LDAP : planification et mise en oeuvre d'un annuaire OpenLDAP

Auteur(s) :

Ropars, Stéphane Découvrir l'auteur

Résumé

L'ouvrage s'ouvre sur l'étude préliminaire à effectuer en amont avant de pouvoir intégrer un annuaire LDAP au sein d'un environnement de travail de type data center. Il détaille ensuite les différentes étapes de la configuration type d'un serveur OpenLDAP. ©Electre 2017

Éditeur(s)
- Éditions ENI
Date
- cop. 2017
Notes
- La couv. porte en plus : "Informatique technique" ; "Version numérique offerte ! www.editions-eni.fr"
- LDAP = Lightweight directory access protocol
- Contient un "flashcode" permettant d'accéder à un contenu via Internet
Langues
- Français
Description matérielle
- 1 vol. (394 p.) : ill.; ; 22 cm
Collections
- Expert IT
Sujet(s)
ISBN
- 978-2-409-01100-9
Indice
- 681.40 Sécurité informatique
Quatrième de couverture
- LDAP
  Planification et mise en oeuvre d'un annuaire OpenLDAP
  Ce livre a pour objectif d'aider le lecteur à intégrer un annuaire OpenLDAP au sein d'un environnement informatique de production. Il s'adresse autant à des experts IT souhaitant centraliser la totalité des comptes utilisateurs au sein d'un annuaire commun accessible à l'ensemble des applicatifs de l'entreprise, qu'à un public d'administrateurs IT ou d'informaticiens expérimentés désirant acquérir les connaissances de base dans l'administration des annuaires LDAP en général, et OpenLDAP en particulier (en version 2.4 au moment de l'écriture).
  Le livre traite en premier lieu de l'étude préliminaire à effectuer en vue de la mise en oeuvre d'un annuaire LDAP au sein d'un environnement informatique. Il présente ainsi les concepts de base du protocole LDAP ainsi que la planification des différentes étapes de l'intégration d'un annuaire (modélisation du contenu, stockage des données, sécurisation, conception de l'infrastructure...).
  Une partie du livre est consacrée à l'installation, à la configuration et à l'administration d'un serveur OpenLDAP dans un système Linux Red Hat. Le lecteur pourra ainsi découvrir la façon de construire et sécuriser son arbre de données, d'ajouter des fonctionnalités pour une utilisation adaptée à l'environnement de l'entreprise, d'utiliser des outils d'administration et de manipuler les commandes d'interrogation LDAP.
  Des chapitres sont ensuite dédiés à la configuration détaillée de divers clients LDAP (systèmes d'exploitation, équipements réseau et applications) permettant au lecteur d'acquérir des compétences techniques qu'il pourra mettre en application dans son propre environnement de production. La surveillance, le dépannage et les multiples paramétrages permettant d'améliorer les performances du serveur OpenLDAP sont également détaillés.
  Le livre s'achève par une introduction à la problématique de la gestion des identités électroniques et des accès aux systèmes informatiques au sein des entreprises avec la présentation d'une infrastructure type.
