Skip to main content

openldap nouvelle configuration

Configuration OLC (on-line configuration)


Historiquement, OpenLDAP se configurait via des fichiers textes "normaux", qu'on modifie et il fallait relancer le serveur pour prendre en charge la nouvelle configuration.

Depuis sa version 2.4, OpenLDAP utilise un nouveau système qu'il appelle OLC.

Dans ce document, il sera traité l'initialisation d'un OpenLDAP avec ce nouveau système, sachant que nous souhaitons:
  • "dc=rktmb,dc=org" comme racine
  • "cn=admin,dc=rktmb,dc=org" comme super administrateur
  • "rktmb" comme mot de passe du super administrateur
Ce document se base sur une CentOS 7, mais il est applicable sur toute autre distribution Linux et même des BSD.

Importation des schémas de base


Dans "/etc/openldap/schema/" il y a plusieurs schemas à charger selon le type d'entrée avec lesquelles l'annuaire sera peuplé.
Les utilisations courantes mettent généralement en jeu "core", "cosine" et "inetorgperson".

Pour cela il faut d'abord importer les schemas avec
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/core.ldif
Ce qui donnera le message suivant:
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=core,cn=schema,cn=config"
ldap_add: Other (e.g., implementation specific) error (80)
additional info: olcAttributeTypes: Duplicate attributeType: "2.5.4.2"
La dernière ligne qui mentionne une erreur n'est pas très grave: dans la plupart des installations, le schéma "core" est déjà chargé et cette ligne nous indique que justement, il est déjà chargé.

Les autres schémas se chargent avec les commandes:
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif

Etablir la racine "dc=rktmb,dc=org"


Créer le fichier "0-base.ldif" qui contient ceci:
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=rktmb,dc=org

Attention, la dernière ligne vide est requise.

Importer la modification avec la commande:
ldapadd  -Y EXTERNAL -H ldapi:/// -f 0-base.ldif

Générer le hash du mot de passe "rktmb"


La commande "slappasswd" permet de générer un hash du mot de passe. Ce hash sera utilisé pour initialiser le mot de passe de l'utilisateur administrateur de l'annuaire.
slappasswd
New password:
Re-enter new password:
{SSHA}ft5mv5CzuIL/mMOzj8Mo/Mimfpa4MDuv
La dernière ligne est le hash désiré.

Importer l'utilisateur administrateur


Créer un fichier "1-root.ldif" avec le contenu:
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=admin,dc=rktmb,dc=org

Attention, la dernière ligne vide est requise.

Importer avec la commande:
ldapadd -Y EXTERNAL -H ldapi:/// -f 1-root.ldif

Pour attribuer le mot de passe "rktmb" à l'administrateur, créer un fichier "2-password.ldif" avec le contenu:
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootPW
olcRootPW: {SSHA}ft5mv5CzuIL/mMOzj8Mo/Mimfpa4MDuv

La dernière ligne vide est requise, le hash est celui obtenu plus haut.

Importer les modifications avec:
ldapadd -Y EXTERNAL -H ldapi:/// -f 2-password.ldif

A partir de ce moment, l'annuaire est accessible via le réseau:


Les opérations d'ajout d'entrées peuvent se faire soit en ligne de commande, soit via une interface graphique.

Peupler l'annuaire


Pour peupler l'annuaire, il faut pour cet exemple
  • un "top"
    • un groupe
      • un utilisateur dans ce groupe
Créer un fichier "3-top.ldif" avec le contenu:
dn: dc=rktmb,dc=org
objectClass: dcObject
objectClass: top
objectClass: organization
dc: rktmb
o: RKTMB

Importer avec la commande:
ldapadd -x -w rktmb -D cn=admin,dc=rktmb,dc=org -H ldapi:/// < 3-top.ldif

Remarquer que l'accès à l'annuaire se fait désormais via le réseau, en fournissant les identifiants.

L'entrée est désormais créée:

Créer un fichier "4-groupe.ldif" avec le contenu:
dn: ou=Users,dc=rktmb,dc=org
changetype: add
objectClass: organizationalUnit
objectClass: top
ou: Users

Importer avec la commande:
ldapadd -x -w rktmb -D cn=admin,dc=rktmb,dc=org -H ldapi:/// < 4-group.ldif

Le groupe est désormais créé:

Enfin, créer un fichier "5-user.ldif" avec le contenu:
dn: uid=mihamina.rakotomandimby,ou=Users,dc=rktmb,dc=org
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
objectClass: top
uid: mihamina.rakotomandimby
sn: Rakotomandimby
cn: Mihamina


Importer avec la commande:
ldapadd -x -w rktmb -D cn=admin,dc=rktmb,dc=org -H ldapi:/// < 5-user.ldif

L'annuaire est complètement peuplé:

Popular posts from this blog

npm run build base-href

Using NPM to specify base-href When building an Angular application, people usually use "ng" and pass arguments to that invocation. Typically, when wanting to hard code "base-href" in "index.html", one will issue: ng build --base-href='https://ngx.rktmb.org/foo' I used to build my angular apps through Bamboo or Jenkins and they have a "npm" plugin. I got the habit to build the application with "npm run build" before deploying it. But the development team once asked me to set the "--base-href='https://ngx.rktmb.org/foo'" parameter. npm run build --base-href='https://ngx.rktmb.org/foo did not set the base href in indext.html After looking for a while, I found https://github.com/angular/angular-cli/issues/13560 where it says: You need to use −− to pass arguments to npm scripts. This did the job! The command to issue is then: npm run build -- --base-href='https://ngx.rktmb.org/foo&

Emacs Pulumi LSP

Install Pulumi Emacs Mode The source code is on https://github.com/pulumi/pulumi-lsp. At the very bottom of the page are the instructions on how to install. You Need to have make installed. $ make install emacs-client mkdir -p ./bin go build -ldflags "-X github.com/pulumi/pulumi-lsp/sdk/version.Version=v0.2.3-6-gec49054" -o ./bin -p 10 ./cmd/... go: downloading github.com/pulumi/pulumi/sdk/v3 v3.53.1 ... ... ... go install -ldflags "-X github.com/pulumi/pulumi-lsp/sdk/version.Version=v0.2.3-6-gec49054" ./cmd/... mkdir -p editors/emacs/bin cd editors/emacs && emacs -Q --batch --eval "(progn (setq package-user-dir \"$(pwd)/bin\" \ package-archives '((\"melpa\" . \"https://melpa.org/packages/\") \

emacs29 intelephense

Emacs 29 and PHP Intelephense I use to use Emacs and PHP Intelephense for PHP development. I recently upgraded to Emacs 29 and PHP Intelephense stopped working. I found a solution on Reddit Based on that, I rewrote my .emacs file to use eglot instead of lsp-mode, and this is the result. (use-package eglot :ensure t) (add-hook 'php-mode-hook 'eglot-ensure) (use-package php-mode :ensure t :mode ("\\.php\\'" . php-mode)) (add-to-list 'auto-mode-alist '("\\.php$" . php-mode)) (provide 'lang-php) (use-package company :ensure t :config (setq company-idle-delay 0.3) (global-company-mode 1) (global-set-key (kbd "M- ") 'company-complete)) (require 'eglot) (add-to-list 'eglot-server-programs '((php-mode :language-id "php") . ("intelephense" "--stdio" :initializationOptions (:licenseKey "98989898989898989898"