  Mise en place et sécurisation d’un serveur OpenLDAP
[20 mn of reading - published 5/10/2005 5:44:35 PM - Target : Confirmé]
|
 
|
Author
1. Mise en place d'un serveur
1.1 Mise en place des sources
Il faut tout d’abord télécharger les sources de OpenLDAP sur un des sites suivants :
http://www.openldap.org/software/download/ ou alors ftp://ftp.openldap.org/pub/OpenLDAP/
Après avoir téléchargé les sources au format compressé on doit les extraire sur le répertoire de travail voulu avec les commandes suivantes :
gunzip -c openldap-VERSION.tgz | tar xf
cd openldap-VERSION |
‘VERSION’ étant bien entendu le numéro de version en cours du serveur.
Après extraction vous trouverez une aide disponible dans les fichiers Readme, Install ainsi que les licences relatives dans les fichiers Copyright et Licence.
1.2 Pré requis pour le serveur OpenLDAP
1.2.1 Support du TLS
Ce support n’est pas obligatoire mais pour mettre en place une politique de sécurité il est fortement recommandé. Pour cela il faut installer OpenSSL fournira les librairies pour utiliser le TLS qui est disponible sur : http://www.openssl.org/
LDAPv3 permetant de détecter OpenSSL si il est installé sans être configuré.
1.2.2 Support de l’authentification Kerberos
Pour pouvoir bénéficier du support d’authentification sécurisé aux services d’annuaires de type SASL/GSSAPI il faut aussi installer soit Heimdal soit MIT Kerberos. Il est bien entendu fortement conseiller d’utiliser ce type de mécanisme d’authentification pour une sécurité optimale.
1.2.3 SASL
Après avoir mis en place un support d’authentification il faut pouvoir mettre en place le mécanisme d’authentification disponible avec les librairies Cyrus SASL.
LDAPv3 permetant de détecter Cyrus SASL si il est installé sans être configuré.
1.3 Configuration des sources
Pour avoir une liste d’option configurable lors de la compilation de OpenLDAP il suffit d’utiliser la commande :
Suivant la distribution linux on est parfois aussi amener à changer certaines variables de ce script en voici les principales :
|
Variable |
Description |
| CC |
Permet de définir le compilateur C à utiliser |
| CFLAGS |
Permet de spécifier d’autres flags pour la compilation |
| CPPFLAGS |
Permet de spécifier les flags Pré processeur du C |
| LDFLAGS |
Permet de spécifier les flags pour les liens |
| LIBS |
Permet de spécifier les librairies additionnelles pouvant devant être utilisés lors de la compilation |
Lancement du script avec options et variables d’environnements :
|
[[env] settings] ./configure [options] |
Par exemple pour installer OpenLDAP avec le support BDB et TCP Wrapper (comme le support TCP Wrapper n'est pas activé par défaut contrairement au support BDB) il suffira de lancer le script comme suit :
| ./configure --with-wrappers |
Cependant si les logiciels requis par OpenLDAP ne sont pas installés dans leurs répertoires par défaut il faudra spécifier le répertoire.
Exemple si TCP Wrapper est installé dans /usr/local/include (pour les headers) et dans /usr/local/lib il faudra utiliser la commande suivante :
| env CPPFLAGS="-I/usr/local/include" LDFLAGS="-L/usr/local/lib" ./configure --with-wrappers |
Par défaut le script configure détecte automatiquement les paramètres appropriés. Si un problème survient il faudra alors consulter la documentation spécifique au compilateur de la distribution linux pour pouvoir adapter les options de configure comme il faut.
1.4 Compiler OpenLDAP
Après avoir initialisé les sources avec le script configure la prochaine étape et de construire les dépendances via la commande :
Si l’on rencontre une erreur à cette étape c’est que configure s’est mal passé, il suffit alors de le relancer pour voir d’où provient l’erreur puis la résoudre et ensuite seulement lorsque configure ne renvoi aucune erreur on peut enfin passer à cette étape.
Après avoir terminé la construction des dépendances il suffit enfin pour compiler OpenLDAP d’utiliser la commande :
Il faut bien faire attention à cette étape de bien vérifier qu’aucune erreur ne se produise si tel et le cas il suffira de bien analyser le message pour définir la raison de l'erreur et ainsi la résoudre. Il est à noter qu’après cette compilation seront disponibles : les librairies LDAP, ainsi que les clients comme sldap et slurpd.
1.5 Tester la compilation
Après configuration et une compilation réussie il est possible de tester le logiciel compilé pour vérifier que « tout va bien » avec la commande :
1.6 Installation
Une fois configuré et installé il ne reste plus qu’à installer le logiciel c’est-à-dire le mettre dans le bon répertoire d’exécution. Si l’on a pas changé le paramètre relatif dans configure par défaut OpenLDAP sera installé dans /usr/local. Ce paramètre peut être changé avec l’option --prefix de configure.
En général pour le faire il faut avoir les droits super utilisateur root pour réaliser cette étape. Pour ce cas il suffit dans le répertoire des sources d’effectuer la commande :
|
su root -c ’make install’ |
Attention il sera demandé le mot de passe de cet utilisateur et il faudra dans ce cas contacter l’administrateur du serveur linux dans le cas ou vous ne l’auriez pas.
Encore une fois il faudra porter une attention particulière au résultat de la commande pour voir si l’installation s’est effectuée avec succès. Pour pouvoir le vérifier il suffit de se rendre dans /usr/local/etc/openldap par défaut et de vérifier que les fichier de configuration pour slapd sont bien présents. L’objectif de cet article n’étant pas la configuration et la mise en place complète d’un serveur OpenLDAP je recommande phpldapadmin ainsi que la documentation en ligne de OpenLDAP qui pourront apporter facilité de gestions du serveur ainsi que toute information nécessaire.
|
52 Hits
Lionel LEPERLIER
[30 mn of reading - published 5/10/2005 5:07:44 PM - Target : Débutant]
[25 mn of reading - published 5/10/2005 4:38:29 PM - Target : Confirmé]