Linux LPIC-3 (examen 300) :
Présentation de la formation.
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Li...
Plan
• Présentation du formateur
• Qu’est-ce que la LPIC?
• La certification LPIC 3
• Le plan de formation
• Publics conce...
A propos du formateur
• Ludovic Quenec’ hdu
• lquenec@gmail.com
Mon profil LinkedIn : https://www.linkedin.com/pub/ludovic...
A propos de la LPIC-3
• La certification Linux senior (LPIC-3) est le point culminant du programme des
certifications du L...
La certification LPIC
LPIC 301 + 302
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
LPIC 301 + 302
Intégrat...
Objectifs de l’examen 300 de la LPIC-3
• Afin de réussir l’examen LPIC 3, vous devez disposer de :
Plusieurs années d’expé...
Le plan de formation
Concepts et architecture
Les annuaires et Openldap
Le protocole LDAP
Le modèle de nommage
Le modèle d...
Le plan de formation
Samba et domaines Windows
Samba en tant que contrôleur de domaine
principal (PDC) Samba3 TDBSAM
Samba...
A Propos de la formation
• Public concerné
Ingénieur, administrateur et technicien voulant installer, configurer,
administ...
Présentation du Lab
• Cette formation ne demande pas des ressources CPU/RAM extravagantes,
comme peut être une formation s...
Liens des ressources logicielles
• Le Wiki LPI :
http://wiki.lpi.org/wiki/LPIC-3
• Samba Experience
http://sambaxp.org/sam...
Are you ready ? ☺
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Concepts et architecture
Les annuaires et
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Site : http://www....
Plan
• Les annuaires
• Les annuaires électroniques
• Historique d’Openldap
Linux LPIC-3 (examen 300) : Environnement Mixte...
Les annuaires
• Le petit Larousse nous dit :
ANNUAIRE n.m. (du lat. annuus, annuel). Ouvrage publié chaque année,
donnant ...
Les annuaires électroniques
• Contrairement à son homologue imprimé, un annuaire électronique a une nature
hiérarchique.
•...
Les annuaires électroniques
France
Ile de France Provence
Paris Marseille
Linux LPIC-3 (examen 300) : Environnement Mixte ...
Les annuaires électroniques
• L'utilisation d'annuaire ne se limite pas à la recherche de personnes ou
de ressources. Un a...
Les annuaires électroniques
• ils sont dynamiques : la mise à jour d'un annuaire électronique est beaucoup
plus simple à r...
Les annuaires électroniques
• On trouve beaucoup d’implémentations d’annuaires électronique. Tous
ces serveurs implémenten...
Historique d’Openldap
• Le projet a débuté en 1998 sous l'impulsion de Kurt Zeilenga en prenant pour
base les travaux de l...
OpenLDAP fournit
• Un protocole de communication.
• Un modèle de données
• Un modèle de nommage
• Un modèle fonctionnel
Li...
Ce qu’on a couvert
• Les annuaires
• Les annuaires électroniques
• Historique d’Openldap
Linux LPIC-3 (examen 300) : Envir...
Le protocole LDAP
Concepts et architecture
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Le protocole LDAP...
Plan
• Lightweight Directory Access Protocol
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Lightweight Directory Access Protocol
• Un protocole d'accès aux données dans un annuaire. Il définit comment ajouter,
mod...
Lightweight Directory Access Protocol
• Initialement LDAP était un protocole d'accès à un annuaire X.500 avant que
l'unive...
Lightweight Directory Access Protocol
• Les messages LDAP sont codés sous une forme BER (Basic Encoding
Rule)
Se connecter...
Lightweight Directory Access Protocol
• Usage d'un service d'annuaire LDAP
un service d'annuaire
un service d'authentifica...
Ce qu’on a couvert
• Lightweight Directory Access Protocol
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Le modèle de nommage
Concepts et architecture
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Le modèle de n...
Plan
• Le modèle de nommage
• Le Directory Information Tree DIT
• Structure de l'annuaire
Linux LPIC-3 (examen 300) : Envi...
Le modèle de nommage
• Le modèle de nommage définit l'organisation des données et la façon d'y
accéder.
• Il spécifie une ...
Le modèle de nommage
• Il y a plusieurs approches afin d’organiser le nommage des entrées :
Par pays : C=FR, C=UK
Par orga...
Le Directory Tree, structure de l’arbre
• On peut trouver pour une grande organisation :
Linux LPIC-3 (examen 300) : Envir...
Structure de l'annuaire, Exemples d'arbres
• Dans ce cadre, le modèle LDAP peut être plat :
Linux LPIC-3 (examen 300) : En...
Structure de l'annuaire, Exemples d'arbres
• Découpage pour refléter l'organisation interne :
Linux LPIC-3 (examen 300) : ...
Structure de l'annuaire, Exemples d'arbres
• Découpage par type d'objet :
Linux LPIC-3 (examen 300) : Environnement Mixte ...
Structure de l'annuaire
• Au sommet de l’arbre se trouve la racine ou suffixe appelé Directory Infomation Tree (DIT)
• Cha...
Structure de l'annuaire
• Au sommet de l’arbre on trouve donc des attributs de différents types qui constituent
donc le DI...
Structure de l'annuaire
• On trouvera donc un espace de nom de type :
Linux LPIC-3 (examen 300) : Environnement Mixte alph...
Ce qu’on a couvert
• Le modèle de nommage
• Le Directory Information Tree DIT
• Structure de l'annuaire
Linux LPIC-3 (exam...
Le modèle de données
Concepts et architecture
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Le modèle de d...
Plan
• Modèle de données
• Classes et attributs
• Les schémas
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Modèle de données
• Définit les informations stockées dans un annuaire et leurs représentations.
Les informations ou donné...
Classes et attributs
• Les attributs sont caractérisés par :
Un nom qui l'identifie
Un Object Identifier (OID) qui l'ident...
Classes et attributs
Nom Description
sn Nom de famille, dérive de l'attribut name
telephoneNumber Numéro de téléphone
memb...
Classes et attributs
• L'object Identifier est issu de X.500, il est aussi unique :
Un OID est une suite de nombres séparé...
Classes et attributs
• Toutes les entrées de l'annuaire appartiennent à une ou plusieurs classes d'objet
(héritage).
• Une...
Classes et attributs
• Une classe d'objet est caractérisée par :
un nom de classe unique dans l'annuaire
un identifiant de...
Classes et attributs
• Le type de la classe est lié à la nature des attributs :
La classe structurelle correspond aux obje...
Les Schémas
• Les attributs, classe d’objet sont définis dans des schémas
schéma nis, schéma samba, schéma core, schéma éc...
Les schémas
attributetype ( 1.3.6.1.4.1.7165.2.1.20 NAME 'sambaSID'
DESC 'Security ID‘
EQUALITY caseIgnoreIA5Match
SUBSTR ...
Ce qu’on a couvert
• Modèle de données
• Classes et attributs
• Les Schémas
Linux LPIC-3 (examen 300) : Environnement Mixt...
Le modèle fonctionnel
Concepts et architecture
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Le modèle fon...
Plan
• Le modèle fonctionnel
• Les opérations d'authentification et de contrôle
• Les opérations de recherche
• Les opérat...
Le modèle fonctionnel
• Décrit les opérations autorisées sur un annuaire LDAP.
• Similaires aux opérations de manipulation...
Les opérations d'authentification et de contrôle
• LDAP définit
deux opérations d'authentification bind et unbind
une opér...
Les opérations d'authentification et de contrôle
• L'opération Bind
L'opération bind sert à authentifier le client.
Le cli...
Les opérations d'interrogation
• LDAP offre deux opérations d'interrogation
L'opération de recherche
L'opération de compar...
Options de recherche
• Les options des commandes search et compare
base object : entrée à partir de laquelle doit commence...
La profondeur des recherches
• Profondeur de recherche peut prendre trois valeurs :
Base : la recherche est limitée à l'en...
L'expression de recherche
• L'expression de recherche est un ensemble de filtres.
• 6 types filtres
Le filtre d'égalité : ...
Les opérations de modifications : Add
• Ajout des entrées dans l'annuaire.
• Le DN de l'entrée et l'ensemble des valeurs d...
Les opérations de modifications : Modify
• mise à jour des valeurs d'une entrée
• les modifications peuvent être :
des val...
Les opérations de modifications : Delete
• Suppression d'entrées de l'annuaire. Il suffit d'indiquer le DN de l'entrée.
• ...
Les opérations de modifications : Rename
• Sert à renommer ou à déplacer une entrée
• Il faut indiquer le DN de l'entrée,
...
Ce qu’on a couvert
• Modèle fonctionnel
• Les opérations d'authentification et de contrôle
• Les opérations de recherche
•...
Le modèle de sécurité
Concepts et architecture
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Le modèle de ...
Plan
• Le modèle de sécurité
• L'authentification du client
• Le contrôle d'accès
Linux LPIC-3 (examen 300) : Environnemen...
Le modèle de sécurité
• Le modèle de sécurité assure la protection des accès non autorisés
• Couvre deux aspects :
l'authe...
L'authentification du client
• LDAP propose plusieurs choix d'authentification
Anonymous authentication : pas d'authentifi...
Le contrôle d'accès
• Permet de restreindre les accès aux données pour le client authentifié
• Au travers de listes de con...
Le contrôle d'accès
• Les ACL s'expriment avec des règles sous la forme :
<target> <permission> <bind rule>
• target : poi...
Le contrôle d'accès
• Les règles peuvent s'appliquer
à tout ou partie de l'annuaire,
à des entrées ou attributs spécifique...
Ce qu’on a couvert
• Modèle de sécurité
• L'authentification du client
• contrôle d'accès
Linux LPIC-3 (examen 300) : Envi...
Le modèle de duplication
Concepts et architecture
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Le modèle ...
Plan
• La réplication principe
• Le partitionnement avec les référents (referrals servers)
Linux LPIC-3 (examen 300) : Env...
La réplication principe
• La réplication consiste à recopier tout ou partie du contenu d'un annuaire sur un
autre serveur
...
La réplication principe
• Le service de réplication met en jeu plusieurs serveurs :
les Provider servers qui exportent les...
La réplication principe
• La réplication peut être totale ou incrémentale
• Plusieurs stratégies de réplication
master rép...
Le partitionnement
• Le partitionnement consiste à séparer les branches de l'annuaire sur plusieurs serveurs
• Ce service ...
Ce qu’on a couvert
• La réplication principe
• Le partitionnement avec les référents (referrals servers)
Linux LPIC-3 (exa...
LDIF, format d'échange
Concepts et architecture
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
LDIF, format...
LDIF - LDAP Data Interchange Format
• LDIF - LDAP Data Interchange Format
• La syntaxe
• Ajout d'une entrée
• Modification...
LDIF - LDAP Data Interchange Format
• Format standard d'échange de données entre les annuaires LDAP.
• Permet de décrire d...
Le format
• Le format
• Les enregistrements sont représentés comme un groupe de couples attributs-
valeurs. Chaque enregis...
La syntaxe
dn: dc=alphorm, dc=com
dc: alphorm
description: Serveur ldap alphorm
objectClass: dcObject
objectClass: organiz...
Ajout
dn: cn=Ludo Quenec,ou=people,dc=alphorm,dc=com
objectclass: inetOrgPerson
cn: Ludo Quenec
cn: Ludovic Quenec
sn: Que...
Modification
dn: cn=Ludovic Quenec,ou=people,dc=alphorm,dc=com
changetype: modify
add: telephonenumber
telephonenumber: 55...
Modification
dn: cn=Ludovic Quenec,ou=people,dc=alphorm,dc=com
changetype: delete
dn: cn=Ludovic Quenec,ou=people,dc=alpho...
Ce qu’on a couvert
• LDIF - LDAP Data Interchange Format
• La syntaxe
• Ajout d'une entrée
• Modification
Linux LPIC-3 (ex...
Installation et configuration
Installation et configuration d'OpenLdap
Linux LPIC-3 (examen 300) : Environnement Mixte alp...
Plan
• Installation et configuration sur une Debian/Ubuntu
• Installation et configuration sur une Centos/RHEL
Linux LPIC-...
Installation
• Compiler ?
Ne pas bénéficier des updates, les versions proposées sont presque à jour
Réparer un bug
• Trouv...
Configuration d’Opendap
• Plusieurs possibilités de configuration sont possibles avec Openldap 2.4
• Le mode OCL OnLineCon...
Configuration sur une Debian/Ubuntu
• Utiliser l’outil de configuration dpkg
OU
• Utiliser ldif pour la configuration :
1....
Configuration sur une Centos/RHEL
• Après une installation minimale de Centos 6.5 :
1. Installer les outils Openldap serve...
Configuration sur une Centos/RHEL
• Apres une installation minimale de Centos 6.5 :
1. On teste le fichier de conf et on g...
Configuration sur une Centos/RHEL
• On vérifie tout ca avec quelques commandes :
Ldapwhoami -WD cn=admin,dc=alphorm,dc=loc...
Ce qu’on a couvert
• Installation et configuration sur une Debian/Ubuntu
• Installation et configuration sur une Centos/RH...
Gestion des utilisateurs
Utilisation du serveur
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Gestion des ...
Plan
• Création des branches utilisateurs et groupes
• Ajout des groupes
• Ajout de utilisateurs
Linux LPIC-3 (examen 300)...
Création des branches utilisateurs et groupes
• Créer un fichier ldif et simplement ajouter les entrées dans la base
dn: d...
Ajout de groupes
dn: cn=admin, ou=groups, dc=local, dc=local
cn: admin
objectClass: top
objectClass: posixGroup
gidNumber:...
Ajouter les utilisateurs
dn: cn=lquenec, ou=users, dc=alphorm, dc=local
uid: lquenec
gecos: Ludovic Quenec hdu
objectClass...
Ajouter les utilisateurs
• Positionnons des mots de passe pour les users :
ldappasswd -xZWD cn=admin,dc=alphorm,dc=local -...
Ce qu’on couvert
• Création des branches utilisateurs et groupes
• Ajout des groupes
• Ajout de utilisateurs
Linux LPIC-3 ...
Securité de l'annuaire
Configuration avance d'OpenLDAP
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Secur...
Plan
• Menaces sur un annuaire LDAP
• Mecanisme de sécurité
• SSL/TLS, Cryptographie, Les certificats
• OpenSSL
Linux LPIC...
Objectifs 390.2 Securité de l'annuaire
• Les candidats doivent être en mesure de mettre en place un accès chiffré à
l'annu...
Menaces sur un annuaire LDAP
• Interceptions des communications et accès au serveur:
accès non autorisé aux données et con...
Mecanisme de sécurité
• L’operation Bind fournit une methodes simple :
Anonymes
Non authentifié
Couple nom d’utilsateur/mo...
Mecanisme de sécurité
• Le liste de controle d’acces sur les données de l’annuaire
Les ACLs
• Les service de limitations d...
L’opération Bind
• Méthode d’authentification simple
• La méthode d’authentification simple de l’opération Bind donne troi...
SSL/TLS
• SSL/TLS : Secure Socket Layer/Transport layer Security
Est une couche qui permet l’authentification, la confiden...
Le protocole TLS
• TLS utilise à la fois la cryptographie asymétrique pour l’authentification
et un chiffrement symétrique...
Certifacats X509
• Un certificat est un “document” qui permet au travers d’une chaine de
confiance, de certifier le propri...
OpenSSL
• OpenSSL est une boite a outils de chiffrement
• LibreSSL un “fork” d’openSSL afin de réparer la faille Heartblee...
Ce qu’on a couvert
• Menaces sur un annuaire LDAP
• Mecanisme de sécurité
• SSL/TLS, Cryptographie, Les certificats
• Open...
Securité de l'annuaire
Configuration avance d'OpenLDAP
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Secur...
Plan
• Le pare feu : Netfilter – iptables
• Le types de pare feu
Routeur filtrant, filtre local
• Iptables
Linux LPIC-3 (e...
Objectifs 390.2 Securité de l'annuaire
• Les candidats doivent être en mesure de mettre en place un accès chiffré à
l'annu...
Le pare feu : Netfilter – iptables
• Netfilter est la pare feu livré avec le noyaux Linux 2.4
• C’est un module noyau qui ...
Iptables
• Le programme iptables permet de manipuler les regles de filtrages du
noyau linux
• Il permet donc configurer un...
Routage filtrant
• La table FILTER contient 3 chaînes :
INPUT : qui rentre dans le firewall processus locaux
OUTPUT : qui ...
Manipulation des chaînes
• Iptables sert donc a minupiler des regles, des chaines et des tables:
Iptables –A INPUT –p icmp...
Ce qu’on a couvert
• Le pare feu : Netfilter – iptables
• Le types de pare feu
Routeur filtrant, filtre local
• Iptables
L...
SASL
Configuration avance d'OpenLDAP
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
SASL
Site : http://www....
Plan
• SASL Simple Authentification Security Layer
• délégation d'autorisation
Linux LPIC-3 (examen 300) : Environnement M...
Objectifs 390.2 Securité de l'annuaire
• Les candidats doivent être en mesure de mettre en place un accès chiffré à
l'annu...
SASL Simple Authentification Security Layer
• SASL Couche simple d’authentification et de sécurité est un framework
ou cou...
Authentification simples
• Nous avons pu voir trois methodes d’authetifcation avec openldap :
• Anonyme
• Non authentifie ...
SASL Simple Authentication Security Layer
SASL est un framework normalise par l’iETF qui permet alors des
authentification...
Mécanismes SASL
• EXTERNAL : est externalise dans une autre base.
• ANONYMOUS, accès anonyme sans authentification.
• PLAI...
SASL Simple Authentification Security Layer
• SASL est donc un framework qui permet d’interfacer des bases
d’authentificat...
délégation d'autorisation
• Test de délégation d'autorisation en digest-md5
Linux LPIC-3 (examen 300) : Environnement Mixt...
Ce qu’on a couvert
• SASL Simple Authentification Security Layer
• délégation d'autorisation
Linux LPIC-3 (examen 300) : E...
Les ACL Openldap
Configuration avancé d'OpenLDAP
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Les ACL Ope...
Plan
• Les listes de controles d’accès
OU
QUI
QUOI
Mise en place des access list
Linux LPIC-3 (examen 300) : Environnement...
OU
0: dc=alphorm,dc=local
1: cn=admin,dc=alphorm,dc=local
2: ou=users, dc=alphorm,dc=local
3: cn=hamid,ou=users, dc=alphor...
QUI
*
Tous le monde, inclus anonyme et
utilisateurs authentifie
anonymous Anonyme
users utilisateurs authentifie
self util...
QUOI
none =0 Pas access
auth =dx
Demande
d’authentification(bind)
search =scdx Recherche
read =rscdx Lecture
Linux LPIC-3 ...
Quelques exemples
• olcAccess: to * by * read : Lecture pour tous le monde sur tout ls DIT
• olcAccess: to dn.children="dc...
Mise en place des access list
• Avec ldapvi :
olcAccess: {0}to attrs=userPassword by dn.base=cn=admin,dc... Self write
olc...
Ce qu’on a couvert
• Les listes de controles d’accès
OU
QUI
QUOI
Mise en place des access list
Linux LPIC-3 (examen 300) :...
Réplication Openldap
Configuration avancé d'OpenLDAP
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Réplica...
Plan
• La réplication sous OpenLDAP
Réplication maître esclave
Réplication multi-master
Mise en place
Test de la replicati...
Objectifs 390.1 Réplication avec OpenLDAP
• Les candidats doivent bien connaître les différentes stratégies de
réplication...
La réplication sous OpenLDAP
• La réplication d’annuaire consiste à synchroniser plusieurs
annuaires répartis sur le résea...
Réplication maître esclave
• Deux modes de configuration maitre esclave pour la réplication :
le mode “refreshOnly” ou le ...
Réplication multi-maître
• Cette méthode est indentique au mode réplication maitre esclave.
• En revanche il n y a pas de ...
Mise en place de la replication
• Tous d’abord nous devons disposer de deux annuaires ldap !
• Depuis la version 2.4 d’ope...
Mise en place de la replication Provider
• Sur le provider
Déclaration du module dans syncpro dans la base
dn: cn=module{0...
Mise en place de la replication Provider
Configuration du module sur le provider
dn: olcOverlay={0}syncprov,olcDatabase={2...
Mise en place de la replication Provider
• Création de l’utilisateur pour la réplication
dn: cn=replicator,dc=alphorm,dc=l...
Mise en place de la replication Consumer
• Declaration du mode de replicationRefreshOnly
dn: olcDatabase={2}bdb,cn=config
...
Mise en place de la replication Consumer
• Declaration du mode de replicationRefreshOnly ou RefreshAndPersist
dn: olcDatab...
Niveau de log slapd
• Modification du niveau de log a chaud en ldif
dn: cn=config
changetype: modify
replace: olcLogLevel
...
Test de la replication
• Creation d’utlisateurs sur le provider
• Verification sur le consumer
• Voila ☺
Linux LPIC-3 (exa...
Ce qu’on a couvert
• La réplication sous OpenLDAP
Réplication maître esclave
Réplication multi-master
Mise en place
Test d...
Paramétrage des performances
Configuration avancé d'OpenLDAP
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©...
Plan
•Les index
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• Les candidats doivent être en mesure d'évaluer les
performances d'un serveur LDAP et de le paramétrer.
• Domaines de con...
Les index
• A chaque requete Openldap, ouvre la base de données et scan toutes
les entrées de l’annuaire.
• Indexer des at...
Quelles attributs indexer
• Dans les logs
#tail -f /var/log/slapd.log |grep indexed
<= bdb_equality_candidates: (objectCla...
Ajouter et modifications des index
• Avec OnLineConfiguration dans l’entré :
olcDatabase={1}dbd,cn=config
dn: olcDatabase=...
Indexer les attributs
• A chaque modifications ou régulierement, on doit recalculer les index
#service slpad stop
#slapind...
Ce qu’on a couvert
•Les index
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
OpenLDAP en tant que base d'authentification
Intégration de LDAP avec PAM
Linux LPIC-3 (examen 300) : Environnement Mixte ...
Plan
• PAM, NSS et NSLCD
• Installation
• Configuration des services pour ldap sur Ubuntu/Debian
• Configuration des servi...
Objectifs 391.1 : Intégration de LDAP avec PAM et NSS et SSSD
• Les candidats doivent être en mesure de configurer PAM et ...
PAM, NSS et NSLCD
• Le mécanisme NSS Name Service Switch assure l’aiguillage de l'accès à ces
attributs entre les fichiers...
Nslcd et SSSD
• Le service NSLCD Name Service Ldap Configuration Deamon est un
service pour la communication entre ldap et...
Installation
• Sur une nouvelle machine cliente Debian ou Centos
• Les paquets libnss-ldap libpam-ldap ou libnss-ldapd sou...
Configuration des services pour ldap sur Ubuntu/Debian
• Deux modes de configuration
1. Avec les outils auth-client-config...
Les paquets nss-pam-ldapd pam_ldap sous Centos
• Comme pour Debian/Ubuntu deux modes de configuration
• Avec l’ outil auth...
Testons tout cela ☺
• La commande getent permet de récupérer les utilisateurs et groupes a
partir des bases de données pré...
Ce qu’on a couvert
• PAM, NSS et NSLCD
• Installation
• Configuration des services pour ldap sur Ubuntu/Debian
• Configura...
OpenLDAP en tant que base
d'authentification
Intégration OpenLDAP kerberos
Linux LPIC-3 (examen 300) : Environnement Mixte...
Plan
• Comprendre le SSO
• Comprendre Kerberos
• Mise en œuvre de kerberos et Openldap
• Comprendre Active Directory
Linux...
Objectifs 391.2 Intégration de LDAP avec Active Directory et Kerberos
• Les candidats doivent être en mesure d'intégrer LD...
Comprendre le SSO
• Lorsque les utilisateurs accède a des services de type différents, comme par
exemple la messagerie, l’...
Comprendre Kerberos
• Le SSO avec Kerberos
• Protocole développé au MIT dans le cadre du projet Athena au début
des années...
Royaume Kerberos
• L’architecture Kerberos est constituée de serveurs Kerberos,
d’utilisateurs, de postes de travail et de...
Architecture Kerberos
Les principals : Un utilisateur, un client, un serveur
• nom/instance@KRB-REALM
• ldap/master.alphor...
Architecture Kerberos
• Le service Kerberos est constitué de plusieurs entités regroupé dans un
KDC – Key Distribution Cen...
Principes de fonctionnement
• Afin d’acceder aux services “Kerbérises” un utilisateur obtient un ticket
d’accès aupres du ...
Principe de fonctionnement
1
2 TGT
3
Demande de
ST
4 ST
Service Autorité Ticket
Grant Service
Linux LPIC-3 (examen 300) : ...
Principes de fonctionnement
• Repose sur la notion de ticket
• S’appuie sur des clés secrètes symétrique, toutes les
infor...
Notionde ticket
• Un ticket est constitué en deux partie :
chiffrée
claire.
• Les tickets servent à authentifier les requê...
Les services Kerbérisés
• Certains services sont kerbérisés :
Kssh, krlogon, Active Directory
• Certains services ne sont ...
Mise en œuvre de kerberos et Openldap
Kerberos
Service
LDAP
AS/TGS
Client Linux/ServeurSSH
Nslcd-pam
Linux LPIC-3 (examen ...
Mise en œuvre de kerberos et Openldap
• Afin d’utiliser Kerberos avec un serveur Openldap, plusieurs étapes
• Installer nt...
Mise en œuvre de kerberos et Openldap
• Créer les entrées kerberos dans le serveur Opendap
kdb5_ldap_util -D "cn=admin,dc=...
Mise en œuvre de kerberos et Openldap
• Testons le acl
ldapsearch -xZLLLWD cn=krbadmin,ou=users,dc=alphorm,dc=local -b
ou=...
Mise en œuvre de kerberos et Openldap
• Création des principaux et gestion des clés
Kadmin.local
Addprinc –rankey host/mas...
Mise en œuvre de kerberos et Openldap
• Testons kerberos avec un client et serveur !
Installation et configuration du clie...
Mise en œuvre de kerberos et Openldap
• Configuration de sshd pour Kerberos
• Vi /etc/ssh/shhd_config
• On creer un princi...
Mise en œuvre de kerberos et Openldap
• Configuration SASL GSSApI OpenLDAP
• Ajout d’un principal pour le serveur ldap
Kad...
Mise en œuvre de kerberos et Openldap
• Configuration de sasl dans OpenLDAP
vi ~/ldap/sasl.ldif
ldapsearch -LLLY EXTERNAL ...
Ce qu’on a couvert
• Objectifs 391.2 Intégration de LDAP avec Active Directory et Kerberos
• Comprendre le SSO
• Comprendr...
OpenLDAP en tant que base
d'authentification
Intégration OpenLDAP Active
Linux LPIC-3 (examen 300) : Environnement Mixte a...
Plan
• Introduction
• Client LDAP et Microsoft Active Directory
• SASL avec Microsoft Active Directory
• Intégration Openl...
Objectifs 391.2 Intégration de LDAP avec Active Directory et Kerberos
• Les candidats doivent être en mesure d'intégrer LD...
Introduction
Microsoft AD
DC=ad-alphorm,DC=local
Bind ldap
Cn=toto,ou=users,dc=alphorm,dc=local
1
Linux LPIC-3 (examen 300...
OpenLDAP et Active Directory
• Client LDAP et Microsoft Active Directory
Simple ldapsearch pour vérifier
• SASL avec Micro...
Ce qu’on a couvert
• Introduction
• Client LDAP et Microsoft Active Directory
• SASL avec Microsoft Active Directory
• Int...
Architecture et concepts
Fondamentaux sur Samba
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Architecture...
Plan
• Les objectifs 392.1 : Architecture et concepts de Samba
• Le rôle des services et des composants de Samba
• Les por...
Les objectifs 392.1 : Architecture et concepts de Samba
• Etre en mesure de comprendre les concepts essentiels de Samba. D...
Le rôle des services et des composants de Samba
• Samba est une suite de logicielle développée depuis 1991 par un étudiant...
Le rôle des services et des composants de Samba
• Samba mets en œuvre plusieurs services et protocoles :
NetBios sur TCP/I...
Le rôle des services et des composants de Samba
• Samba est composé de trois démons smbd, nmbd, winbind et deux services
s...
Le rôle des services et des composants de Samba
• NMBD :
Le démon serveur nmbd comprend et répond à toutes les requêtes de...
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte
Prochain SlideShare
Chargement dans…5
×

Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte

33 996 vues

Publié le

Formation complète ici:
http://www.alphorm.com/tutoriel/formation-en-ligne-linux-lpic-3-environnement-mixte-examen-300

Cette formation Linux LPIC-300 Environnement Mixte, vous permet d'acquérir et de maîtriser l’administration OPenLDAP 2.4 et l'intégration avec Kerberos.

Vous pouvez également administrer au quotidien Samba 3 et Samba 4 en serveurs de fichier et d'impression, mais aussi en tant que contrôleur de domaine, de membre de domaine Samba3 et Active Directory.

Ludovic Quenec'hdu vous accompagne durant cette première formation de la série LPIC 3. Avec cette formation, vous pouvez valider les connaissances exigées pour la Certification LPIC 3 examen 300 et ainsi le réussir.

Publié dans : Technologie
0 commentaire
3 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
33 996
Sur SlideShare
0
Issues des intégrations
0
Intégrations
7 415
Actions
Partages
0
Téléchargements
548
Commentaires
0
J’aime
3
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Alphorm.com Formation Linux LPIC-3 (examen 300) Environnement mixte

  1. 1. Linux LPIC-3 (examen 300) : Présentation de la formation. Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Linux LPIC-3 (examen 300) : Environnement Mixte Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Ludovic Quenec'hdu Formateur et Consultant indépendant OpenSource et virtualisation
  2. 2. Plan • Présentation du formateur • Qu’est-ce que la LPIC? • La certification LPIC 3 • Le plan de formation • Publics concernés Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Publics concernés • Connaissances requises • Présentation du Lab • Liens des ressources logicielles
  3. 3. A propos du formateur • Ludovic Quenec’ hdu • lquenec@gmail.com Mon profil LinkedIn : https://www.linkedin.com/pub/ludovic-quenec-hdu Mon profil Alphorm : http://www.alphorm.com/auteur/Ludovic-QUENECHDU • Formateur et consultant indépendant Logiciel libre depuis plus de 15 ans, Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© 15 ans, • Consultant en virtualisation • Consultant expert en logiciels Libre • administrateur, chef de projet, architecte et consultant • Je dispense des formations sur les logiciels libres depuis plus de 15 ans.
  4. 4. A propos de la LPIC-3 • La certification Linux senior (LPIC-3) est le point culminant du programme des certifications du LPI. • Elle valide les compétences nécessaires pour la gestion à un niveau "structure ou entreprise". • développé à partir de contributions de centaines de professionnels du monde entier ainsi que celles d’entreprises parmi les plus importantes du secteur des technologies. • certification indépendante de la distribution Linux de plus haut niveau dans le monde de Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • certification indépendante de la distribution Linux de plus haut niveau dans le monde de l’entreprise. 300 Mixed Environment (remplace les 301 et 302 depuis octobre 2013) 303 Sécurité 304 Virtualisation et Haute disponibilité
  5. 5. La certification LPIC LPIC 301 + 302 Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© LPIC 301 + 302 Intégration des services réseaux hétérogène Samba 3 et Samb 4 Adminstriation Openldap
  6. 6. Objectifs de l’examen 300 de la LPIC-3 • Afin de réussir l’examen LPIC 3, vous devez disposer de : Plusieurs années d’expérience sur l’installation et l’administration de système Linux dans differents environnements . Connaître les niveaux de l'administration Linux, y compris l'installation, la gestion, la sécurité, le dépannage et la maintenance être capable d'utiliser des outils open-source afin de mesurer la planification des capacités et des ressources pour résoudre les problèmes Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© être capable d'utiliser des outils open-source afin de mesurer la planification des capacités et des ressources pour résoudre les problèmes Avoir une expérience professionnelle sur les outils LDAP avec les services Unix et les services Windows, y compris Samba, PAM, NSS, Active Directory. être en mesure de planifier, architecturer, designer et mettre en œuvre un environnement complet en utilisant Samba3, samba4, LDAP et Kerberos.
  7. 7. Le plan de formation Concepts et architecture Les annuaires et Openldap Le protocole LDAP Le modèle de nommage Le modèle de données Le modèle fonctionnel Le modèle de sécurité Le modèle de duplication LDIF, un format d'échange de données Installation et configuration d'OpenLdap OpenLDAP en tant que base d'authentification Intégration de LDAP avec PAM et NSS Intégration de LDAP avec Active Directory et Kerberos Fondamentaux sur Samba Architecture et concepts de Samba Configuration de Samba Maintenance courante de Samba Résolution de problèmes avec Samba Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Installation et configuration d'OpenLdap Installation et configuration d'OpenLdap Gestion des utlisateurs et groupes Configuration avance d'OpenLDAP SSL/TLS Iptables SASL (ACL) dans LDAP Réplication avec OpenLDAP performances du serveur OpenLDAP Configuration des partages Samba Partages de fichiers Permissions sur le système de fichiers Linux et les partages Services d'impression Gestion des utilisateurs et des groupes Samba Gestion des comptes utilisateurs et des groupes Authentification, autorisation et Winbind
  8. 8. Le plan de formation Samba et domaines Windows Samba en tant que contrôleur de domaine principal (PDC) Samba3 TDBSAM Samba en tant que contrôleur de domaine principal (PDC) Samba3 avec LDAP Samba en tant que contrôleur de domaine secondaire (BDC) SAMBA3 TDBSAM et LDAP Contrôleur de domaine compatible AD avec Samba4 Configuration de Samba en tant que serveur membre et DC du domaine Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© membre et DC du domaine gestions des clients MS windows Service de nom Samba NetBIOS et WINS Résolution de nom Active Directory Travail avec les clients Linux et Windows Intégration CIFS Conclusion Le mot de la fin
  9. 9. A Propos de la formation • Public concerné Ingénieur, administrateur et technicien voulant installer, configurer, administrer et dépanner un environnement OpenLDAP/Samba et AD • Connaissances préalables au cours Avoir réussi ou suivi les formations LPIC-1, LPIC-2 Disposer d’une bonne expérience (entreprise) dans des environnements Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Disposer d’une bonne expérience (entreprise) dans des environnements hétérogènes MS windows, Linux. Gestion d’une administraton système De bonnes connaissances sur les réseaux TCP/IP De bonnes connaissances dans la gestion des utilisateurs.
  10. 10. Présentation du Lab • Cette formation ne demande pas des ressources CPU/RAM extravagantes, comme peut être une formation sur la Virtualisation par exemple. • Néanmoins au cours de cette formation nous allons déployer plusieurs serveurs Linux et au moins un serveur Windows 200X et un client Windows 7/8. • Ce qui veux dire que nous aurons 4 machines virtuelles qui tournent • Il faut donc disposer de ressources suffisantes : Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Il faut donc disposer de ressources suffisantes : Un PC Core i5/7 pour la virtualisation et au moins 8Go de RAM pour déployer un serveur et client MS Windows. J’ utiliserai VirtualBox pour la virtualisation des serveurs.
  11. 11. Liens des ressources logicielles • Le Wiki LPI : http://wiki.lpi.org/wiki/LPIC-3 • Samba Experience http://sambaxp.org/sambaxp-home.html Wiki Samba 3 et 4 Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Wiki Samba 3 et 4 https://wiki.samba.org/index.php/Main_Page https://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/ • Documentation Active Directory https://technet.microsoft.com/fr-fr/windowsserver/dd448614
  12. 12. Are you ready ? ☺ Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  13. 13. Concepts et architecture Les annuaires et Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Les annuaires et Openldap Ludovic Quenec'hdu Formateur et Consultant indépendant OpenSource et virtualisation
  14. 14. Plan • Les annuaires • Les annuaires électroniques • Historique d’Openldap Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  15. 15. Les annuaires • Le petit Larousse nous dit : ANNUAIRE n.m. (du lat. annuus, annuel). Ouvrage publié chaque année, donnant la liste des membres d'une profession, des abonnés à un service, etc. : Annuaire du téléphone, Botin. • L'exemple classique d'un répertoire est l’annuaire téléphonique, où les gens sont classés par ordre alphabétique et en regard leurs numéros de téléphone et adresses. Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Chaque personne (ou famille) représente alors un objet, le numéro de téléphone et l’adresse sont les attributs de cet objet. • Certains objets peuvent être aussi des entreprises, et leurs attributs peuvent alors inclure les numéros de fax ou les heures d'ouverture et diverses informations (Logo, adresse de messagerie,…). Famille de Ludo 11 rue du paradis Tel : 0033 6 78 45 24 67 Entreprise a Ludo 11 rue du paradis Tel : 0033 6 78 45 24 67 Fax : 784930202
  16. 16. Les annuaires électroniques • Contrairement à son homologue imprimé, un annuaire électronique a une nature hiérarchique. • Ce qui permet aux objets d'être placés sous d'autres objets pour indiquer une relation parent-enfant. • Par exemple, le répertoire téléphonique pourrait être étendu et avoir des objets représentant des zones de la ville, chacune avec des objets personnes et entreprises se trouvant sous les objets de zone. Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© trouvant sous les objets de zone. • Les objets arrondissement se trouverait alors sous un objet ville, et qui pourrait encore se trouver sous un objet état ou province, et ainsi de suite. • Une copie imprimée serait beaucoup plus difficile à utiliser car vous auriez besoin de connaître le nom et localisation géographique, alors qu’il serait peut être plus simple de rechercher par type d’entreprise. Je cherche un plombier • En revanche, les ordinateurs sont capables de trier et rechercher des informations dans des fichiers, répertoires et bases de données, cela permet donc une structure plus évoluée.
  17. 17. Les annuaires électroniques France Ile de France Provence Paris Marseille Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Paris Marseille 11e arrondissement 8e arrondissements Famille de Ludo Adresse : 7 rue du paradis Tel : 0033 6 78 45 24 67
  18. 18. Les annuaires électroniques • L'utilisation d'annuaire ne se limite pas à la recherche de personnes ou de ressources. Un annuaire permet de : constituer un carnet d'adresse authentifier des utilisateurs définir les droits de chaque utilisateur Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© définir les droits de chaque utilisateur recenser des informations sur un parc matériel (ordinateurs, serveurs, leurs adresses IP et adresses MAC, ...) contenir les informations configuration des services DHCP, DNS, … décrire les applications disponibles
  19. 19. Les annuaires électroniques • ils sont dynamiques : la mise à jour d'un annuaire électronique est beaucoup plus simple à réaliser que celle d'un annuaire papier. Ainsi un annuaire en ligne sera à jour beaucoup plus rapidement, d'autant plus que les personnes recensées dans l'annuaire peuvent elles-mêmes modifier les informations les concernant. • ils sont sûrs : les annuaires en ligne disposent de mécanismes d'authentification des utilisateurs grâce à un mot de passe et un nom d'utilisateur ainsi que des Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© des utilisateurs grâce à un mot de passe et un nom d'utilisateur ainsi que des règles d'accès permettant de définir les branches de l'annuaire auxquelles l'utilisateur peut accéder • ils sont souples : ils permettent ainsi de classer l'information selon des critères multiples contrairement aux annuaires papiers, imprimés une fois pour toute pour permettre de rechercher selon un critère figé (en général l'ordre alphabétique selon le nom)
  20. 20. Les annuaires électroniques • On trouve beaucoup d’implémentations d’annuaires électronique. Tous ces serveurs implémentent le protocole LDAP: Apache Directory Server, Open Directory d'Apple, Critical Path Directory Server et Meta Directory Server Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© 389 Directory Server, OpenLDAP, Mandriva Directory Server offre une interface web pour administrer Samba et LDAP Oracle Directory Server Enterprise Edition, Oracle Internet Directory, IBM SecureWay Directory, IBM Directory Server, IBM Lotus Domino, IBM Tivoli Directory Server Microsoft Active Directory
  21. 21. Historique d’Openldap • Le projet a débuté en 1998 sous l'impulsion de Kurt Zeilenga en prenant pour base les travaux de l'Université du Michigan où des chercheurs développaient le protocole LDAP. Parmi les autres contributeurs, il y a Howard Chu et Pierangelo Masarati. OpenLDAP Version 1 (1998) : première version publique OpenLDAP Version 2 (août 2000) : prise en charge de LDAPv3, d'IPv6, du TLS, … Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© OpenLDAP Version 2.1 (juin 2002) : OpenLDAP Version 2.2 (décembre 2003) : OpenLDAP Version 2.3 (juin 2005) : possibilité d'avoir la configuration accessible dans l'annuaire (cn=config) OpenLDAP Version 2.4 (octobre 2007) : réplication miroir et multi-maîtres; réplication Proxy Sync; extensions LDAP v3.
  22. 22. OpenLDAP fournit • Un protocole de communication. • Un modèle de données • Un modèle de nommage • Un modèle fonctionnel Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • un modèle de sécurité • Un format d'échange de données, le format LDIF. • Un modèle de réplication
  23. 23. Ce qu’on a couvert • Les annuaires • Les annuaires électroniques • Historique d’Openldap Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  24. 24. Le protocole LDAP Concepts et architecture Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Le protocole LDAP Lightweight Directory acces Protocol Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Ludovic Quenec'hdu Formateur et Consultant indépendant OpenSource et virtualisation
  25. 25. Plan • Lightweight Directory Access Protocol Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  26. 26. Lightweight Directory Access Protocol • Un protocole d'accès aux données dans un annuaire. Il définit comment ajouter, modifier, supprimer, rechercher des données dans une base de données, quels protocoles de chiffrement utilisés (kerberos, ssl...), et quels mécanismes d'authentification sont utilisés. • Ce protocole est utilisé dans la relation client/serveur, mais également entre serveurs (serveur/serveur). Les BDs LDAP peuvent être dupliquer et repartie LDAP Lightweight Directory Access Protocol, issu de X.500 Directory Access Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • LDAP Lightweight Directory Access Protocol, issu de X.500 Directory Access Protocol (DAP) • Le protocole fut créé par Tim Howes de l'Université du Michigan, Steve Kille du ISODE et Wengyik Yeong de Performance Systems International en 1993
  27. 27. Lightweight Directory Access Protocol • Initialement LDAP était un protocole d'accès à un annuaire X.500 avant que l'université du Michigan n'en fasse un annuaire Standalone • L'annuaire LDAP est une base de donnée organisée hiérarchiquement qui recense des données sur des objets qui peuvent être des personnes, des serveurs, des imprimantes, … • Il existe deux versions de LDAP : LDAPv2 et LDAPv3 Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Il existe deux versions de LDAP : LDAPv2 et LDAPv3 • LDAP v3 devient un standard pour l'Internet (RFC 2251) • LDAP V3 permet d’etendre les fonctionnalitées
  28. 28. Lightweight Directory Access Protocol • Les messages LDAP sont codés sous une forme BER (Basic Encoding Rule) Se connecter, se déconnecter, rechercher des informations, comparer, modifier, supprimer, … • Les requêtes ont un identifiant de requête nommé numéro de séquence, qui permet au client de connaître sa réponse en cas de Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© séquence, qui permet au client de connaître sa réponse en cas de multiples réponses.
  29. 29. Lightweight Directory Access Protocol • Usage d'un service d'annuaire LDAP un service d'annuaire un service d'authentification pour la messagerie, carnet d’adresses Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© pour les applications internet/intranet, certificats, configuration des applis…
  30. 30. Ce qu’on a couvert • Lightweight Directory Access Protocol Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  31. 31. Le modèle de nommage Concepts et architecture Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Le modèle de nommage Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Ludovic Quenec'hdu Formateur et Consultant indépendant OpenSource et virtualisation
  32. 32. Plan • Le modèle de nommage • Le Directory Information Tree DIT • Structure de l'annuaire Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  33. 33. Le modèle de nommage • Le modèle de nommage définit l'organisation des données et la façon d'y accéder. • Il spécifie une structure arborescente appelée le Directory Information Tree (DIT) dans laquelle on trouve des entrées. • L'arbre est composé d'entrées simples et d'alias. • Depuis LDAP v3, Les entrées d'un annuaire peuvent être réparties entre plusieurs Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Depuis LDAP v3, Les entrées d'un annuaire peuvent être réparties entre plusieurs serveurs (referall ) et peuvent etre designés de deux facons, les DN et le RDN.
  34. 34. Le modèle de nommage • Il y a plusieurs approches afin d’organiser le nommage des entrées : Par pays : C=FR, C=UK Par organisation : O=ALPHORM Par nom de domaine : ALPHORM.COM DC=ALPHORM,DC=COM Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  35. 35. Le Directory Tree, structure de l’arbre • On peut trouver pour une grande organisation : Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  36. 36. Structure de l'annuaire, Exemples d'arbres • Dans ce cadre, le modèle LDAP peut être plat : Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  37. 37. Structure de l'annuaire, Exemples d'arbres • Découpage pour refléter l'organisation interne : Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  38. 38. Structure de l'annuaire, Exemples d'arbres • Découpage par type d'objet : Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  39. 39. Structure de l'annuaire • Au sommet de l’arbre se trouve la racine ou suffixe appelé Directory Infomation Tree (DIT) • Chaque entrée a un identifiant unique, le Distinguished Name (DN). • Il est constitué à partir de son Relative Distinguished Name (RDN) suivi du DN de son parent. C'est une définition récursive. • On peut faire l'analogie avec une autre structure arborescente, les systèmes de fichiers ; le DN étant le chemin absolu et le RDN le chemin relatif à un répertoire. En règle générale le RDN d'une entrée représentant une personne est l'attribut cn (common name) : Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© DN étant le chemin absolu et le RDN le chemin relatif à un répertoire. En règle générale le RDN d'une entrée représentant une personne est l'attribut cn (common name) : dc=com dc=alphorm ou=people ou=groupe cn=ludo • Le RDN est rdn:cn=ludo, son DN est dn: cn=ludo, ou=people, dc=alphorm,dc=com
  40. 40. Structure de l'annuaire • Au sommet de l’arbre on trouve donc des attributs de différents types qui constituent donc le DIT. • dc est l’abréviation de domain component (composante du domaine). • Dans notre exemple com est le top-level du domaine et alphorm est un sous domaine de com. • Ils sont alors séparés dans deux entités différentes et sont donc séparés par des virgules dans la norme X500 Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Ils sont alors séparés dans deux entités différentes et sont donc séparés par des virgules dans la norme X500 dc=alphorm, dc=com
  41. 41. Structure de l'annuaire • On trouvera donc un espace de nom de type : Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • On trouve également ObjectClasss
  42. 42. Ce qu’on a couvert • Le modèle de nommage • Le Directory Information Tree DIT • Structure de l'annuaire Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  43. 43. Le modèle de données Concepts et architecture Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Le modèle de données Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Ludovic Quenec'hdu Formateur et Consultant indépendant OpenSource et virtualisation
  44. 44. Plan • Modèle de données • Classes et attributs • Les schémas Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  45. 45. Modèle de données • Définit les informations stockées dans un annuaire et leurs représentations. Les informations ou données sont stockées sous forme hiérarchique. Dans un arbre appelé Directory Information Tree (DIT), chaque élément de cet arbre est une entrée Directory Entry Service (DES), ces dernieres sont regroupés par objet. Un objet représente une abstraction du monde réel : • personnes, organisation, ressources, service Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • personnes, organisation, ressources, service • machines, configuration, équipement, … Une classe d’objet donne la description des objets en caractérisant des attributs On trouve un couple attributs –valeurs d'attributs, les attributs d'une entrée peuvent être obligatoires ou optionnels, multi-valeurs ou non. Toutes ces informations entrées sont constituées dans des schémas.
  46. 46. Classes et attributs • Les attributs sont caractérisés par : Un nom qui l'identifie Un Object Identifier (OID) qui l'identifie S'il est mono ou multi-valeurs Un indicateur d'usage (facultatif/obligatoire) Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Un indicateur d'usage (facultatif/obligatoire) Une syntaxe et des règles de comparaison Un format ou une limite de taille de valeur qui lui est associé
  47. 47. Classes et attributs Nom Description sn Nom de famille, dérive de l'attribut name telephoneNumber Numéro de téléphone member Membre d'un groupe. Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© attributetype ( 2.5.4.4 NAME ( 'sn' 'surname' ) DESC 'RFC2256: last (family) SUP name ) attributetype ( 2.5.4.20 NAME 'telephoneNumber' DESC 'RFC2256: Telephone Number' EQUALITY telephoneNumberMatch SUBSTR telephoneNumberSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.50{32} ) ( 2.5.6.6 NAME 'person' SUP top STRUCTURAL MUST ( sn $ cn ) MAY ( userPassword $ telephoneNumber $ seeAlso $ description ) )
  48. 48. Classes et attributs • L'object Identifier est issu de X.500, il est aussi unique : Un OID est une suite de nombres séparés par des points OID Description 0 branche de l'International Télécommunication Union 1 branche ISO Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© 2 branche commune entre l'International Telecommunication Union et ISO 2.5 fait référence au service X500 2.5.4 définition des types d'attributs 2.5.6 définition des classes d'objets 1.3.6.1 the Internet OID 1.3.6.1.4.1 IANA-assigned company OIDs, used for private MIBs 1.3.6.1.4.1.4203 OpenLDAP
  49. 49. Classes et attributs • Toutes les entrées de l'annuaire appartiennent à une ou plusieurs classes d'objet (héritage). • Une classe d'objet possède un nom et un ensemble d’attributs. Ces attributs peuvent être obligatoires ou optionnels • Les classes d'objets forment une hiérarchie avec au sommet l'objet top • Les noms de ces classes d’objet sont listés dans un type d'attribut multi-valué Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Les noms de ces classes d’objet sont listés dans un type d'attribut multi-valué spécial appelé ObjectClass.
  50. 50. Classes et attributs • Une classe d'objet est caractérisée par : un nom de classe unique dans l'annuaire un identifiant de classe (OID) unique un ensemble d'attributs obligatoires généralement petit un ensemble d'attributs optionnels généralement plus grand Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© un ensemble d'attributs optionnels généralement plus grand un type qui peut prendre les valeurs structural, auxiliary ou abstract..
  51. 51. Classes et attributs • Le type de la classe est lié à la nature des attributs : La classe structurelle correspond aux objets de bases manipulés dans l'annuaire (ex : les personnes) La classe auxiliaire définit des objets qui ajoute des informations aux classes structurelles La classe abstraite correspond à des objets particuliers comme top ou alias Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© La classe abstraite correspond à des objets particuliers comme top ou alias ( 2.5.6.0 NAME 'top' ABSTRACT MUST objectClass ) ( 2.5.6.3 NAME 'locality' SUP top STRUCTURAL MAY ( street $ seeAlso $ searchGuide $ st $ l $ description ) ) ( 2.5.6.6 NAME 'person' SUP top STRUCTURAL MUST ( sn $ cn ) MAY ( userPassword $ telephoneNumber $ seeAlso $ description ) )
  52. 52. Les Schémas • Les attributs, classe d’objet sont définis dans des schémas schéma nis, schéma samba, schéma core, schéma écrit par un utilisateur On peut créer ses propres schémas pour un besoin bien spécifiques, il faut donc récupérer des OID auprès de l’IANA Samba.schema, nis.schema, core.schema, monschema.schema, … Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Samba.schema, nis.schema, core.schema, monschema.schema, …
  53. 53. Les schémas attributetype ( 1.3.6.1.4.1.7165.2.1.20 NAME 'sambaSID' DESC 'Security ID‘ EQUALITY caseIgnoreIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26{64} SINGLE-VALUE ) objectclass ( 1.3.6.1.4.1.7165.2.2.11 NAME 'sambaShare' SUP top STRUCTURAL DESC 'Samba Share Section' Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© DESC 'Samba Share Section' MUST ( sambaShareName ) MAY ( description ) )
  54. 54. Ce qu’on a couvert • Modèle de données • Classes et attributs • Les Schémas Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  55. 55. Le modèle fonctionnel Concepts et architecture Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Le modèle fonctionnel Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Ludovic Quenec'hdu Formateur et Consultant indépendant OpenSource et virtualisation
  56. 56. Plan • Le modèle fonctionnel • Les opérations d'authentification et de contrôle • Les opérations de recherche • Les opérations de modification Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  57. 57. Le modèle fonctionnel • Décrit les opérations autorisées sur un annuaire LDAP. • Similaires aux opérations de manipulation des fichiers sous UNIX • Trois types d’opérations possibles : les opérations d'authentification et de contrôle les opérations recherches sur l'annuaire Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© les opérations recherches sur l'annuaire les opérations de mise à jour définissant la façon de manipuler les entrées de l'annuaire, Ajout, suppression, modification • Un numéro de séquence est attribué à chaque requête afin que le client puisse reconnaître les réponses, à chaque opération, le serveur renvoie également un acquittement.
  58. 58. Les opérations d'authentification et de contrôle • LDAP définit deux opérations d'authentification bind et unbind une opération de contrôle, l'opération abandon. Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  59. 59. Les opérations d'authentification et de contrôle • L'opération Bind L'opération bind sert à authentifier le client. Le client fournit un DN et un password. Après vérification par le serveur, le client est autorisé à se connecter on non. L'authentification peut être sécurisée avec TLS, SASL,… • Opération unbind Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Opération unbind Utilisée par le client pour se déconnecter du serveur. Le serveur termine toutes les opérations en cours, puis ferme la connexion. • Opération abandon permet au client de demander au serveur l'arrêt du traitement d'une opération. Le client fournit l'ID du message de l'opération. Le serveur arrête l’opération correspondante
  60. 60. Les opérations d'interrogation • LDAP offre deux opérations d'interrogation L'opération de recherche L'opération de comparaison • Opération de recherche (search) Elle offre une recherche multi-critères sur les entrées de l'annuaire Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Elle offre une recherche multi-critères sur les entrées de l'annuaire Elle simule la fonction de lecture (recherche limitée à une entrée) • Opération de comparaison (compare) Vérifie qu'une entrée contient une valeur d'attributs donnée
  61. 61. Options de recherche • Les options des commandes search et compare base object : entrée à partir de laquelle doit commencer la recherche scope : la profondeur de la recherche size limit : nombre de réponses limites time limit : temps maxi alloué pour la recherche Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© search filter : le filtre de recherche attrOnly : renvoie ou pas la valeur des attributs en plus de leur type list of attributes : la liste des attributs que l'on souhaite connaître
  62. 62. La profondeur des recherches • Profondeur de recherche peut prendre trois valeurs : Base : la recherche est limitée à l'entrée désignée Onelevel : la recherche est limitée aux enfants immédiats Subtree : la recherche est limitée à l'entrée et son sous-arbre Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  63. 63. L'expression de recherche • L'expression de recherche est un ensemble de filtres. • 6 types filtres Le filtre d'égalité : cn=Ludo Le filtre de contenance : cn=Lu*, sn=*que*, cn=Ha* Le filtre d'approximation : cn~=ludo) Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Le filtre d'approximation : cn~=ludo) Le filtre de comparaison : cn>ludo, <= , >= , < Le filtre de présence : cn=* Le filtre extensible match (LDAP v3)
  64. 64. Les opérations de modifications : Add • Ajout des entrées dans l'annuaire. • Le DN de l'entrée et l'ensemble des valeurs des attributs de la nouvelle entrée. • Conditions à respecter le parent de la nouvelle entrée doit déjà exister dans l'annuaire, il n'existe pas d'entrée portant le même nom, Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© il n'existe pas d'entrée portant le même nom, le contrôle d'accès doit autoriser cette opération d'ajout.
  65. 65. Les opérations de modifications : Modify • mise à jour des valeurs d'une entrée • les modifications peuvent être : des valeurs à ajouter des valeurs à supprimer des valeurs à remplacer Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Conditions à respecter l'entrée à effacer doit exister dans l'annuaire, elle ne doit pas avoir d'enfants le contrôle d'accès doit autoriser cette opération de modification
  66. 66. Les opérations de modifications : Delete • Suppression d'entrées de l'annuaire. Il suffit d'indiquer le DN de l'entrée. • Conditions à respecter l'entrée à effacer doit exister dans l'annuaire, elle ne doit pas avoir d'enfants le contrôle d'accès doit autoriser cette opération de suppression Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© le contrôle d'accès doit autoriser cette opération de suppression
  67. 67. Les opérations de modifications : Rename • Sert à renommer ou à déplacer une entrée • Il faut indiquer le DN de l'entrée, • Fournir le nouveau RDN ou DN • Préciser si l'ancien RDN doit être effacé ou pas • Conditions à respecter Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Conditions à respecter l'entrée à effacer doit exister dans l'annuaire, elle ne doit pas avoir d'enfants le contrôle d'accès autorise l'opération de renommage
  68. 68. Ce qu’on a couvert • Modèle fonctionnel • Les opérations d'authentification et de contrôle • Les opérations de recherche • Les opérations de modification Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  69. 69. Le modèle de sécurité Concepts et architecture Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Le modèle de sécurité Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Ludovic Quenec'hdu Formateur et Consultant indépendant OpenSource et virtualisation
  70. 70. Plan • Le modèle de sécurité • L'authentification du client • Le contrôle d'accès Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  71. 71. Le modèle de sécurité • Le modèle de sécurité assure la protection des accès non autorisés • Couvre deux aspects : l'authentification du client le contrôle d'accès aux données. • L'authentification du client peut être sécurisée Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • L'authentification du client peut être sécurisée
  72. 72. L'authentification du client • LDAP propose plusieurs choix d'authentification Anonymous authentication : pas d'authentification Simple password : authentification avec mot de passe en clair Simple password over SSL : le client s'authentifie par un mot de passe transmis par SSL ou TLS. Ce choix est fait pour les annuaires nécessitant un niveau élevé de sécurité. Certificate authentication over SSL : le client s'authentifie en utilisant pleinement le Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Certificate authentication over SSL : le client s'authentifie en utilisant pleinement le protocole SSL (usage d'un certificat). SASL –Simple Authentication and Security Layer – fournit l’encryptage des données, l’authentification et la signature des messages. (kerberos)
  73. 73. Le contrôle d'accès • Permet de restreindre les accès aux données pour le client authentifié • Au travers de listes de contrôle d’accès ou ACL – Access Control List • Permet de définir plusieurs niveaux de visibilité, d’écriture, de limite, de sécurité d'un annuaire Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  74. 74. Le contrôle d'accès • Les ACL s'expriment avec des règles sous la forme : <target> <permission> <bind rule> • target : point d'entrée de l'annuaire auquel s'applique la règle • permission : permet ou refuse un type d'accès (read,write,search...) • bind rule : identifie le bindDN utilisé en connexion Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • bind rule : identifie le bindDN utilisé en connexion
  75. 75. Le contrôle d'accès • Les règles peuvent s'appliquer à tout ou partie de l'annuaire, à des entrées ou attributs spécifiques • Exemple : une liste de diffusion autorisée à son seul propriétaire ! • Les permissions peuvent être appliquées Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Les permissions peuvent être appliquées aux utilisateurs, authentifié, anonymes aux groupes
  76. 76. Ce qu’on a couvert • Modèle de sécurité • L'authentification du client • contrôle d'accès Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  77. 77. Le modèle de duplication Concepts et architecture Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Le modèle de duplication Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Ludovic Quenec'hdu Formateur et Consultant indépendant OpenSource et virtualisation
  78. 78. Plan • La réplication principe • Le partitionnement avec les référents (referrals servers) Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  79. 79. La réplication principe • La réplication consiste à recopier tout ou partie du contenu d'un annuaire sur un autre serveur • La duplication est utilisée pour : Mettre en œuvre une architecture d'annuaires hautement disponible Permettre l'équilibrage de charge entre serveurs Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Rapprocher les serveurs des utilisateurs Importer des portions d'annuaire
  80. 80. La réplication principe • Le service de réplication met en jeu plusieurs serveurs : les Provider servers qui exportent les données, les Consumer servers qui les importent • La replication agreement précise quels serveur est le serveur Provider Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© quels serveur est le serveur Provider quels sont ses consumers quelles sont les données échangées
  81. 81. La réplication principe • La réplication peut être totale ou incrémentale • Plusieurs stratégies de réplication master réplication : un provider et des consumer en read-only, refreshOnly et refeshAndPersist multiple-master réplication, les consumers sont également Provider En cascade (les consumer deviennent des suppliers pour d'autres serveurs) Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© En cascade (les consumer deviennent des suppliers pour d'autres serveurs)
  82. 82. Le partitionnement • Le partitionnement consiste à séparer les branches de l'annuaire sur plusieurs serveurs • Ce service est assuré par les referrals Les mécanismes qui permettent de créer des liens d’arbres entre eux s’appellent Les knowledge references Le point de branchement d'un arbre qui vient se raccrocher un autre DIT se nomme (immediate superior knowledge reference) Un ObjectClass permet de créer des dn vers les autres serveurs Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Un ObjectClass permet de créer des dn vers les autres serveurs Si l’objet n’est pas dans son espace de nommage, les serveurs utilisent alors Les knowledge references
  83. 83. Ce qu’on a couvert • La réplication principe • Le partitionnement avec les référents (referrals servers) Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  84. 84. LDIF, format d'échange Concepts et architecture Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© LDIF, format d'échange de données Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Ludovic Quenec'hdu Formateur et Consultant indépendant OpenSource et virtualisation
  85. 85. LDIF - LDAP Data Interchange Format • LDIF - LDAP Data Interchange Format • La syntaxe • Ajout d'une entrée • Modification Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  86. 86. LDIF - LDAP Data Interchange Format • Format standard d'échange de données entre les annuaires LDAP. • Permet de décrire des objets dans l’annuaire • Permet également de décrire la manipulation des objets dans LDAP Exporter/importer, ajout, suppression, modifications. Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • C’est un fichier simple, format texte.
  87. 87. Le format • Le format • Les enregistrements sont représentés comme un groupe de couples attributs- valeurs. Chaque enregistrement est séparé d'un autre par une ligne vide. • Les attributs d'un enregistrement sont représentés sur une seule ligne logique par un couple "nom: valeur". Il est possible de représenter un attribut sur plusieurs lignes en faisant précéder les lignes supplémentaires par un espace. Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© plusieurs lignes en faisant précéder les lignes supplémentaires par un espace. • Les données sont normalement encodées en ASCII, cependant s'il n'est pas possible de représenter le caractère en ASCII, il faut utiliser l'UTF-8 encodé en base64.
  88. 88. La syntaxe dn: dc=alphorm, dc=com dc: alphorm description: Serveur ldap alphorm objectClass: dcObject objectClass: organization o: Serveur alphorm dn: ou=people, dc=alphorm, dc=com Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© dn: ou=people, dc=alphorm, dc=com ou: people objectClass: organizationalUnit dn: cn=admin, ou=people, dc=alphorm, dc=com description: Administrateur LDAP objectClass: organizationalRole cn: admin
  89. 89. Ajout dn: cn=Ludo Quenec,ou=people,dc=alphorm,dc=com objectclass: inetOrgPerson cn: Ludo Quenec cn: Ludovic Quenec sn: Quenec uid: lQuenec userpassword: JN78,2/@rzp carlicense: grosseVoiture Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© carlicense: grosseVoiture homephone: 555-111-2223 mail: l.Quenec@alphorm.com mail: lQuenec@alphorm.com mail: Ludo.Quenec@alphorm.com ou: Formation
  90. 90. Modification dn: cn=Ludovic Quenec,ou=people,dc=alphorm,dc=com changetype: modify add: telephonenumber telephonenumber: 555-555-1212 telephonenumber: 212-135-654 replace: uid uid: rjosmith Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© uid: rjosmith Replace mail: robert.smith@example.com mail: bob.smith@example.com – add: jpegphoto jpegphoto: < file://path/to/jpeg/file.jpg delete: description
  91. 91. Modification dn: cn=Ludovic Quenec,ou=people,dc=alphorm,dc=com changetype: delete dn: cn=Ludovic Quenec,ou=people,dc=alphorm,dc=com changetype: delete delete: telephonenumber Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© telephonenumber: 555-555-1212
  92. 92. Ce qu’on a couvert • LDIF - LDAP Data Interchange Format • La syntaxe • Ajout d'une entrée • Modification Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  93. 93. Installation et configuration Installation et configuration d'OpenLdap Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Installation et configuration Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Ludovic Quenec'hdu Formateur et Consultant indépendant OpenSource et virtualisation
  94. 94. Plan • Installation et configuration sur une Debian/Ubuntu • Installation et configuration sur une Centos/RHEL Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  95. 95. Installation • Compiler ? Ne pas bénéficier des updates, les versions proposées sont presque à jour Réparer un bug • Trouver les paquets : Yum search openldap; apt-cache search openldap Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Yum search openldap; apt-cache search openldap • Installer le paquets apt-get install slapd ldap-utils Yum install openldap-server openldap-client
  96. 96. Configuration d’Opendap • Plusieurs possibilités de configuration sont possibles avec Openldap 2.4 • Le mode OCL OnLineConfiguration au travers de ldif • OU • Créer un fichier slapd.conf comme on faisait avant la version 2.4 • Deux méthodes proposées : Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Deux méthodes proposées : Le mode ocl sur une ubuntu 14.04 La génération d’un slapd.conf sur une centos
  97. 97. Configuration sur une Debian/Ubuntu • Utiliser l’outil de configuration dpkg OU • Utiliser ldif pour la configuration : 1. Créer un fichier ldif pour le backend 2. Modifier le mot de passe du manager ldap Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© 2. Modifier le mot de passe du manager ldap 3. Ajouter le fichier ldif dans la base de données backend : • ldapadd -Y EXTERNAL -H ldapi:/// -f backend.ldif 4. Créer un fichier ldif pour le frontend : • ldapadd -Y EXTERNAL -H ldapi:/// -f frontend.ldif • ldapsearch -xLLL -b "dc=alphorm,dc=local" uid=ludo sn givenName cn
  98. 98. Configuration sur une Centos/RHEL • Après une installation minimale de Centos 6.5 : 1. Installer les outils Openldap serveur, client et Kerberos pour ldap 2. Créer un fichier slapd.conf • Ajouter les schémas dans le fichier 3. Editer le fichier slapd.conf pour ajouter : Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Le suffix, le RootDN, le RootPW (généré avec slappasswd) • L’emplacement de la base de données ldap et le type de BD • Quelques acl et les fichiers de pid et d’arguments de slapd
  99. 99. Configuration sur une Centos/RHEL • Apres une installation minimale de Centos 6.5 : 1. On teste le fichier de conf et on génère les base données à partir du fichier slapd.conf 2. Vérifier notre nouvelle base cn=config avec slaptest 3. Mettre en place notre nouvelle config ocl 4. Installer la Base de données bdb (berkeleyBD) avec le fichier DB_CONFIG Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© 4. Installer la Base de données bdb (berkeleyBD) avec le fichier DB_CONFIG 5. Mettre en place les options pour ldap dans sysconfig 6. Configuration de syslog pour ajouter openldap 7. On redemarre openldap et on le fichier client ldap
  100. 100. Configuration sur une Centos/RHEL • On vérifie tout ca avec quelques commandes : Ldapwhoami -WD cn=admin,dc=alphorm,dc=local ldapsearch -xLLLWD cn=admin,dc=alphorm,dc=local -b cn=config dn Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  101. 101. Ce qu’on a couvert • Installation et configuration sur une Debian/Ubuntu • Installation et configuration sur une Centos/RHEL Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  102. 102. Gestion des utilisateurs Utilisation du serveur Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Gestion des utilisateurs et groupes Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Ludovic Quenec'hdu Formateur et Consultant indépendant OpenSource et virtualisation
  103. 103. Plan • Création des branches utilisateurs et groupes • Ajout des groupes • Ajout de utilisateurs Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  104. 104. Création des branches utilisateurs et groupes • Créer un fichier ldif et simplement ajouter les entrées dans la base dn: dc=alphorm,dc=local dc: alphorm objectClass: top objectClass: domain dn: ou=users,dc=alphorm,dc=local ou: Users objectClass: top Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© ou: Users objectClass: top objectClass: organizationalUnit description: utilsateurs Linux/Unix Posix dn: ou=groups,dc=alphorm,dc=local ou: Groups objectClass: top objectClass: organizationalUnit description: groupes Linux/Unix Posix ldapmodify -a -xWD cn=admin,dc=alphorm,dc=local -f ~/ldif/users_groups.ldif
  105. 105. Ajout de groupes dn: cn=admin, ou=groups, dc=local, dc=local cn: admin objectClass: top objectClass: posixGroup gidNumber: 1100 description: Groupe des administrateurs Linux dn: cn=formateur, ou=groups, dc=local, dc=local cn: oinstall objectClass: top Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© cn: oinstall objectClass: top objectClass: posixGroup gidNumber: 500 description: Formateur Alphorm dn: cn=boss, ou=groups, dc=local, dc=local cn: dba objectClass: top objectClass: posixGroup gidNumber: 501 description: Les boss d alphorm ldapmodify -a -xWD cn=admin,dc=alphorm,dc=local -f ~/ldif/groups.ldif
  106. 106. Ajouter les utilisateurs dn: cn=lquenec, ou=users, dc=alphorm, dc=local uid: lquenec gecos: Ludovic Quenec hdu objectClass: top objectClass: account objectClass: posixAccount objectClass: shadowAccount userPassword: {SSHA}RsAMqOI3647qg1gAZFfa shadowLastChange: 15140 shadowMin: 0 shadowMax: 99999 dn: cn=hamid, ou=users, dc=alphorm, dc=local uid: hamid gecos: Hamid Harabazan objectClass: top objectClass: account objectClass: posixAccount objectClass: shadowAccount userPassword: {SSHA}RsAMqOI3647qg1gAZF3x2BKBn shadowLastChange: 15140 shadowMin: 0 shadowMax: 99999 Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© shadowMax: 99999 shadowWarning: 7 loginShell: /bin/bash uidNumber: 1100 gidNumber: 1100 homeDirectory: /home/lquenec shadowMax: 99999 shadowWarning: 7 loginShell: /bin/bash uidNumber: 1101 gidNumber: 1101 homeDirectory: /home/hamid ldapmodify -a -xWD cn=admin,dc=local,dc=local -f ~/ldif/users.ldif
  107. 107. Ajouter les utilisateurs • Positionnons des mots de passe pour les users : ldappasswd -xZWD cn=admin,dc=alphorm,dc=local -S cn=Hamid,ou=users,dc=alphorm,dc=local Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  108. 108. Ce qu’on couvert • Création des branches utilisateurs et groupes • Ajout des groupes • Ajout de utilisateurs Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  109. 109. Securité de l'annuaire Configuration avance d'OpenLDAP Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Securité de l'annuaire Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Ludovic Quenec'hdu Formateur et Consultant indépendant OpenSource et virtualisation
  110. 110. Plan • Menaces sur un annuaire LDAP • Mecanisme de sécurité • SSL/TLS, Cryptographie, Les certificats • OpenSSL Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  111. 111. Objectifs 390.2 Securité de l'annuaire • Les candidats doivent être en mesure de mettre en place un accès chiffré à l'annuaire LDAP et de restreindre les accès au niveau du pare-feu • Domaines de connaissance les plus importants : Sécurité de l'annuaire avec SSL et TLS. Considérations sur la protection par pare-feu. Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Méthodes d'accès sans authentification. Méthodes d'authentification à partir d'un compte utilisateur et d'un mot de passe. Gestion d'une base de données utilisateur SASL. Certificats client / serveur.
  112. 112. Menaces sur un annuaire LDAP • Interceptions des communications et accès au serveur: accès non autorisé aux données et configuration Modification non autorisé des données et configuration Usurpation d’identités Détournement d’identités Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Dénis de service :: Utilisation en exces des ressources Refus d’acces au service
  113. 113. Mecanisme de sécurité • L’operation Bind fournit une methodes simple : Anonymes Non authentifié Couple nom d’utilsateur/mots de passe Methodes SASL et TLS Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Methodes SASL et TLS
  114. 114. Mecanisme de sécurité • Le liste de controle d’acces sur les données de l’annuaire Les ACLs • Les service de limitations d’utilisation des ressources Configuration du serveur Les mécanismes SSL/TLS et SASL Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Les mécanismes SSL/TLS et SASL L’authentification, l’integrité, la confidentialités • Les mécanismes de filtrage de connexion Mise en place de regle de filtrage avec un pare-feu
  115. 115. L’opération Bind • Méthode d’authentification simple • La méthode d’authentification simple de l’opération Bind donne trois mécanismes d’authentification : Un mécanisme d’authentification anonyme Un mécanisme d’authentification non authentifié Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Un mécanisme d’authentification non authentifié Un mécanisme d’authentification nom/mot de passe utilisant des accréditifs consistant en un nom (sous la forme d’un nom distinctif LDAP.
  116. 116. SSL/TLS • SSL/TLS : Secure Socket Layer/Transport layer Security Est une couche qui permet l’authentification, la confidentialité et l’integrité des données Peut etre appliqué a tout type de communication entre des parties • SSL/TLS : Secure Socket Layer/Transport layer Security Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • SSL/TLS : Secure Socket Layer/Transport layer Security SSL protocole mise au point par Netscape afin d’etablir des connexions chiffrés, integrité et authentifié Ajourd’hui SSL est en version 3.0 TLS est une “mise a jour” de SSL , TLS actuellement V1.2 Aujourd’hui on utilise TLS et non SSL !
  117. 117. Le protocole TLS • TLS utilise à la fois la cryptographie asymétrique pour l’authentification et un chiffrement symétrique pour garantir la protection des données • Symétrique ou clé privé: Une clé privé partagé entre les utilisateurs ou applications, les données sont chiffrés avec une meme clé (secrete), cette clés est transmise avec le messages Asymétrique ou clé publique: Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Asymétrique ou clé publique: Deux clés, une dite publique et une privé Ces deux sont générés ensemble par un logiciel, la clé privé est conserver bien a l’abri, la clé publique est publié sans risque La clé publique sert a chiffrer le message et a clé privé le decrypte et inversement La clé publique est elle sur ? Les certificats
  118. 118. Certifacats X509 • Un certificat est un “document” qui permet au travers d’une chaine de confiance, de certifier le proprietaire de la clé publique • Un certificat comprend une clé publique et des renseignements sur le proprietaire. Ce certificat signé avec la clé privé d’une autorité de cerification CA (Certification Authority) • Les certificats assure, si l’on a onfiance dans le CA, que le proprietaire Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Les certificats assure, si l’on a onfiance dans le CA, que le proprietaire de la clé publique ou du serveur (certificat serveur)sur lequel je me connecte est bien la personne ou le serveur. • Un certificat comprends : La version, une numéro de série unique, L’alogirithme de chiffrement, le CA, une période de validité, la personne ou la société identifié par ce derneir, la clé publique et la signature du CA
  119. 119. OpenSSL • OpenSSL est une boite a outils de chiffrement • LibreSSL un “fork” d’openSSL afin de réparer la faille Heartbleed en 2014 • Voyons un peu comment mettretout cela en oeuvre ☺ Test d’openSSL Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Test d’openSSL Mise en place de certificat auto-signé avec Openldap • Generer une clé privé • Faire une requete de certificat avec la cle prive • signer le certificat (creer sa CA) • Installer les certificats dans openldap et configurer le client ldap
  120. 120. Ce qu’on a couvert • Menaces sur un annuaire LDAP • Mecanisme de sécurité • SSL/TLS, Cryptographie, Les certificats • OpenSSL Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  121. 121. Securité de l'annuaire Configuration avance d'OpenLDAP Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Securité de l'annuaire Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Ludovic Quenec'hdu Formateur et Consultant indépendant OpenSource et virtualisation
  122. 122. Plan • Le pare feu : Netfilter – iptables • Le types de pare feu Routeur filtrant, filtre local • Iptables Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Routeur filtrant, filtre local Manipulation des chaînes
  123. 123. Objectifs 390.2 Securité de l'annuaire • Les candidats doivent être en mesure de mettre en place un accès chiffré à l'annuaire LDAP et de restreindre les accès au niveau du pare-feu • Domaines de connaissance les plus importants : Sécurité de l'annuaire avec SSL et TLS. Considérations sur la protection par pare-feu. Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Méthodes d'accès sans authentification. Méthodes d'authentification à partir d'un compte utilisateur et d'un mot de passe. Gestion d'une base de données utilisateur SASL. Certificats client / serveur.
  124. 124. Le pare feu : Netfilter – iptables • Netfilter est la pare feu livré avec le noyaux Linux 2.4 • C’est un module noyau qui permet le filtrage de paquets • Mais egalement de garder l’etat des connexions !! • Il a recu le Certificat de Sécurité de Premier Niveau (CSPN) par l'Agence nationale de la sécurité des systèmes d'information Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© nationale de la sécurité des systèmes d'information
  125. 125. Iptables • Le programme iptables permet de manipuler les regles de filtrages du noyau linux • Il permet donc configurer un pare-feu • Iptables manipule un liste de regles appelées CHAINES. 5 chaines • Analyser les une a la suite des autres Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Analyser les une a la suite des autres • Les chaînes se trouvent dans des TABLES, nat, filter et mangle • Seul la table FILTER, nous interesse
  126. 126. Routage filtrant • La table FILTER contient 3 chaînes : INPUT : qui rentre dans le firewall processus locaux OUTPUT : qui sort du le firewall processus locaux FORWARD : qui traverse le firewall • Chaque chaînes dispose de politiques : Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Chaque chaînes dispose de politiques : ACCEPT : les paquets sont acceptés DROP : Les paquets sont refusés sans notification REJECT : Les paquets sont refusés avec notification Ils est ainsi sur chaques chaînes d’interdire ou d’autoriser l’acces aux services
  127. 127. Manipulation des chaînes • Iptables sert donc a minupiler des regles, des chaines et des tables: Iptables –A INPUT –p icmp –s 127.0.0.1 –j DROP Iptables –A OUTPUT –p tcp –sport 389 –d 0/0 –j ACCEPT Iptables –A INPUT –p tcp –dport 389 –s 0/0 –j ACCEPT Iptables –N LOG_DROP Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Iptables –N LOG_DROP Iptables –A LOG_DROP –j LOG Ipatbles –F Iptables –P INPUT DROP Iptables –A INPUT -p udp -s 0/0 -d 192.168.0.150/24 --sport 53 –j ACCEPT
  128. 128. Ce qu’on a couvert • Le pare feu : Netfilter – iptables • Le types de pare feu Routeur filtrant, filtre local • Iptables Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Routeur filtrant, filtre local Manipulation des chaînes La partie de l'image avec l'ID de relation rId3 n'a pas été trouvé dans le fichier.
  129. 129. SASL Configuration avance d'OpenLDAP Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© SASL Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Ludovic Quenec'hdu Formateur et Consultant indépendant OpenSource et virtualisation
  130. 130. Plan • SASL Simple Authentification Security Layer • délégation d'autorisation Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  131. 131. Objectifs 390.2 Securité de l'annuaire • Les candidats doivent être en mesure de mettre en place un accès chiffré à l'annuaire LDAP et de restreindre les accès au niveau du pare-feu • Domaines de connaissance les plus importants : Sécurité de l'annuaire avec SSL et TLS. Considérations sur la protection par pare-feu. Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Méthodes d'accès sans authentification. Méthodes d'authentification à partir d'un compte utilisateur et d'un mot de passe. Gestion d'une base de données utilisateur SASL. Certificats client / serveur.
