Linux:Configuration du client LDAP : Différence entre versions

De WIKI.minetti.org
Aller à : navigation, rechercher
(Page créée avec « == But == Configurer le client LDAP sur une machine pour établir la connexion vers le serveur LDAP. C'est ce client que le serveur L... »)
 
m
 
Ligne 62 : Ligne 62 :
 
A ce stade, il est possible de tester la connexion anonyme au [[Linux:Configuration d'OpenLDAP|LDAP]]:
 
A ce stade, il est possible de tester la connexion anonyme au [[Linux:Configuration d'OpenLDAP|LDAP]]:
 
  ldapsearch -vx -ZZ "(objectClass=*)"
 
  ldapsearch -vx -ZZ "(objectClass=*)"
 +
 +
En cas de problème, il est possible d'afficher des logs:
 +
ldapsearch -vx -ZZ -d1 "(objectClass=*)"

Version actuelle en date du 9 avril 2016 à 10:55

But

Configurer le client LDAP sur une machine pour établir la connexion vers le serveur LDAP.

C'est ce client que le serveur Samba et Apache HTTP va utiliser pour se connecter au LDAP.

Étape préliminaire

Avant de commencer, il est impératif:

Installation

  • Taper la commande suivante pour installer le client LDAP sur une CentOS/RedHat/Fedora:
yum install openldap-clients
  • ou sur une Debian:
aptitude install ldap-client

Configuration

  • Modifier le fichier /etc/openldap/ldap.conf sur CentOS/RedHat/Fedora ou /etc/ldap/ldap.conf sur Debian pour qu'il ressemble à ceci:
# Connexion
BASE            dc=minetti,dc=org
URI             ldap://ldap.srv.minetti.org

# Certificats SSL (voir $HOME/.ldaprc pour chaque utilisateur)
SSL             start_tls

# Le serveur doit posséder un certificat signé par la CA pour que la
# connection soit possible
TLS_REQCERT     demand

# Certificat de la CA
TLS_CACERTDIR   /etc/openldap/cacerts              # pour CentOS/RedHat/Fedora
TLS_CACERT      /etc/ssl/certs/minetti-ca.pem      # pour Debian
  • Pour CentOS/RedHat/Fedora, ajouter un lien dans le répertoire /etc/openldap/cacerts vers le certificat CA:
cd /etc/openldap/cacerts
ln /etc/pki/CA/cacert.pem minetti-ca.pem
  • Pour CentOS/RedHat/Fedora, créer le hash du certificat en tapant la commande suivante:
cacertdir_rehash /etc/openldap/cacerts
  • Créer le fichier .ldaprc à placer dans le répertoire HOME des utilisateurs devant accéder au LDAP et avec les permissions 640:
# Certificat x509 du client
TLS_CERT        /etc/pki/tls/certs/amon.pem        # pour CentOS/RedHat/Fedora
TLS_CERT        /etc/ssl/certs/amon.pem            # pour Debian

# Clés du certificat
TLS_KEY         /etc/pki/tls/private/amon.key      # pour CentOS/RedHat/Fedora
TLS_KEY         /etc/ssl/private.amon/amon.key    # pour Debian
  • Sous Debian, créer le répertoire qui va accueillir le fichier contenant la pair de clé privée/publique:
cd /etc/ssl
mkdir private.amon
chmod 711 private.amon
  • Créer le certificat client avec openSSL:
    • Certificat CA:
      • /etc/openldap/cacerts/minetti-ca.pem (pour CentOS/RedHat/Fedora)
      • /etc/ssl/certs/minetti-ca.pem (pour Debian)
    • Fichier clé privée/clé publique:
      • /etc/pki/tls/private/amon.key (pour CentOS/RedHat/Fedora)
      • /etc/ssl/private.amon/amon.key (pour Debian)
    • Certificat client:
      • /etc/pki/tls/certs/amon.pem (pour CentOS/RedHat/Fedora)
      • /etc/ssl/certs/amon.pem (pour Debian)

Test

A ce stade, il est possible de tester la connexion anonyme au LDAP: 

ldapsearch -vx -ZZ "(objectClass=*)"

En cas de problème, il est possible d'afficher des logs: 

ldapsearch -vx -ZZ -d1 "(objectClass=*)"
Récupérée de « http://www.minetti.org/mediawiki/index.php?title=Linux:Configuration_du_client_LDAP&oldid=192 »