Configuration OLC (on-line configuration)
Historiquement, OpenLDAP se configurait via des fichiers textes "normaux", qu'on modifie et il fallait relancer le serveur pour prendre en charge la nouvelle configuration.
Depuis sa version 2.4, OpenLDAP utilise un nouveau système qu'il appelle OLC.
Dans ce document, il sera traité l'initialisation d'un OpenLDAP avec ce nouveau système, sachant que nous souhaitons:
- "dc=rktmb,dc=org" comme racine
- "cn=admin,dc=rktmb,dc=org" comme super administrateur
- "rktmb" comme mot de passe du super administrateur
Importation des schémas de base
Dans "/etc/openldap/schema/" il y a plusieurs schemas à charger selon le type d'entrée avec lesquelles l'annuaire sera peuplé.
Les utilisations courantes mettent généralement en jeu "core", "cosine" et "inetorgperson".
Pour cela il faut d'abord importer les schemas avec
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/core.ldifCe qui donnera le message suivant:
SASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0 adding new entry "cn=core,cn=schema,cn=config" ldap_add: Other (e.g., implementation specific) error (80) additional info: olcAttributeTypes: Duplicate attributeType: "2.5.4.2"
La dernière ligne qui mentionne une erreur n'est pas très grave: dans la plupart des installations, le schéma "core" est déjà chargé et cette ligne nous indique que justement, il est déjà chargé.
Les autres schémas se chargent avec les commandes:
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
Etablir la racine "dc=rktmb,dc=org"
Créer le fichier "0-base.ldif" qui contient ceci:
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=rktmb,dc=org
Attention, la dernière ligne vide est requise.Importer la modification avec la commande:
ldapadd -Y EXTERNAL -H ldapi:/// -f 0-base.ldif
Générer le hash du mot de passe "rktmb"
La commande "slappasswd" permet de générer un hash du mot de passe. Ce hash sera utilisé pour initialiser le mot de passe de l'utilisateur administrateur de l'annuaire.
slappasswd
New password:
Re-enter new password:
{SSHA}ft5mv5CzuIL/mMOzj8Mo/Mimfpa4MDuv
La dernière ligne est le hash désiré.Importer l'utilisateur administrateur
Créer un fichier "1-root.ldif" avec le contenu:
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=admin,dc=rktmb,dc=org
Attention, la dernière ligne vide est requise.Importer avec la commande:
ldapadd -Y EXTERNAL -H ldapi:/// -f 1-root.ldif
Pour attribuer le mot de passe "rktmb" à l'administrateur, créer un fichier "2-password.ldif" avec le contenu:
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootPW
olcRootPW: {SSHA}ft5mv5CzuIL/mMOzj8Mo/Mimfpa4MDuv
La dernière ligne vide est requise, le hash est celui obtenu plus haut.Importer les modifications avec:
ldapadd -Y EXTERNAL -H ldapi:/// -f 2-password.ldif
A partir de ce moment, l'annuaire est accessible via le réseau:
Les opérations d'ajout d'entrées peuvent se faire soit en ligne de commande, soit via une interface graphique.
Peupler l'annuaire
Pour peupler l'annuaire, il faut pour cet exemple
- un "top"
- un groupe
- un utilisateur dans ce groupe
dn: dc=rktmb,dc=org objectClass: dcObject objectClass: top objectClass: organization dc: rktmb o: RKTMBImporter avec la commande:
ldapadd -x -w rktmb -D cn=admin,dc=rktmb,dc=org -H ldapi:/// < 3-top.ldif
Remarquer que l'accès à l'annuaire se fait désormais via le réseau, en fournissant les identifiants.
L'entrée est désormais créée:
Créer un fichier "4-groupe.ldif" avec le contenu:
dn: ou=Users,dc=rktmb,dc=org changetype: add objectClass: organizationalUnit objectClass: top ou: Users
Importer avec la commande:
ldapadd -x -w rktmb -D cn=admin,dc=rktmb,dc=org -H ldapi:/// < 4-group.ldif
Le groupe est désormais créé:
Enfin, créer un fichier "5-user.ldif" avec le contenu:
dn: uid=mihamina.rakotomandimby,ou=Users,dc=rktmb,dc=org objectClass: inetOrgPerson objectClass: organizationalPerson objectClass: person objectClass: top uid: mihamina.rakotomandimby sn: Rakotomandimby cn: Mihamina
Importer avec la commande:
ldapadd -x -w rktmb -D cn=admin,dc=rktmb,dc=org -H ldapi:/// < 5-user.ldif
L'annuaire est complètement peuplé:
