Concept des annuaires électroniques
Un annuaire électronique est un catalogue de données dont le but premier est de proposer,
grâce à des fonctions de recherche, un accès rapide à ses ressources aux différents clients qui
les consulte.
Les annuaires électroniques permettent, aussi de comparer, de créer, de modifier ou effacer
des données qu’ils contiennent.
Les annuaires électroniques ont la même vocation que les annuaires dits « papier » (comme
les annuaires des pages jaunes ou blanches). Cette vocation est de faciliter la localisation de
tous types d’objets comme, par exemple :
− des personnes,
− des sociétés,
Installation et configuration d’un serveur − des ressources Informatiques,
− des applications.
OpenLDAP sous Linux (Debian 6) Les annuaires électroniques apportent un certain nombre d’avantages comparé aux annuaires
papier. On dit qu’ils sont :
Dynamique : en effet, par opposition aux annuaires papiers qui sont mis à jour une seule fois
par an, tous changements sur les annuaires électroniques s’effectuent en temps réels. La
responsabilité de la mise à jour de l’annuaire est délégué à des administrateurs et, si le droits
de modification leurs est donné, aux propriétaires des informations. Les coûts de mise à jour
sont donc très faibles.
Flexibles : Un annuaire électronique n'est jamais figé. Sa peut être modifiée facilement, à la
volée, sans nécessiter de reconstruire tout l'annuaire. Il est possible d'ajouter de nouveaux
champs (de nouveaux attributs en terminologie annuaire) en fonction des besoins ; il est
également possible d'ajouter des nouvelles familles d'objets.
Sécurisé : Les annuaires électroniques permettent de contrôler les informations affichées en
fonction de l’identité de l’utilisateur.
LDAP
Lightweight Directory Access Protocol (LDAP) est à l'origine
un protocole permettant l'interrogation et la modification des services d'annuaire. Ce protocole
repose sur TCP/IP. Il a cependant évolué pour représenter une norme pour les systèmes
d'annuaires, incluant un modèle de données, un modèle de nommage, un modèle fonctionnel
basé sur le protocole LDAP, un modèle de sécurité et un modèle de réplication. Un annuaire
LDAP respecte généralement le modèle X.500 édicté par l'UITT : c'est une structure
arborescente dont chacun des nœuds est constitué d'attributs associés à leurs valeurs.
A partir de 1995, LDAP est devenu un annuaire natif (standalone LDAP), afin de ne plus
servir uniquement de passerelle d’accès à des annuaires X.500. Standalone LDAP va
gérer son propre mécanisme de sauvegarde de données qui va être incorporé au démon de
LDAP°: il s’agit de slapd (standalone ldap daemon).
1/14 2/14
� − Services LAMP (Apache, MySQL, PHP) et SSH installés et opérationnels sur le serveur
Debian.
− La machine Debian doit être sur son bon domaine de travail avant l’installation. On peut
vérifier le nom du Debian en faisant la commande hostname –f
Installation et configuration du serveur OpenLDAP
Avant de commencer l'installation des paquets indispensables au bon fonctionnement
Architecture d’annuaire avec des démons slapd
d’OpenLDAP, il est nécessaire de mettre à jour les paquets existants. Pour cela, il faut
exécuter les commandes apt-get update et apt-get upgrade.
OpenLDAP Pour installer les paquets pour LDAP :
OpenLDAP (http://www.OpenLDAP.org) est un projet libre de serveur d'annuaire
conforme à la norme LDAP 3. Ce serveur, dérivé de l'implémentation mise au point par
l’université du Michigan.
OpenLDAP est composé des éléments suivants : Cette commande permet d’installer les paquets slapd et ldap-utils.
− Le serveur LDAP : slapd
− La passerelle LDAP vers X500 : ldapd Vers la fin de l’installation, l’outil de configuration des paquets demandera de renseigner un
− Le serveur de réplication : slurpd mot de passe et de le confirmer par la suite. Ce mot de passe sera nécessaire pour
− Des outils d'administration s’authentifier en tant qu’administrateur sur la base de données LDAP.
OpenLDAP est un logiciel libre, au sens de la Free Software Foundation. Cela signifie qu'il
respecte les quatre libertés fondamentales d'un logiciel libre : liberté d'exécution, liberté
d'étude, liberté de modification et liberté de redistribution.