  132. 132. SASL Simple Authentification Security Layer • SASL Couche simple d’authentification et de sécurité est un framework ou couche utilisé pour l’authentification qui offre la possibilités d’externaliser cette derniere , mais egalement de chiffrer les connexions • Openldap offre la possibilites de “bind” avec sa propre base de compte. • Qu’en est il dans un environnement hétérogene avec du Microsoft Windows ou du Kerberos, des serveurs web apache, du postfix, de Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Windows ou du Kerberos, des serveurs web apache, du postfix, de l’exchange ou les bases de compte sont independantes ?
  133. 133. Authentification simples • Nous avons pu voir trois methodes d’authetifcation avec openldap : • Anonyme • Non authentifie : avec un compte sans mots de passe • Authentifciation par DN et mot de passe Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Openldap offre la posssibilites de mieux gerer les mots de passe avec le ppolicy.
  134. 134. SASL Simple Authentication Security Layer SASL est un framework normalise par l’iETF qui permet alors des authentifications et la securisation via des mecanisme : Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  135. 135. Mécanismes SASL • EXTERNAL : est externalise dans une autre base. • ANONYMOUS, accès anonyme sans authentification. • PLAIN, accès avec authentification par mot de passe transmis en clair. • DIGEST-MD5, mécanisme basé sur MD5 et compatible HTTP (DIGEST-MD5 fournit une couche d’intégrité des données ; Digest-MD5 rend obsolète le mécanisme CRAM-MD5.) Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© mécanisme CRAM-MD5.) • NTLM (NT LAN Manager ; Microsoft), mécanisme d’authentification pour réseau local NT . Par ailleurs, NTLM est le protocole d'authentification utilisé par les ordinateurs qui ne font pas partie d'un domaine. • GSSAPI (Generic Security Services Application Programming Interface), pour l’authentification utilisant le protocole Kerberos 5.
  136. 136. SASL Simple Authentification Security Layer • SASL est donc un framework qui permet d’interfacer des bases d’authentification avec des logiciels serveur. • LDAP SASL->AD • NTLM<>SASL <> LDAP • LDAP<>SASL<>KERBEROS Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • LDAP<>SASL<>KERBEROS • Regardons un peu comment cela fonctionne Installation de sasl Configuration Test d’autentification
  137. 137. délégation d'autorisation • Test de délégation d'autorisation en digest-md5 Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  138. 138. Ce qu’on a couvert • SASL Simple Authentification Security Layer • délégation d'autorisation Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  139. 139. Les ACL Openldap Configuration avancé d'OpenLDAP Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Les ACL Openldap Site : http://www.alphorm.local Blog : http://www.alphorm.local/blog Forum : http://www.alphorm.local/forum Ludovic Quenec'hdu Formateur et Consultant indépendant OpenSource et virtualisation
  140. 140. Plan • Les listes de controles d’accès OU QUI QUOI Mise en place des access list Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Mise en place des access list
  141. 141. OU 0: dc=alphorm,dc=local 1: cn=admin,dc=alphorm,dc=local 2: ou=users, dc=alphorm,dc=local 3: cn=hamid,ou=users, dc=alphorm,dc=local 4: cn=addresses, cn=hamid,ou=users, dc=alphorm,dc=local 5: cn=vicky,ou=users, dc=alphorm,dc=local Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© dn.base="ou=users, dc=alphorm,dc=local" correspond a 2; dn.one="ou=users, dc=alphorm,dc=local" correspond a 3 et 5; dn.subtree="ou=users, dc=alphorm,dc=local " correspond a 2, 3, 4, et 5; dn.children="ou=users, dc=alphorm,dc=local " correspond a 3, 4, and 5.
  142. 142. QUI * Tous le monde, inclus anonyme et utilisateurs authentifie anonymous Anonyme users utilisateurs authentifie self utilisateurs authentifie sur la cible Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© self utilisateurs authentifie sur la cible dn[.<basic-style>]=<regex> Utlisateurs correspondant a une expression reguliere dn.<scope-style>=<DN> utilisateurs authentifie avec son « scope » DN
  143. 143. QUOI none =0 Pas access auth =dx Demande d’authentification(bind) search =scdx Recherche read =rscdx Lecture Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© read =rscdx Lecture write =wrscdx Ecriture manage =mwrscdx Administratation
  144. 144. Quelques exemples • olcAccess: to * by * read : Lecture pour tous le monde sur tout ls DIT • olcAccess: to dn.children="dc=alphorm,dc=local " by * search olcAccess: to dn.children="dc=local" by * read • olcAccess: to attrs=userPawword by self write • olcAccess: to dn.subtree="dc=alphorm,dc=local" by self write by Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • olcAccess: to dn.subtree="dc=alphorm,dc=local" by self write by dn.children="dc=alphorm,dc=local" search by anonymous auth
  145. 145. Mise en place des access list • Avec ldapvi : olcAccess: {0}to attrs=userPassword by dn.base=cn=admin,dc... Self write olcAccess: {1}to dn.children="dc=alphorm,dc=local" by * search olcAccess: {2}to dn.children=« dc=alphorm,dc=loca" by * read • En ldif : changetype: modify Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© changetype: modify delete: olcAccess olcAccess: to dn.children="dc=alphorm,dc=local" by * search - add: olcAccess olcAccess: to dn.children="dc=alphorm,dc=local" by * write
  146. 146. Ce qu’on a couvert • Les listes de controles d’accès OU QUI QUOI Mise en place des access list Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Mise en place des access list
  147. 147. Réplication Openldap Configuration avancé d'OpenLDAP Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Réplication Openldap Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Ludovic Quenec'hdu Formateur et Consultant indépendant OpenSource et virtualisation
  148. 148. Plan • La réplication sous OpenLDAP Réplication maître esclave Réplication multi-master Mise en place Test de la replication Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Test de la replication
  149. 149. Objectifs 390.1 Réplication avec OpenLDAP • Les candidats doivent bien connaître les différentes stratégies de réplication serveur disponibles avec OpenLDAP. • Domaines de connaissance les plus importants : Concepts autour de la réplication. Configuration de la réplication avec OpenLDAP. Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Analyse des journaux de réplication. Compréhension des concentrateurs de réplication (replica hub). Referrals LDAP. LDAP sync replication.
  150. 150. La réplication sous OpenLDAP • La réplication d’annuaire consiste à synchroniser plusieurs annuaires répartis sur le réseau. • “slurpd”, était anciennement le démon de réplication sous openldap depuis les versions 2.4.X. OpenLDAP utilisent l’overlay (le module) “syncprov” pour la réplication Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Deux modes de réplication sont disponibles : le mode maître esclave (dans le protocole le maître est nommé “provider” et l’esclave “consumer”), le mode multi-master.
  151. 151. Réplication maître esclave • Deux modes de configuration maitre esclave pour la réplication : le mode “refreshOnly” ou le consumer initie une connexion à intervalle régulier avec le provider. le mode “refreshAndPersist” ou le consumer initie une connexion avec le maître pour la première synchronisation, puis conserve la connexion ouverte Ce mode permet une synchronisation immédiate entre le provider et le Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Ce mode permet une synchronisation immédiate entre le provider et le consumer
  152. 152. Réplication multi-maître • Cette méthode est indentique au mode réplication maitre esclave. • En revanche il n y a pas de notion de maitre esclave • Le consumer et également le provider et le provider et également le consumer Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  153. 153. Mise en place de la replication • Tous d’abord nous devons disposer de deux annuaires ldap ! • Depuis la version 2.4 d’openldap la synchronisation est prise en charge par un module (overlay) syncprov • Mise en place • Sur le provider Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Sur le provider Déclaration du module dans syncpro dans la base Configuration du module sur le provider Création de l’utilisateur pour la réplication • Sur le consumer Declaration du mode de replicationRefreshOnly ou RefreshAndPersist
  154. 154. Mise en place de la replication Provider • Sur le provider Déclaration du module dans syncpro dans la base dn: cn=module{0},cn=config objectClass: olcModuleList cn: module{0} Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© cn: module{0} olcModuleLoad: {0}back_bdb olcModuleLoad: {1}syncprov olcModulePath: /usr/lib64/openldap
  155. 155. Mise en place de la replication Provider Configuration du module sur le provider dn: olcOverlay={0}syncprov,olcDatabase={2}bdb,cn=config objectClass: olcOverlayConfig objectClass: olcConfig objectClass: top objectClass: olcSyncProvConfig Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© objectClass: olcSyncProvConfig olcOverlay: {0}syncprov olcSpCheckpoint: 100 10 olcSpSessionlog: 100
  156. 156. Mise en place de la replication Provider • Création de l’utilisateur pour la réplication dn: cn=replicator,dc=alphorm,dc=local objectClass: simpleSecurityObject objectClass: organizationalRole cn: replicator description: replicator Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© description: replicator userPassword: {SSHA}bFi6lbr/fxb49jV3NkHxIMboF4NBK3NY
  157. 157. Mise en place de la replication Consumer • Declaration du mode de replicationRefreshOnly dn: olcDatabase={2}bdb,cn=config add: olcSyncrepl olcSyncrepl:{0}rid=123 provider=ldap://master.alphorm.local type=refreshOnly interval=00:00:00:10 Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© interval=00:00:00:10 searchbase="dc=alphorm,dc=local" retry="5 5 300 +" schemachecking=off attrs="*,+" bindmethod=simple binddn="cn=replicator,dc=alphorm,dc=local" credentials=traxdem
  158. 158. Mise en place de la replication Consumer • Declaration du mode de replicationRefreshOnly ou RefreshAndPersist dn: olcDatabase={2}bdb,cn=config add: olcSyncrepl olcSyncrepl:{0}rid=123 provider=ldap://master.alphorm.local type=refreshAndPersist interval=00:00:00:10 Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© interval=00:00:00:10 searchbase="dc=alphorm,dc=local" retry="5 5 300 +" schemachecking=off attrs="*,+" bindmethod=simple binddn="cn=replicator,dc=alphorm,dc=local" credentials=traxdem
  159. 159. Niveau de log slapd • Modification du niveau de log a chaud en ldif dn: cn=config changetype: modify replace: olcLogLevel olcLogLevel: sync Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  160. 160. Test de la replication • Creation d’utlisateurs sur le provider • Verification sur le consumer • Voila ☺ Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  161. 161. Ce qu’on a couvert • La réplication sous OpenLDAP Réplication maître esclave Réplication multi-master Mise en place Test de la replication Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Test de la replication
  162. 162. Paramétrage des performances Configuration avancé d'OpenLDAP Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Paramétrage des performances Site : http://www.alphorm.local Blog : http://www.alphorm.local/blog Forum : http://www.alphorm.local/forum Ludovic Quenec'hdu Formateur et Consultant indépendant OpenSource et virtualisation
  163. 163. Plan •Les index Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  164. 164. • Les candidats doivent être en mesure d'évaluer les performances d'un serveur LDAP et de le paramétrer. • Domaines de connaissance les plus importants : Compréhension des index. 390.3 Paramétrage des performances Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Mesure des performances du serveur OpenLDAP. Règlage de la configuration du serveur pour améliorer les performances.
  165. 165. Les index • A chaque requete Openldap, ouvre la base de données et scan toutes les entrées de l’annuaire. • Indexer des attributs permet donc d’ameliorer les requetes de recherches • Plusieurs options pour indexer les attributs : Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© pres : presence. Type de recherche attribut=* eq : equality. Type de recherche cn=ludo sub : substring. Type de recherche avec un jocker : uid=lud* approx : approximation. recherche de type uid~=Lu
  166. 166. Quelles attributs indexer • Dans les logs #tail -f /var/log/slapd.log |grep indexed <= bdb_equality_candidates: (objectClass) not indexed <= bdb_substring_candidates: (uid) not indexed • Ou sont les attributs indexés : Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Ou sont les attributs indexés : Dans olcDatabase={1}bdb Accessible par : ldapsearch, ldapvi ou un grep olcDbIndex dans le olcDatabase={1}bdb.ldif
  167. 167. Ajouter et modifications des index • Avec OnLineConfiguration dans l’entré : olcDatabase={1}dbd,cn=config dn: olcDatabase={1}bdb,cn=config add: olcDbIndex olcDbIndex: uid eq olcDbIndex: cn eq,sub Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© olcDbIndex: cn eq,sub dn: olcDatabase={1}bdb,cn=config changetype: modify delete: olcDbIndex olcDbIndex: uid eq - add: olcDbIndex olcDbIndex: uid eq,pres,sub
  168. 168. Indexer les attributs • A chaque modifications ou régulierement, on doit recalculer les index #service slpad stop #slapindex –b ‘dc=alphorm,dc=local’ #service slapd start Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  169. 169. Ce qu’on a couvert •Les index Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  170. 170. OpenLDAP en tant que base d'authentification Intégration de LDAP avec PAM Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Intégration de LDAP avec PAM et NSS Ludovic Quenec'hdu Formateur et Consultant indépendant OpenSource et virtualisation
  171. 171. Plan • PAM, NSS et NSLCD • Installation • Configuration des services pour ldap sur Ubuntu/Debian • Configuration des services pour ldap sur CentOs/Redhat • Testons tout cela ☺ Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Testons tout cela ☺
  172. 172. Objectifs 391.1 : Intégration de LDAP avec PAM et NSS et SSSD • Les candidats doivent être en mesure de configurer PAM et NSS pour qu'ils récupèrent les informations à partir d'un annuaire LDAP • Domaines de connaissance les plus importants : Configuration de PAM pour une authentification LDAP. Configuration de NSS pour récupérer les informations à partir de LDAP. Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Configuration des modules PAM dans les différents environnements Unix.
