Jp le 9 avril 2016 à 10:55

2016-04-09T10:55:45Z

Jp : Page créée avec « == But == Configurer le client LDAP sur une machine pour établir la connexion vers le serveur LDAP. C'est ce client que le serveur L... »

2016-04-07T18:40:38Z

Page créée avec « == But == Configurer le client LDAP sur une machine pour établir la connexion vers le serveur LDAP. C'est ce client que le serveur L... »

Nouvelle page

== But ==
Configurer le client LDAP sur une machine pour établir la connexion vers le [[Linux:Configuration d'OpenLDAP|serveur LDAP]].

C'est ce client que le serveur [[Linux:Configuration de Samba comme contrôleur principal d'un domaine NetBIOS|Samba]] et [[Linux:Apache avec une authentification via un LDAP|Apache HTTP]] va utiliser pour se connecter au [[Linux:Configuration d'OpenLDAP|LDAP]].

== Étape préliminaire ==
Avant de commencer, il est impératif:
* de disposer d'un [[Linux:Configuration d'OpenLDAP|serveur LDAP]],
* et d'avoir procédé à [[Linux:Installation d'OpenSSL|l'installation d'OpenSSL]].

== Installation ==
* Taper la commande suivante pour installer le client LDAP sur une CentOS/RedHat/Fedora:
yum install openldap-clients
* ou sur une Debian:
aptitude install ldap-client

== Configuration ==
* Modifier le fichier '''/etc/openldap/ldap.conf''' sur CentOS/RedHat/Fedora ou '''/etc/ldap/ldap.conf''' sur Debian pour qu'il ressemble à ceci:
# Connexion
BASE dc=minetti,dc=org
URI ldap://ldap.srv.minetti.org

# Certificats SSL (voir $HOME/.ldaprc pour chaque utilisateur)
SSL start_tls

# Le serveur doit posséder un certificat signé par la CA pour que la
# connection soit possible
TLS_REQCERT demand

# Certificat de la CA
TLS_CACERTDIR /etc/openldap/cacerts # pour CentOS/RedHat/Fedora
TLS_CACERT /etc/ssl/certs/minetti-ca.pem # pour Debian
* Pour CentOS/RedHat/Fedora, ajouter un lien dans le répertoire '''/etc/openldap/cacerts''' vers le certificat CA:
cd /etc/openldap/cacerts
ln /etc/pki/CA/cacert.pem minetti-ca.pem
* Pour CentOS/RedHat/Fedora, créer le hash du certificat en tapant la commande suivante:
cacertdir_rehash /etc/openldap/cacerts
* Créer le fichier '''.ldaprc''' à placer dans le répertoire HOME des utilisateurs devant accéder au [[Linux:Configuration d'OpenLDAP|LDAP]] et avec les permissions '''640''':
# Certificat x509 du client
TLS_CERT /etc/pki/tls/certs/amon.pem # pour CentOS/RedHat/Fedora
TLS_CERT /etc/ssl/certs/amon.pem # pour Debian

# Clés du certificat
TLS_KEY /etc/pki/tls/private/amon.key # pour CentOS/RedHat/Fedora
TLS_KEY /etc/ssl/private.amon/amon.key # pour Debian
* Sous Debian, créer le répertoire qui va accueillir le fichier contenant la pair de clé privée/publique:
cd /etc/ssl
mkdir private.amon
chmod 711 private.amon
* Créer le certificat client avec [[Commandes:Génération de certificats SSL client|openSSL]]:
** Certificat CA:
*** /etc/openldap/cacerts/minetti-ca.pem (pour CentOS/RedHat/Fedora)
*** /etc/ssl/certs/minetti-ca.pem (pour Debian)
** Fichier clé privée/clé publique:
*** /etc/pki/tls/private/amon.key (pour CentOS/RedHat/Fedora)
*** /etc/ssl/private.amon/amon.key (pour Debian)
** Certificat client:
*** /etc/pki/tls/certs/amon.pem (pour CentOS/RedHat/Fedora)
*** /etc/ssl/certs/amon.pem (pour Debian)

== Test ==
A ce stade, il est possible de tester la connexion anonyme au [[Linux:Configuration d'OpenLDAP|LDAP]]:
ldapsearch -vx -ZZ "(objectClass=*)"

← Version précédente		Version du 9 avril 2016 à 10:55
Ligne 62 :		Ligne 62 :
	A ce stade, il est possible de tester la connexion anonyme au [[Linux:Configuration d'OpenLDAP\|LDAP]]:		A ce stade, il est possible de tester la connexion anonyme au [[Linux:Configuration d'OpenLDAP\|LDAP]]:
	ldapsearch -vx -ZZ "(objectClass=*)"		ldapsearch -vx -ZZ "(objectClass=*)"
		+
		+	En cas de problème, il est possible d'afficher des logs:
		+	ldapsearch -vx -ZZ -d1 "(objectClass=*)"

Linux:Configuration du client LDAP - Historique des versions

Jp le 9 avril 2016 à 10:55

Jp : Page créée avec « == But == Configurer le client LDAP sur une machine pour établir la connexion vers le serveur LDAP. C'est ce client que le serveur L... »