Tables des matières
- - LDAP
  - Planification et mise en oeuvre d'un annuaire OpenLDAP
  - Avant-propos
  - Chapitre 1
    Un annuaire, un choix évident
  - 1. Le casse-tête de la gestion des identifiants électroniques en entreprise15
  - 2. La centralisation des identités électroniques16
  - 3. Les annuaires17
  - 4. Annuaires vs mécanismes d'authentification18
  - 5. Annuaire vs base de données18
  - Chapitre 2
    Les concepts de base LDAP
  - 1. Introduction21
  - 2. LDAP : Protocole ou normalisation des systèmes d'annuaires informatiques21
  - 3. Modèle de stockage des informations25
  - 3.1 Les attributs26
  - 3.2 Les classes d'objets et les schémas29
  - 4. Modèle d'organisation des informations35
  - 4.1 La structure arborescente (DIT)35
  - 4.2 Le format LDIF38
  - 5. Modèle fonctionnel39
  - 5.1 Les opérations de type requête40
  - 5.2 La syntaxe du filtre de recherche42
  - 5.3 Comparaison44
  - 5.4 Les opérations de mise à jour44
  - 5.5 Les opérations d'authentification44
  - 6. Modèle de sécurisation et de confidentialité des informations45
  - Chapitre 3
    Planification de l'intégration d'un annuaire LDAP
  - 1. Introduction47
  - 2. Sources et contenu de l'annuaire49
  - 2.1 Utilisation principale de l'annuaire49
  - 2.2 Recensement des différents systèmes d'information utilisés dans votre entreprise49
  - 2.3 Vérifier la comptabilité avec le protocole LDAP50
  - 3. Modélisation et définition du contenu de l'annuaire52
  - 3.1 Connaissance des schémas utilisés par les clients LDAP52
  - 3.2 Modélisation53
  - 4. Stockage physique des données55
  - 4.1 Disques locaux ou architecture de stockage de données55
  - 4.2 Base de données, moteurs de stockage (backend)57
  - 4.3 Le format LDIF57
  - 5. Sécurisation de l'annuaire58
  - 5.1 Objectif58
  - 5.2 Étude de l'authentification à l'annuaire59
  - 5.3 Étude de l'autorisation au contenu de l'annuaire61
  - 6. Conception de l'infrastructure du service d'annuaire62
  - 6.1 Les différentes topologies62
  - 6.1.1 Un service d'annuaire local63
  - 6.1.2 Un service d'annuaire local avec référent(s)63
  - 6.1.3 Un service d'annuaire local et répliqué65
  - 6.1.4 Un service d'annuaire distribué et répliqué66
  - 6.1.5 Un service d'annuaire distribué et répliqué avec référents67
  - 6.2 La haute disponibilité des annuaires68
  - 6.2.1 Configuration de multiples serveurs LDAP69
  - 6.2.2 Configuration de la mise en cache LDAP70
  - 6.2.3 Ajout d'un équipement matériel ou applicatif de type commutateur IP avec ou sans équilibrage de charge en « Front-end »72
  - 6.3 Présentation d'un cluster de répartition de charge (load-balancing cluster)73
  - 6.3.1 Fonction de haute disponibilité en mode « actif/passif » (clustering)74
  - 6.3.2 Fonction de répartition de charge (load-balancing)77
  - 6.3.3 Méthode de réponse du « load-balancer »78
  - 6.3.4 Exemple de configuration pour la fonction cluster à répartition de charge en mode dispatcher (sous AIX)81
  - 6.4 Un service d'annuaire local avec délégation d'authentification (PTA)85
  - Chapitre 4
    Installation/configuration d'un serveur OpenLDAP
  - 1. Introduction87
  - 2. Présentation de l'architecture LDAP à intégrer87
  - 3. Installation du serveur OpenLDAP90
  - 3.1 Les prérequis applicatifs90
  - 3.2 À partir de packages RPM (exemple de la distribution Red Hat)90
  - 3.3 Depuis les sources du code93
