OpenLDAP utilise Syslog pour  journalisation. Pour activer les logs, il faut :

• Editer /etc/openldap/slapd.conf et ajouter :

loglevel        256

Dans /etc/syslog.conf, ajoutez :

local4.*                        /var/log/openldap.log

Ne pas oublier de redémarrer Syslog et OpenLDAP pour prendre en compte les modifications :

/etc/init.d/ldap restart

/etc/init.d/syslog restart

Les logs se trouveront dans /var/log/openldap.log

pour plus d’informations : http://www.zytrax.com/books/ldap/ch6/

Nous allons configurer openldap pour s’assurer que l’authentification et les informations ne circulent pas en claires. Pour cela, nous allons devoir générer un certificat serveur à l’aide d’openssl, indiquer au serveurs Ldap d’utiliser ces certificats et enfin lui demander d’écouter sur un nouveau port pour les connexions sécurisées.

Pré-requis :

• OpenLdap installé et configuré
• Openssl doit être installé

Génération du certificat serveur :

Créer l’arborescence qui contiendra les certificats que nous allons générer :

mkdir –p /etc/ssl /etc/ssl/openldap

cd /etc/ssl/openldap

Générer le certificat :

openssl req -x509 -new -config openssl-ldap.cnf -out ldap_cert.pem -keyout ldap_key.pem -days 730 –nodes

Vous devez répondre aux questions. Celles-ci permettent à l’utilisateurs de connaître la provenance du certificat.

Deux fichiers vont être générés : ldap_cert.pem et ldap_key.pem

Mettez leurs les droits 440 propriétaire root groupe ldap

Configuration d’OpenLdap

Editez le fichier /etc/openldap/slapd.conf et ajoutez :

TLSCertificateFile /etc/ssl/openldap/ldap_cert.pem
TLSCertificateKeyFile /etc/ssl/openldap/ldap_key.pem

Ces lignes permettent de spécifier l’emplacement du certificat et de sa clé au serveur OpenLdap.

Editez le fichier /etc/openldap/ldap.conf Pour qu’il ressemble à cela :

URI     ldaps://192.168.0.1:636
TLS_CACERTDIR /etc/ssl/openldap/

Le serveur ldap écoutera sur le port 636 au redémarrage du service ldap.

Vous pouvez tenter une connexion avec JXplorer :

Installation :

yum install openldap-servers openldap-clients

Configuration :

Nous allons configurer notre serveur LDAP pour qu’il ait comme suffixe le domaine croc-informatique.fr . Le compte administrateur sera : admin / password

Editez le fichier /etc/openldap/slapd.conf

Modifier le comme suit :

suffix "dc=croc-informatique,dc=fr" rootdn "cn=admin,dc=croc-informatique,dc=fr" rootpw password

Crypter le mot de passe :

slappasswd -s password

Vous aller avoir un retour de ce type : {SSHA}GyzpAiLauGXRvNAHdoKhJAp8FqalHzdu

Il vous suffi de le copier et de le coller dans le fichier /etc/openldap/slapd.conf à la place du mot de passe en clair.

Lancer le service ldap :

service ldap start

Création du fichier ldif de base : Ce fichier va nous permettre de demander au serveur LDAP de créé la base de l’arborescence. Créez un fichier base.ldif et ajoutez :

dn: dc=croc-informatique,dc=fr dc: croc-informatique objectClass: domain

Importez le fichier base.ldif :

ldapadd -x -D "cn=admin,dc=croc-informatique,dc=fr" -w password -f ~/base.ldif

Maintenant, vous pouvez créer votre arborescence comme vous le souhaitez. Par exemple, nous allons créer une OU (unitée organisationnelle). Cette OU, nous allons la nommée “Contact” et nous allons ajouter quelques contacts. Pour cela, nous allons créer un nouveau fichier que nous allons nommé contact.ldif. Placez ce texte à l’intérieur :

dn: ou=Contact,dc=croc-informatique,dc=fr
ou: Contact
objectClass: organizationalUnit

dn: uid=user1,ou=Contact,dc=croc-informatique,dc=fr
uid: user1
cn: user1
displayName: User 1
givenName: User
sn: user1
objectClass: inetOrgPerson
userPassword: password
mail: user1@croc-informatique.fr

Puis lancer la commande :

ldapadd -x -D "cn=admin,dc=croc-informatique,dc=fr" -w password -f ~/contact.ldif

Voilà l’OU Contact et l’utilisateur user1 avec le mot de passe password ont été créés

Explorer son serveur Ldap avec JXplorer :

Cet outil est téléchargeable sur son site officiel : http://jxplorer.org/