En revanche ce n'est pas un logiciel copyleft. C'est à dire qu'il n'impose pas sa licence
d'utilisation aux logiciels qui dérivent de lui. Il peut donc être privatisé. Ce qui ne l'empêche
pas d'être compatible avec la licence GPL. Le code d'OpenLDAP peut donc être intégré dans
un logiciel sous GPL.
L'installation génère un certain nombre de scripts de configuration et va créer les répertoires
suivants :
− /etc/OpenLDAP : répertoire des fichiers de configuration
− /var/lib/ldap : répertoire par défaut où va être stocké l'annuaire
− /usr/share/OpenLDAP : répertoire contenant les documentations et les outils
pour migrer par exemple un système NIS (yellow page) existant dans l'annuaire
LDAP. Une fois que l’installation terminée, il va falloir configurer certains paramètres de base
Les traditionnelles pages de manuel et les commandes LDAP sont respectivement installées d’OpenLDAP. Exécutez la commande suivante :
dans /usr/man et /usr/bin.
Pré-requis pour l’installation L’outil de configuration des paquets va de nouveau s’afficher et plusieurs fenêtres vont
s’ouvrir avec des options à sélectionner :
− Un serveur virtuel Linux Debian 6 avec une carte réseau en NAT.
− Un accès à internet pour le serveur Debian 6.
− 20MO d’espace disque disponible pour le serveur Debian 6.
− Un client SSH (Putty) sur la machine réelle.
− Un navigateur internet prenant en charge au minimum HTML4 (Chrome, FireFox, Opera,
IE …) sur la machine réelle.
3/14 4/14
�On souhaite créer une nouvelle base de données LDAP, donc on clique sur « Non »
La fenêtre suivante demande de retaper le mot de passe administrateur de l’annuaire LDAP. Il
sera aussi demandé par la suite pour confirmation. Cliquez sur « OK ».
La fenêtre suivante demande de renseigner le nom de domaine qui sera utilisé pour l’annuaire
LDAP.
La fenêtre suivante demande de sélectionner le module de base de données à utiliser. On
laisse par défaut « HDB » car comme indiqué dans la fenêtre, cette base gère les renommages
de sous-arbres alors que la base « BDB » ne le fait pas. On clique sur « OK ».
La fenêtre suivante demande de renseigner le nom de l’organisation pour l’annuaire LDAP.
On renseigne le nom de celle-ci (ce nom n’affecte pas les paramètres nécessaires au bon
fonctionnement d'OpenLDAP) et on clique sur « OK ».
La fenêtre suivante demande si, à la purge du paquet, on souhaite supprimer automatiquement
la base de données LDAP. (Il est utile de cliquer sur « Oui ». En cas de problème lors de la
configuration de la base de données, on peut ainsi supprimer la base de données en
désinstallant le paquet slapd et pour faire à la suite, une réinstallation propre).
5/14 6/14
� On ajoute aussi des droits d’administrateur et de service grâce aux commandes chmod et
chown.
La fenêtre suivante demande s'il faut déplacer l’ancienne base de données afin d’éviter de
provoquer des échecs de procédure de configuration de celle-ci. On clique sur « Oui ».
On initialisera cet annuaire LDAP en ajoutant les groupes, les personnes et la base utilisateurs
du futur annuaire.
On se place dans le dossier /etc/ldap/. On crée un fichier qui sera nommé init.ldif.
LDIF est l’abréviation de LDAP Data Interchange Format, un format standardisé
d’échange de données qui permet la représentation des données contenues dans un annuaire
LDAP.
Des modèles de fichier d’initialisation d’annuaire existent sur le net (celui qui est proposé sur
le site ubuntu-fr qui est bien renseigné). Remplacez certaines données de façon qu’elles
correspondent à votre futur annuaire LDAP. On obtient quelque chose comme ceci :
La fenêtre suivante demande s’il faut autoriser le protocole LDAPv2 au sein de votre futur
annuaire LDAP. En général, LDAPv2 s’active si des postes tournant sous Windows NT voir
2000 devront s’authentifier au sein de cet annuaire. Pour notre cas, ce ne sera pas nécessaire
donc on clique sur «Non ».
L’outil de configuration du paquet slapd est maintenant terminé. Il faudra alors mettre en
place des paramètres supplémentaires pour assurer le bon fonctionnement d’openLDAP.
Se mettre dans le répertoire /etc/ldap et on vérifie si le fichier ldap.conf est bien
présent. Si ce n’est pas le cas, on doit le créer avec un éditeur de texte (VIM ou NANO, ...).
