veilletechno:admin:fusiondirectory

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision		 Révision précédente
veilletechno:admin:fusiondirectory [2017/02/26 18:56] madkoveilletechno:admin:fusiondirectory [2017/03/02 19:11] (Version actuelle) madko
Ligne 5: Ligne 5:
 ===== Architecture de tests ===== ===== Architecture de tests =====
  
-2 VM pour la partie serveur LDAP. 1 VM pour FusionDirectory.+2 VM pour la partie serveur LDAP (ldap0 et ldap1). 1 VM pour FusionDirectory (fusiondirectory). 
 + 
 +===== Installation de l'annuaire ===== 
 + 
 +Description de l'installation sur les VM CentOS 7. 
 + 
 +==== Serveur ldap0 ==== 
 + 
 +=== Installation du service LDAP === 
 + 
 +Installation du serveur openldap : 
 + 
 +<code> 
 +yum install openldap-servers openldap-clients 
 +</code> 
 + 
 +=== Sécurisation et certificats === 
 + 
 +Création du certificat pour le serveur LDAP : 
 + 
 +<code> 
 +openssl req -new -x509 -nodes -out /etc/openldap/certs/cert.pem -keyout /etc/openldap/certs/priv.pem -days 365 
 +</code> 
 + 
 +Création du mot de passe pour l'administrateur du LDAP : 
 + 
 +<code> 
 +slappasswd -s master -n> /etc/openldap/passwd 
 +</code> 
 + 
 +Correction des droits et permissions sur les certificats : 
 + 
 +<code> 
 +chown ldap.ldap /etc/openldap/certs/
 +chmod 600 /etc/openldap/certs/priv.pem 
 +</code> 
 + 
 +Copie de la configuration LDAP par défaut : 
 + 
 +<code> 
 +cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG 
 +chown ldap.ldap /var/lib/ldap/DB_CONFIG 
 +</code> 
 + 
 +=== Activation du service LDAP === 
 + 
 +Démarrage du service : 
 + 
 +<code> 
 +systemctl enable slapd 
 +systemctl start slapd 
 +</code> 
 + 
 +=== Configuration initial de l'annuaire === 
 + 
 +Passage de quelques personnalisations (domaine, autorisation de base) de l'annuaire : 
 + 
 +<file> 
 +dn: olcDatabase={2}hdb,cn=config 
 +changetype: modify 
 +replace: olcSuffix 
 +olcSuffix: dc=linuxed,dc=net 
 + 
 +dn: olcDatabase={2}hdb,cn=config 
 +changetype: modify 
 +replace: olcRootDN 
 +olcRootDN: cn=Manager,dc=linuxed,dc=net 
 + 
 +dn: olcDatabase={2}hdb,cn=config 
 +changetype: modify 
 +replace: olcRootPW 
 +olcRootPW: {SSHA}zlmgMU6ucpeLMQUiSGJ+xJv1/9R6cyhD 
 + 
 +dn: cn=config 
 +changetype: modify 
 +replace: olcTLSCertificateFile 
 +olcTLSCertificateFile: /etc/openldap/certs/cert.pem 
 + 
 +dn: cn=config 
 +changetype: modify 
 +replace: olcTLSCertificateKeyFile 
 +olcTLSCertificateKeyFile: /etc/openldap/certs/priv.pem 
 + 
 +dn: cn=config 
 +changetype: modify 
 +replace: olcLogLevel 
 +olcLogLevel: -1 
 + 
 +dn: olcDatabase={1}monitor,cn=config 
 +changetype: modify 
 +replace: olcAccess 
 +olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read by dn.base="cn=Manager,dc=linuxed,dc=net" read by * none 
 +</file> 
 + 
 +A mettre dans le fichier ///etc/openldap/changes.ldif//
 + 
 +Pour injecter ce fichier dans l'annuaire : 
 + 
 +<code> 
 +ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/openldap/changes.ldif 
 +</code> 
 + 
 +Injection de schémas de base (pré-requis) : 
 + 
 +<code> 
 +cd /etc/openldap/schema 
 +ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f cosine.ldif 
 +ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f inetorgperson.ldif 
 +</code> 
 + 
 +\\ 
 +Création de la racine du domaine, et des OU People et Group, via un fichier ///etc/openldap/base.ldif// avec le contenu suivant : 
 +<file> 
 +dn: dc=linuxed,dc=net 
 +dc: linuxed 
 +objectClass: top 
 +objectClass: domain 
 + 
 +dn: ou=People,dc=linuxed,dc=net 
 +ou: People 
 +objectClass: top 
 +objectClass: organizationalUnit 
 + 
 +dn: ou=Group,dc=linuxed,dc=net 
 +ou: Group 
 +objectClass: top 
 +objectClass: organizationalUnit 
 +</file> 
 + 
 +Idem pour l'injecter : 
 + 
 +<code> 
 +ldapadd -x -W -D cn=Manager,dc=linuxed,dc=net -f /etc/openldap/base.ldif 
 +</code> 
 + 
 +=== Schémas spécifiques à FusionDirectory === 
 + 
 +Ajout du dépôt fusiondirectory pour installer les schémas LDAP de ce dernier. Voir la documentation [[:veilletechno:admin:fusiondirectory:yum|suivante]]. 
 + 
 +Installation des schémas LDAP pour FusionDirectory : 
 + 
 +<code> 
 +yum install -y fusiondirectory-schema schema2ldif 
 +</code> 
 + 
 +Pour injecter les schémas : 
 + 
 +<code> 
 +fusiondirectory-insert-schema 
 +</code> 
 + 
 +===   === 
 + 
 +La partie LDAP est prête. 
 + 
 +==== Serveur ldap1 ==== 
 + 
 +Le serveur ldap1 est un backup du ldap0. 
 + 
 +<WRAP INFO>TODO : réplication LDAP</WRAP> 
 + 
 +===== Installation du serveur FusionDirectory ===== 
 + 
 +Configuration du dépôt FusionDirectory via la documentation [[:veilletechno:admin:fusiondirectory:yum|suivante]]. 
 + 
 +Installation des paquets : 
 + 
 +<code> 
 +yum install fusiondirectory 
 +</code> 
 + 
 +Si SeLinux est utilisé : 
 + 
 +<code> 
 +yum install fusiondirectory-selinux 
 +</code> 
 + 
 +D'éventuels plugins sont proposés via les paquets fusiondirectory-plugin*. 
 + 
 +Redemarrer le service httpd : 
 + 
 +<code> 
 +systemctl restart httpd 
 +</code> 
 + 
 +Et se rendre sur la page d'administration : [[http://IP/fusiondirectory|http://IP/fusiondirectory]] 
 + 
 +====== Authentification depuis le LDAP ====== 
 + 
 +Sur RHEL/CentOS, il est facile de configurer une authentification depuis un annuaire LDAP avec la commande suivante : 
 + 
 +<code> 
 +authconfig --enablemkhomedir --update 
 +</code> 
 + 
 +Pour vérifier que le système récupère les informations utilisateurs depuis le LDAP : 
 + 
 +<code> 
 +getent passwd USER 
 +</code> 
 + 
 +Il faut bien sûr qu'un compte dans l'annuaire corresponde et soit de type Unix.
  
  
  • veilletechno/admin/fusiondirectory.1488135384.txt.gz
  • Dernière modification : 2017/02/26 18:56
  • de madko