Je suis présentement en train de créer une série d’applications pour faire tout simplement(relatif) synchronisé un OpenLDAP (master) vers un Active Directory (Slave).

Voici un premier draft pour la suppression d’élément.  Ce script écrit en C# (sous Mono), a comme bût d’avoir un point d’accès pour la suppression d’attribut ou d’entré d’un OpenLDAP et d’un Active Directory.

Je vais créer un projet Open Source avec le code que j’ai déjà fait sous peu, avec une licence GNU (ou similaire).  Mais en attendant voici le code pour la suppression d’élément.

ldap-delete.zip

Suite a de nombreuses frustration de votre part et de la mienne au sujet de OpenLDAP. OpenLDAP “is a pain in the a..”. Pour mon infrastructure j’ai migré vers OpenDS; necessite un peu plus de ressource (Java) par contre, la gestion et la syncronisation est un charme. Je vais publier bientôt des tutoriel au sujet de OpenDS.

Description

La configuration d’OpenLDAP c’est un peu compliquer. cn=config est toujours utilisé, par contre lors de l’installation du paquet, uniquement un squelette de la configuration est installé.

On ne vous demande plus de mot de passe lors de l’installation du paquet et “dpkg-reconfigure slapd” ne fait que restaurer le squelette de la configuration initial.  Vous devez utiliser le compte root (ou sudo) pour configurer la base de donnée, dn et acl.

Voici une procédure sur comment installer OpenLDAP sous Ubuntu 9.10 ou 10.4.

Le guide officiel sur help.ubuntu.com n’est pas à jour et ne spécifie pas comment installer OpenLDAP sous Karmic ou Lucid.

Dans ce tutoriel nous utiliserons dc=example,dc=com comme arbre LDAP.  Ajuster en conséquence.

Pré-requis

Avoir installé Ubuntu

Paquets à installer :

 apt-get -y install slapd ldap-utils

Configuration

Étape 1: Changer de répertoire pour /etc/ldap :

cd /etc/ldap

Étape 2: Ajouter les schéma que vous avez de besoin, car uniquement le schema core est ajouté par défaut :

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/inetorgperson.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/nis.ldif

Étape 3:  Ajouter le module de base de donnée et la créer.

Créer un fichier : db.ldif

vi db.ldif

# Load dynamic backend modules
dn: cn=module{0},cn=config
objectClass: olcModuleList
cn: module
olcModulepath: /usr/lib/ldap
olcModuleload: {0}back_hdb
 
# Create the database
dn: olcDatabase={1}hdb,cn=config
objectClass: olcDatabaseConfig
objectClass: olcHdbConfig
olcDatabase: {1}hdb
olcDbDirectory: /var/lib/ldap
olcSuffix: dc=example,dc=com
olcRootDN: cn=admin,dc=example,dc=com
olcRootPW: example
olcDbConfig: {0}set_cachesize 0 2097152 0
olcDbConfig: {1}set_lk_max_objects 1500
olcDbConfig: {2}set_lk_max_locks 1500
olcDbConfig: {3}set_lk_max_lockers 1500
olcLastMod: TRUE
olcDbCheckpoint: 512 30
olcDbIndex: uid pres,eq
olcDbIndex: cn,sn,mail pres,eq,approx,sub
olcDbIndex: objectClass eq

ldapadd -Y EXTERNAL -H ldapi:/// -f db.ldif

Étape 4: Créer le dn de base et ajouter le compte administrateur pour le serveur OpenLDAP.

Modifer le text suivant a vos besoins the text below to your needs and wants and generate a password for the admin account. La chaine MD5 présente dans l’exemple représente : example

Créer un mot de passe encrypter pour le compte administrateur, avec la commande suivante :

slappasswd -h

Créer le fichier base.ldif:

vi base.ldif

dn: dc=example,dc=com
objectClass: dcObject
objectclass: organization
o: example.com
dc: example
description: My LDAP Root
 
dn: cn=admin,dc=example,dc=com
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
userPassword:{MD5}Gnmk1g3mcY6OWzJuM4rlMw==
description: LDAP administrator

ldapadd -Y EXTERNAL -H ldapi:/// -f base.ldif

Étape 5: Modifier le système d’acl (liste de contrôle d’accès)

Il y a quelques acl dans la configuration d’OpenLDAP qui prévient la connexion à partir d’un client ldap comme phpldapadmin ou Apache Directory Sudio, alors nous allons ajuster les droits pour cn=admin,cn=config. Après cette modification l’option -D cn=admin,cn=config sera nécessaire pour ce connecter au serveur LDAP.

Créer un fichier config.ldif

vi config.ldif

Contenu du fichier config.ldif:

dn: cn=config
changetype: modify
delete: olcAuthzRegexp
 
dn: olcDatabase={-1}frontend,cn=config
changetype: modify
delete: olcAccess
 
dn: olcDatabase={0}config,cn=config
changetype: modify
delete: olcRootDN
 
dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcRootDN
olcRootDN: cn=admin,cn=config
 
dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {MD5}Gnmk1g3mcY6OWzJuM4rlMw==
 
dn: olcDatabase={0}config,cn=config
changetype: modify
delete: olcAccess

Intégrer dans OpenLDAP :

ldapadd -Y EXTERNAL -H ldapi:/// -f config.ldif

Étape 6: Ajuster les acl du LDAP

Maintenant nous devons ajouter quelques droits au LDAP, root possède les droits de lecture et d’écriture, parcontre l’acl suivant représente celui qui à toujours été livré avec OpenLDAP dans le passé.

Créer un fichier nommé acl.ldif :

vi acl.ldif

dn: olcDatabase={1}hdb,cn=config
add: olcAccess
olcAccess: to attrs=userPassword,shadowLastChange by dn="cn=admin,dc=example,dc=com" write by anonymous auth by self write by * none
olcAccess: to dn.base="" by * read
olcAccess: to * by dn="cn=admin,dc=example,dc=com" write by * readNow load the acl into the openldap server:

ldapmodify -x -D cn=admin,cn=config -W -f acl.ldif

Références

• http://www.howtoforge.com/install-and-configure-openldap-on-ubuntu-karmic-koala