On ajoute les paramètres nécessaires dans ce fichier, en renseignant correctement la base de
l’annuaire LDAP.
7/14 8/14
� Il est obligatoire par la suite de supprimer les fichiers temporaires d’installation d’OpenLDAP
sinon l’annuaire risquerait d’être mal initialisé. Exécuter la commande suivante :
On va alors pouvoir exécuter la commande d’importation des données de base pour le futur
annuaire LDAP. Pour cela exécuter la commande suivante et on doit obtenir les résultats qui
suivent.
Lors de l’importation, si le message « Attribute ‘displayName’ not allowed » s’affiche,
Réditer le fichier init.ldif et trouver la ligne correspondante à displayName (dernière
ligne du fichier). Puis commenter là de cette façon :
Refaire les commandes qui permettent de procéder à l’importation de la base de données
d’initialisation LDAP (arrêt du service, suppression des fichiers temporaires d’installation,
importation du fichier LDIF…).
Rajouter, par la suite, les droits pour le service openldap pour le dossier
/var/lib/ldap de cette façon :
On peut désormais relancer le service OpenLDAP (slapd) avec la commande suivante :
Pour vérifier que les données contenues dans le fichier .ldif ont été bien importées dans le
nouvel annuaire LDAP, il faut réaliser la commande ldapsearch en entrant des paramètres
supplémentaires. On doit obtenir les résultats suivants :
On va maintenant importer les données d’initialisation pour cet annuaire LDAP.
On arrête le service OpenLDAP avec la commande suivante :
9/14 10/14
�Administration simplifiée d’OpenLDAP avec Phpldapadmin
Les administrateurs réseau sont parfois amenés à mettre en œuvre un annuaire d’entreprise
ultra complexe et gérer le tout par des lignes de commandes s’avère assez délicat à réaliser.
Cependant, il existe une solution où il est possible d’administrer un annuaire LDAP via une
interface graphique. La solution Phpldapadmin a été conçue spécialement pour ça. C’est
pourquoi nous allons évoquer ensemble l’installation et l’utilisation de l’application WEB
Phpldapadmin.
Par la suite, installer Phpldapadmin avec la commande suivante :
Connectez-vous en cliquant sur «S’authentifier ». Vous êtes maintenant connecté en tant
qu’administrateur sur Phpldapadmin.
Une fois que l’installation est finie, rendez-vous sur un ordinateur avec interface graphique et
ouvrez un navigateur WEB. Dans la barre d’adresse, renseignez l’adresse IP de votre serveur
suivi de /phpldapadmin. Par exemple : http://@IP-de-votre-
serveur/phpldapadmin Vous devriez tomber sur cette page :
Vous retrouverez à gauche dans la page web l’arborescence complète de votre annuaire
LDAP.
Pour pouvoir administrer l’annuaire LDAP depuis l’application WEB, il faut se connecter en
tant qu’administrateur.
Dans le volet à gauche dans la page WEB, cliquez sur « Connexion ». La nouvelle page va Nous allons rajouter un utilisateur dans l’OU « people ». Rien de plus simple, cliquez sur
vous demander de renseigner vos identifiants de connexion. Renseignez le DN de connexion « Créer une nouvelle entrée ici ».
en fonction de votre annuaire (le CN est admin et pas autrement, n’oubliez pas de renseigner
le chemin DN complet sinon ça ne marche pas) puis le mot de passe que vous aviez renseigné Il vous sera ensuite demandé de renseigner des données dans des champs de saisie comme le
auparavant lors de la configuration du paquet slapd. Prénom, le nom de famille, le mot de passe du futur utilisateur etc… Une fois ces champs
remplis, il suffira de cliquer sur « Valider » pour soumettre la requête.
11/14 12/14
� Et vous pourrez voir à gauche dans la page principale que l’utilisateur a été correctement
ajouté dans l’arborescence de votre annuaire LDAP.
La page suivante vous affichera un « récapitulatif » des données qui seront envoyées vers
votre annuaire LDAP. Vous pouvez cocher des cases « Passer » pour annuler l’ajout de tel
attribut mais par défaut, on ne coche aucune case car nous souhaitons faire un test avec toutes
les données renseignés. Si tout est OK, vous pouvez cliquer sur Valider.
La création du nouvel utilisateur effectué, Phpldapadmin vous l’indiquera dans la page
suivante.
13/14 14/14
