Mon réseau d’entreprise

5.2 Annuaires : LDAP

Précédent   Suivant

Un annuaire permet de centraliser et distribuer des informations. Ces informations peuvent être de toutes natures, comme le numéro de téléphone d’un employé ou ses identifiants de connexion. Les deux plus connus sont Active Directory et openldap. Le logiciel Samba permet de faciliter l’interaction entre Linux et Windows (mais sans améliorer la sécurité pour garder la compatibilité). Nous détaillerons openldap.

Nous présentons ici, la partie Gnu-Linux.

5.2.1 Objectifs

Nous présentons ici la mise en place d’un annuaire et son utilisation pour l’authentification.

5.2.2 Mise en œuvre

Un serveur est mis en place sur thorin. Il faut commencer par connecter un ordinateur (machine virtuelle ou PC d’Osaka) en client de ce serveur. Puis, il faudra installer et configurer son propre réseau (serveur et clients).

La présentation d’Adrien Malgoyre et Julien Lecubin est https://arnaud-fevrier.pedaweb.univ-amu.fr/Docs/Presentation-LDAPPYTHEAS.pdf

5.2.3 La notation du module

Le module se déroule sous forme de mini-projet en séances de TP. Les étudiants doivent réaliser dix étapes. Chacune de ces étapes est sanctionnée par une note immédiate de deux points. Le module est donc noté sur 20.

Chaque étudiant choisit l’ordre dans lequel faire les étapess à valider. Quand un étudiant est prèt, il peut valider une étape en appelant l’enseignant et en faisant la présentation adaptée. L’étape sera validée en une seule fois. Si l’étudiant hésite (peut être n’a t’il pas de notes manuscrites ?), alors l’enseignant repart ; la validation devra être refaite depuis le début. Le texte décrivant les éléments à valider de l’étape choisie doit être affiché à l’écran, avec la ou les fenêtres utiles.

À l’exception des étapes le nécessitant, les machines virtuelles seront utilisées uniquement à travers une connexion ssh.

Il est important de valider les éléments le plus rapidement possible. Le manque de temps lors de la dernière séance ne sera pas une excuse.

Les étapes validées sont affichées dans la salle TP. En quittant la salle, l’étudiant est d’accord avec l’affichage. En cas de retard d’affichage pendant la séance, n’hésitez pas à le rappeler à l’enseignant.

Les étapes à valider sont :

• 1. Ajout d’un poste client5.2.3.1 ;

• 2. Ajout d’un poste serveur5.2.3.2

• 3. Gestion des utilisateurs5.2.3.3

• 4. Sauvegarde5.2.3.4

• 5. Interface graphique5.2.3.5

• 6. Activation de startTLS5.2.3.6

• 7. Mini projet ??.

5.2.3.1 Poste client 3 points

Il faut se connecter sur le serveur 10.4.163.2. Le nom de domaine est fevrier.rtS3, le mot de passe toto.

• 1. Utiliser ldapsearch pour obtenir les informations Attention de ne pas utiliser d’option dépréciée :

  • (a) Version de LDAP,

  • (b) Distinguished name principal,

  • (c) Un utilisateur (login, UID) ;

• 2. installer sssd pour utiliser un compte LDAP

• 3. installer libpam-ldap pour permettre l’authentification

• 4. Créer son répertoire d’accueil

5.2.3.2 Poste serveur 3 points

Il faut installer un poste serveur et attacher un client dessus. Le nom de domaine sera votre nom, suivi de rts3 (Réseaux & Télécoms, Semestre 3). La validation se fera en vérifiant qu’un utilisateur peut se connecter et travailler.

• 1. Créer le serveur en respectant le nom de domaine, le réinstaller si le nom est incorrect ;

• 2. utiliser sssd pour identifier les utilisateurs ;

• 3. montrer par ldapsearch et getent que le poste client utilise bien la définition fournie par LDAP ;

• 4. Se connecter avec un utilisateur LDAP et vérifier qu’il peut travailler (il a un répertoire et peut créer un fichier).

5.2.3.3 Gestion des utilisateurs 3 points

• 1. créer un utilisateur (le fichier ldif peut être préparé avant la soutenance)

• 2. modifier un élément (le GECOS)

• 3. supprimer un utilisateur

• 4. à chaque fois, vérifier la modification.

5.2.3.4 Sauvegarde 3 points

• 1. sauvegarder le serveur ldap avec slapcat

• 2. restaurer slapd sur un autre serveur

• 3. vérifier que les mêmes utilisateurs sont bien sur le second serveur.

5.2.3.5 Interface graphique 2 points

• 1. Installer jxplorer

• 2. En connexion anonyme, lister les utilisateurs

• 3. Ajouter un utilisateur

5.2.3.6 Activation startTLS 6 points

Il faut utiliser le mode chiffré pour pouvoir modifier le mot de passe depuis un client. C’est plus facile de prendre une nouvelle machine pour le client, donc éviter de modifier la version précédente.

• 1. Installer les clefs de chiffrement sur le serveur, prouver le fonctionnement ldapwhoami -H ldap:// -x -ZZ

• 2. Configurer un client pour qu’il utilise la version chiffrée ;

• 3. Montrer la modification du mot de passe pour un utilisateur de la machine cliente

• 4. Avec wireshark, montrer l’activation du chiffrement, en particulier montrer sur la version non chiffrée le mot de passe.

Précédent   Suivant