des distributions GNU/Linux.
+==== Se connecter au serveur LDAP ====
+Demander à l'administrateur du serveur LDAP un nom d'hôte et un port auquel se connecter. Il n'est pas rare qu'un tunnel SSH doive être utilisé, cela fournissant du chiffrement et une forme d'authentification, beaucoup de serveurs LDAP n'ayant pas TLS configuré et autorisant un accès en lecture de la base de donnée sans authentification.
+Votre identifiant de connexion au serveur sera un DN, qui peut correspondre à votre compte personnel (comme ''uid=luc,ou=utilisateurs,dc=faimaison,dc=net'') ou au compte administrateur du serveur (par exemple, ''cn=admin,dc=faimaison,dc=net'').
+Dans ADS, utiliser l'entrée //Nouvelle connexion// dans le menu //LDAP//. Spécifiez le nom d'hôte, le port et le type de chiffrement. Si vous utilisez un tunnel SSH, l'hôte sera probablement ''localhost'', le port dépendra de votre commande SSH et ADS n'utilisera pas de chiffrement (puisqu'il est assuré par le tunnel SSH).