  - 4. Configuration du serveur OpenLDAP95
  - 4.1 Organisation des fichiers de configuration96
  - 4.2 Présentation des entrées de configuration98
  - 4.2.1 « dn: cn=config »99
  - 4.2.2 « dn: cn=module, cn=config »100
  - 4.2.3 « dn: cn=schema, cn=config »101
  - 4.2.4 « dn: olcBackend=<type>, cn=config »101
  - 4.2.5 « dn: Database= (...)x(...) <type>, cn=config »102
  - 4.3 Présentation des backend disponibles103
  - 4.3.1 Les backend locaux103
  - 4.3.2 Les proxy backend104
  - 4.3.3 Les backend dynamiques104
  - 4.4 Configuration initiale par le fichier « slapd.conf »104
  - 4.4.1 Création du fichier « /etc/openldap/slapd.conf »105
  - 4.4.2 Conversion de l'ancien (slapd.conf) au nouveau format de configuration (olc, cn=config)108
  - Chapitre 5
    Installer et configurer un navigateur LDAP
  - 1. Introduction111
  - 2. Présentation de Apache Directory Studio111
  - 3. Installation sous Linux112
  - 4. Configuration d'une connexion à un annuaire113
  - 5. Quelques exemples d'utilisation118
  - 6. Première connexion au DIT de configuration125
  - Chapitre 6
    Démarrage du serveur OpenLDAP
  - 1. Introduction129
  - 2. Le service « slapd »129
  - 3. Présentation des options de démarrage du processus « slapd »130
  - 4. Vérification du démarrage automatique du service « slapd »133
  - 5. Démarrage et arrêt du processus « slapd » en ligne de commande133
  - Chapitre 7
    Les schémas
  - 1. Introduction135
  - 2. Les schémas contenus dans OpenLDAP135
  - 3. Extension de schéma138
  - 4. Ajout du schéma « sudo »140
  - 5. Suppression d'un schéma142
  - Chapitre 8
    Préparation des données de l'annuaire
  - 1. Introduction145
  - 2. Choix du suffixe145
  - 3. Structure et nommage des entrées145
  - 4. Configuration de la structure LDAP au format LDIF148
  - Chapitre 9
    Provisionner l'annuaire LDAP
  - 1. Introduction151
  - 2. Les méthodes de chargement de l'annuaire151
  - 2.1 Chargement des données en ligne152
  - 2.2 Chargement des données hors ligne153
  - 3. Présentation des commandes LDAP155
  - 3.1 La commande ldapsearch156
  - 3.2 La commande ldapdelete160
  - 3.3 La commande « ldapadd »161
  - 3.4 La commande ldapmodify162
  - 3.5 Les commandes ldapmodrdn, slappasswd, ldapwhoami, ldapurl164
  - 3.6 Configuration des commandes LDAP164
  - Chapitre 10
    Sécuriser un annuaire OpenLDAP
  - 1. Introduction167
  - 2. Authentification (ou ouverture de session LDAP)168
  - 2.1 L'authentification de base ou simple169
  - 2.2 L'authentification SASL170
  - 2.3 Consulter les mécanismes SASL disponibles ou OpenLDAP173
  - 3. La politique de mot de passe175
  - 4. Le stockage des mots de passe175
  - 4.1 Rappel sur les algorithmes de cryptage de type condensé176
  - 4.2 Revue des fonctions de hachage supportées par OpenLDAP178
  - 4.2.1 CRYPT178
  - 4.2.2 MD5179
  - 4.2.3 SMD5179
  - 4.2.4 SHA « Secure Hash Algorithm »179
  - 4.2.5 SSHA180
  - 4.2.6 PTA181
  - 4.3 Configuration du service PTA182
  - 4.3.1 Configuration du service saslauthd184
  - 5. La configuration réseau192
  - 5.1 Sélectionner son (ou ses) interface(s) réseau et son (ou ses) port(s) d'écoute(s)192
  - 5.2 Sélectionner les réseaux autorisés193
  - 6. Fixer des limites aux opérations LDAP194
  - 6.1 Le type de limites194
  - 6.2 Les limites hard ou soft194
  - 6.3 La portée des limites195
  - 6.3.1 Les limites globales195
  - 6.3.2 Les limites par base de données196
  - 7. Confidentialité et intégrité des communications197
  - 7.1 Présentation de SSL et TLS197
  - 7.1.1 Son fonctionnement198
  - 7.2 Start TLS201
  - 7.3 Présentation du programme OpenSSL202
  - 7.3.1 Commande de création de certificats203
  - 7.3.2 Commande de contrôle des certificats204
  - 7.3.3 Recherche de pannes204
  - 7.3.4 Commandes de conversion de certificats205
  - 8. Configuration du LDAPS avec SSL/TLS206
  - Chapitre 11
    Protection des données de l'annuaire
  - 1. Compréhension de la sécurité d'un annuaire215
  - 2. Configuration générale des ACL216
  - 2.1 Les entrées ciblées (à quoi ?)216
  - 2.2 Les entrées accréditées (qui a accès ?)219
  - 2.3 Les droits accordés (pour faire quoi ?)220
  - 2.4 Évaluation des droits221
  - 2.5 Exemples de configuration d'ACL222
  - 3. Configuration des ACL dans l'annuaire de démonstration225
  - 3.1 Configuration des ACL standard226
  - 3.2 Cloisonnement de l'annuaire par client227
  - 3.3 Pour aller plus loin dans le cloisonnement229
  - Chapitre 12
    Ajout de fonctionnalités appelées « overlay »
  - 1. Introduction235
  - 2. Ajouter un overlay236
  - 2.1 Vérification de son existence dans l'annuaire236
  - 2.2 Charger le module de l'overlay dans l'annuaire237
  - 2.3 Créer un overlay pour la base de données désirée237
  - 3. AccessLog238
  - 3.1 Présentation238
  - 3.2 Exemple de configuration239
  - 4. Audit logging241
  - 4.1 Présentation241
  - 4.2 Exemple de configuration241
  - 5. Constraint242
  - 5.1 Présentation242
  - 5.2 Exemple de configuration242
  - 6. Dynamic Lists243
  - 6.1 Présentation243
  - 6.2 Exemple de configuration244
  - 7. Password Policy246
  - 7.1 Présentation246
  - 7.2 Exemple de configuration247
  - 8. L'intégrité référentielle253
  - 8.1 Présentation253
  - 8.2 Exemple de configuration255
  - 9. Sync Provider256
  - 9.1 Présentation256
  - 9.2 Exemple de configuration256
  - 10. Attribute Uniqueness257
  - 10.1 Présentation257
  - 10.2 Exemple de configuration258
  - 11. Reverse Group Membership Maintenance259
  - 11.1 Présentation259
  - 11.2 Exemple de configuration259
  - Chapitre 13
    Configuration de clients LDAP
  - 1. Introduction261
  - 2. Prérequis261
  - 3. Les systèmes d'exploitation262
  - 3.1 Les serveurs Linux Red Hat (cas d'un RHEL6)262
  - 3.1.1 Installation des packages262
  - 3.1.2 Configuration du service « sssd »264
  - 3.1.3 Ajout du certificat de l'autorité de certification265
  - 3.1.4 Mise à jour du fichier /etc/hosts266
  - 3.1.5 Dissimulation du mot de passe du Bind user266
  - 3.1.6 Redémarrage du service « sssd »266
  - 3.1.7 Vérifier le bon fonctionnement de la configuration267
  - 3.1.8 Observation du mécanisme PAM268
  - 3.2 Les serveurs IBM AIX270
  - 3.2.1 Prérequis270
  - 3.2.2 Installation et configuration des paquetages de cryptographie (gsk)271
  - 3.2.3 Installation et configuration des paquetages du client LDAP272
  - 3.2.4 Paramétrage système272
  - 3.2.5 Vérification de l'installation du client LDAP272
  - 4. Les équipements Hardwares274
  - 4.1 Cas d'une interface HP iLO274
  - 4.1.1 Configuration275
  - 4.2 Cas d'un Routeur (Cisco ASA)278
  - 4.2.1 Les méthodes d'authentification à l'annuaire LDAP279
  - 4.2.2 Les informations à rechercher280
  - 4.2.3 La configuration280
  - 5. Les applications et utilitaires284
  - 5.1 Cas de l'application de monitoring OP5284
  - 5.2 Cas du programme sudo289
  - Chapitre 14
    Sauvegarder/restaurer un annuaire OpenLDAP
  - 1. Les données de l'annuaire293
  - 2. Les stratégies de sauvegarde294
  - 3. Méthode de sauvegarde des données de l'annuaire296
  - 3.1 Sauvegarde hors-ligne au niveau des répertoires du système de fichiers296
  - 3.2 Sauvegarde hors-ligne au niveau de la base de données296
  - 3.3 Sauvegarde en ligne au format LDIF299
  - 4. Restauration de l'annuaire300
  - 4.1 Restauration totale300
  - 4.2 Restauration partielle302
  - 4.2.1 Restauration en ligne de type « import/export »302
  - 4.2.2 Restauration hors-ligne303
  - 5. Exemple de script de sauvegarde304
  - 6. Migration d'annuaire OpenLDAP306
  - Chapitre 15
    La réplication
  - 1. Introduction307
  - 2. Fonctionnement du protocole de réplication « LDAP Sync »308
  - 2.1 Réplication en mode « refreshOnly » ou « Pull-based »309
  - 2.2 Réplication en mode « refreshAndPersist » ou « Push-based »311
  - 3. Configuration du « Syncrepl » en utilisant OLC312
  - 3.1 Configuration du provider312
  - 3.2 Configuration du consumer313
  - 4. Les problèmes liés à la réplication LDAP Sync314
  - 4.1 SessionLog315
  - 4.2 Delta-syncrepl ou AccessLog316
  - 4.2.1 Exemple de configuration317
  - 5. Les différentes architectures de réplication320
  - 5.1 Architecture de réplication simple « provider/consumer »320
  - 5.2 Architecture de réplication « Peer to peer » ou « multi-Peer »321
  - 5.2.1 Exemple de configuration322
  - 5.3 Architecture de réplication « miroir »325
  - 5.4 Architecture avec un proxy de réplication327
  - 5.5 Configuration du NTP328
  - 5.6 Réaliser la première synchronisation329
  - Chapitre 16
    Surveillance d'un annuaire OpenLDAP
  - 1. Surveiller le service LDAP331
  - 1.1 Le processus « slapd »331
  - 1.2 Les systèmes de fichiers331
  - 2. Surveiller la réplication332
  - 3. Surveiller les connexions au serveur LDAP334
  - 4. Surveiller les modifications du contenu de l'annuaire336
  - Chapitre 17
    Amélioration des performances
  - 1. Considérations matérielles339
  - 1.1 La mémoire ou RAM339
  - 1.2 Le stockage340
  - 1.3 Le réseau341
  - 2. Au niveau du processus « slapd »341
  - 2.1 Paramétrage des threads341
  - 3. Au niveau du backend342
  - 3.1 Paramétrage du cache (ou la zone tampon)342
  - 3.2 Paramétrage des index346
  - 3.2.1 Syntaxe347
  - 3.2.2 Exemples de configuration348
  - 3.2.3 Application349
  - 4. Changer de backend349
  - Chapitre 18
    Dépannage
  - 1. Liste de contrôle (checklist)353
  - 2. Activer le mode « debug »355
  - 3. Activer et modifier la verbosité des logs356
  - Chapitre 19
    L'autogestion des comptes utilisateurs
  - 1. Problématique361
  - 2. Infrastructure de gestion des identités362
  - 2.1 Fonctionnement général362
  - 2.2 Création/modification de compte364
  - 2.3 Suppression de compte365
  - 3. Présentation ITIM366
  - 3.1 Bannière de connexion368
  - 3.2 Espace de gestion des comptes de l'utilisateur368
  - 3.3 Workflow370
  - 3.4 Approbation371
  - 4. Intégration du serveur OpenLDAP dans ITIM373
  - Annexe
  - 1. Le schéma « sudo » pour OpenLDAP375
  - 2. Quelques problèmes rencontrés377
  - 2.1 Cas 1377
  - 2.2 Cas 2378
  - 2.3 Cas 3 : reconfigurer le « checksum » dans les fichiers de configuration378
  - 3. Déverrouiller les comptes379
  - Index383
Origine de la notice:
- Electre