  173. 173. PAM, NSS et NSLCD • Le mécanisme NSS Name Service Switch assure l’aiguillage de l'accès à ces attributs entre les fichiers locaux et les différents services réseau. • PAM est un mécanisme qui permet d'intégrer différents modes d'authentification en les rendant transparents vis à vis de l'utilisateur et des logiciels qui accèdent aux ressources du système. • PAM sépare les tâches d'authentification en quatre groupes de gestion indépendants : Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • PAM sépare les tâches d'authentification en quatre groupes de gestion indépendants : account : fournit une vérification des types de service du compte utilisateur : utilisateur a-t-il le droit d'accéder au service demandé ? le mot de passe de l'utilisateur a expiré authentication : établit la correspondance entre l'utilisateur et celui pour lequel il prétend être, vous devrez entrer votre mot de passe (carte a puce, USB...) Password : est de mettre à jour les mécanismes d'authentification session :ce qui doit être fait en priorité pour un service donné, journalisation, montage du répertoire personnel
  174. 174. Nslcd et SSSD • Le service NSLCD Name Service Ldap Configuration Deamon est un service pour la communication entre ldap et NSS, permet également le positionnement de filtre (interdiction de uid, gid) • Depuis les versions 6 de Redhat, Centos. Le nss et pam-ldap est remplacé par SSSD System Security Services Daemon Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  175. 175. Installation • Sur une nouvelle machine cliente Debian ou Centos • Les paquets libnss-ldap libpam-ldap ou libnss-ldapd sous Debian…. La procédure d’installation inclus la configuration des services • Les paquets nss-pam-ldapd sous Centos Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  176. 176. Configuration des services pour ldap sur Ubuntu/Debian • Deux modes de configuration 1. Avec les outils auth-client-config et ldap-auth-config • Avec la commande dpkg-reconfigure libnss-ldap libpam-ldap 2. Au travers de fichiers de configuration • Ajouter de ldap dans /etc/nsswitch.conf Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© - passwd: compat ldap, group: compat ldap, shadow: compat ldap • Ajouter la librairie pam_ldap dans /etc/pam.d/ - common-account, common-password, common-session
  177. 177. Les paquets nss-pam-ldapd pam_ldap sous Centos • Comme pour Debian/Ubuntu deux modes de configuration • Avec l’ outil authconfig-... • Avec les fichiers de configurations a modifier - /etc/openldap/ldap.conf - /etc/nslcd.conf Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© - /etc/nsswitch.conf - /etc/pam_ldap.conf - /etc/pam.d/{system-auth-ac}
  178. 178. Testons tout cela ☺ • La commande getent permet de récupérer les utilisateurs et groupes a partir des bases de données précisé dans nss Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  179. 179. Ce qu’on a couvert • PAM, NSS et NSLCD • Installation • Configuration des services pour ldap sur Ubuntu/Debian • Configuration des services pour ldap sur CentOs/Redhat • On a testé Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • On a testé
  180. 180. OpenLDAP en tant que base d'authentification Intégration OpenLDAP kerberos Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Intégration OpenLDAP kerberos Ludovic Quenec'hdu Formateur et Consultant indépendant OpenSource et virtualisation
  181. 181. Plan • Comprendre le SSO • Comprendre Kerberos • Mise en œuvre de kerberos et Openldap • Comprendre Active Directory Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Intégration Openldap et Active Directory via SASL
  182. 182. Objectifs 391.2 Intégration de LDAP avec Active Directory et Kerberos • Les candidats doivent être en mesure d'intégrer LDAP avec les services Active Directory. • Domaines de connaissance les plus importants : Intégration de Kerberos avec LDAP. Authentification multi-plateformes. Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Concepts de l'authentification unique (Single Sign-On). Intégration et limites de compatibilité entre OpenLDAP et Active Directory.
  183. 183. Comprendre le SSO • Lorsque les utilisateurs accède a des services de type différents, comme par exemple la messagerie, l’ouverture de session MS Windows, des applications de Base de données, des outils de gestion informatique, .. • Ils doivent fournir des identifiants de différents types. • Le SSO Single Sign On permet aux administrateurs de centralisés les informations d’authentification afin d’accéder a différents services. Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© informations d’authentification afin d’accéder a différents services. • Les utilisateurs ne se « logue » plus qu’une fois et accedent aux differents services • Simplicité pour l’utilisateur, Simplicité pour les administrateurs pour gerer les authentification et les mise en place de regle d’accès aux services. • Le service est centralisé, faiblesse de sécurité, accès a un service donne accès a tout les services.
  184. 184. Comprendre Kerberos • Le SSO avec Kerberos • Protocole développé au MIT dans le cadre du projet Athena au début des années 1980 • Permet l’authentification forte a des services dit “kerbérisé” • Standarisé par 2 RFC : RFC 1510 et RFC 1964 Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Standarisé par 2 RFC : RFC 1510 et RFC 1964 • Kerberos est aujourd’hui en version 5. • A la base de l’authentification MS Windows 200X • Kerberos permet l’authentification des utilisateurs et gère ensuite l’accès aux différents services.
  185. 185. Royaume Kerberos • L’architecture Kerberos est constituée de serveurs Kerberos, d’utilisateurs, de postes de travail et de serveurs hébergeant des services, le tout rassemblés dans un ROYAUME kerberos (REALM) Les “principals” Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Les “principals” Le KDC – Key Distribution Center – Centre de Distributions des Clés
  186. 186. Architecture Kerberos Les principals : Un utilisateur, un client, un serveur • nom/instance@KRB-REALM • ldap/master.alphorm.com@ALPHORM.COM • ludo/admin@ALPHORM.COM • host/client.alphorm.com@ALPHORM.COM Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • host/client.alphorm.com@ALPHORM.COM Chaque principal dispose de clés secretes • Mot de passe pour les utilisateurs • Fichier keytab pour les serveurs et hôtes
  187. 187. Architecture Kerberos • Le service Kerberos est constitué de plusieurs entités regroupé dans un KDC – Key Distribution Center Un serveur d’authentification AS • Contient une base de données avec les utilisateurs, les services et leur clés associés Module kadmin d’administration, utilisateurs, services, hôtes, ACL, Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Module kadmin d’administration, utilisateurs, services, hôtes, ACL, methode de chiffrement, ... Un service de délivrement de Ticket TGS • fournit l’accès au services “kerbérisé”
  188. 188. Principes de fonctionnement • Afin d’acceder aux services “Kerbérises” un utilisateur obtient un ticket d’accès aupres du KDC (TGT –Ticket Granting Ticket) Commande kinit ludo/admin@ALPHORM.LOCAL • Avec le TGT le client envoie une demande de ticket auprès du TGS Klist pour visualiser les tickets Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Klist pour visualiser les tickets le client inclue l’indentifiant du service demandé et le TGT obtenue du KDC • Le TGS vérifie la validité du TGT et envoie alors les informations d’accès au service • Le TGT permet donc à l’utilisateur authentifié de récupérer des tickets d’accès aux services auprès du TGS
  189. 189. Principe de fonctionnement 1 2 TGT 3 Demande de ST 4 ST Service Autorité Ticket Grant Service Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Connexion 5 Demande d ’accès au service 6 Validation Service SSH/SGBD/ LDAP/PRINTER/...
  190. 190. Principes de fonctionnement • Repose sur la notion de ticket • S’appuie sur des clés secrètes symétrique, toutes les informations, ticket sont chiffrés, pas de mots de passe sur le réseaux • Mécanisme anti-rejeux, validité des tickets Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Mécanisme anti-rejeux, validité des tickets • Authentification mutuelle
  191. 191. Notionde ticket • Un ticket est constitué en deux partie : chiffrée claire. • Les tickets servent à authentifier les requêtes des principaux (client/serveur/service) Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© (client/serveur/service) • Deux type de Tickets : Ticket Granting Ticket (TGT) Service Ticket (ST)
  192. 192. Les services Kerbérisés • Certains services sont kerbérisés : Kssh, krlogon, Active Directory • Certains services ne sont pas kerbérisés”, il faut donc utliser des librairies (couches) qui vont permettre de convertir l’authentification • SASL fournit des mecanisme d’authentification a des services (LDAP) : Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • SASL fournit des mecanisme d’authentification a des services (LDAP) : DISGEST-MD5, GSSAPI, KERBEROS • SASL via GSSAPI permet a OpenLdap de se “kerbériser”
  193. 193. Mise en œuvre de kerberos et Openldap Kerberos Service LDAP AS/TGS Client Linux/ServeurSSH Nslcd-pam Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© LDAP Compte utilsateur/compte kerberos
  194. 194. Mise en œuvre de kerberos et Openldap • Afin d’utiliser Kerberos avec un serveur Openldap, plusieurs étapes • Installer ntp sur les differents postes • Installer kerberos server ldap • Vérification du schémas ldap pour kerberos Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Créer un conteneur ou=services pour les principaux Kerberos • Configurer le serveur Kerberos /etc/krb5.conf /var/kerberos/krb5kdc/kadm5.acl /var/kerberos/krb5kdc/kdc.conf
  195. 195. Mise en œuvre de kerberos et Openldap • Créer les entrées kerberos dans le serveur Opendap kdb5_ldap_util -D "cn=admin,dc=alphorm,dc=local" create -subtrees "ou=kerberos,ou=services,dc=alphorm,dc=local" -r ALPHORM.LOCAL –s • Création du répertoires de stockage des password et extraire le password de l’admin kerberos Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • kdb5_ldap_util -D "cn=admin,dc=alphorm,dc=local" stashsrvpw -f /etc/krb5.d/stash.keyfile cn=krbadmin,ou=services,dc=alphorm,dc=local • Positionnons des ACLs LDAP pour l’utilisateur krbadmin ldapmodify -H ldapi:/// -f ~/ldap/kerberos.krbadmin.acl.ldif
  196. 196. Mise en œuvre de kerberos et Openldap • Testons le acl ldapsearch -xZLLLWD cn=krbadmin,ou=users,dc=alphorm,dc=local -b ou=kerberos,ou=services,dc=alphorm,dc=local dn • On démarre les services kerberos Service krb5kdc start Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Service krb5kdc start Servce kadmin start netstat -alnt | egrep ':88|:464|:749'
  197. 197. Mise en œuvre de kerberos et Openldap • Création des principaux et gestion des clés Kadmin.local Addprinc –rankey host/master.alphorm.local@ALPHORM.LOCAL ktadd host/master.alphorm.local@ALPHORM.LOCAL Addprinc lquenec@ALPHORM.LOCAL Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Addprinc lquenec@ALPHORM.LOCAL Addprinc lquenec/admin@ALPHORM.LOCAL List_principals | getprincs Getrpincs host/master.alphorm.local@ALPHORM.LOCAL klist -ek /etc/krb5.keytab
  198. 198. Mise en œuvre de kerberos et Openldap • Testons kerberos avec un client et serveur ! Installation et configuration du client krb5-workstation • yum -y install krb5-workstation pam_krb5 • vi /etc/krb5.conf Création du principal pour le serveur SSH Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Création du principal pour le serveur SSH • Kadmin –p lquenec/admin@ALPHORM.LOCAL • Addprinc –randkey host/sshd.alphorm.local@ALPHORM.LOCAL • Ktadd host/sshd.alphorm.local@ALPHORM.LOCAL
  199. 199. Mise en œuvre de kerberos et Openldap • Configuration de sshd pour Kerberos • Vi /etc/ssh/shhd_config • On creer un principal pour un utilsateur kadmin -p lquenec/admin@ALPHORM.LOCAL Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© kadmin: addprinc test.user@ALPHORM.LOCAL Kdestroy Kinit –p test.user@ALPHORM.LOCAL Klist ssh test.user@ssh.alphorm.local
  200. 200. Mise en œuvre de kerberos et Openldap • Configuration SASL GSSApI OpenLDAP • Ajout d’un principal pour le serveur ldap Kadmin lquenec/admin Addprinc –rankey ldap/master.alphorm.local@ALPHORM.LOCAL Ktadd –k /etc/openldap/krb5.keytab ldap/master.alphorm.local@ALPHORM.LOCAL Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Ktadd –k /etc/openldap/krb5.keytab ldap/master.alphorm.local@ALPHORM.LOCAL • Permissions sur la clé Kadmin lquenec/admin • Installation de Cyrus-sasl-gssapai yum -y install cyrus-sasl-gssapi ldapsearch -LLLY EXTERNAL -H ldapi:/// -b cn=config -s base | grep -i sasl
  201. 201. Mise en œuvre de kerberos et Openldap • Configuration de sasl dans OpenLDAP vi ~/ldap/sasl.ldif ldapsearch -LLLY EXTERNAL -H ldapi:/// -b cn=config -s base | grep -i sasl vi /etc/sysconfig/ldap /etc/init.d/nslcd stop Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© /etc/init.d/nslcd stop /etc/init.d/slapd restart /etc/init.d/nslcd start vi /etc/openldap/ldap.conf Klist , kinit –p lquenec@ALHPRM.LOCAL ldapwhoami
  202. 202. Ce qu’on a couvert • Objectifs 391.2 Intégration de LDAP avec Active Directory et Kerberos • Comprendre le SSO • Comprendre Kerberos • Mise en œuvre de kerberos et Openldap Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  203. 203. OpenLDAP en tant que base d'authentification Intégration OpenLDAP Active Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Intégration OpenLDAP Active Directory Ludovic Quenec'hdu Formateur et Consultant indépendant OpenSource et virtualisation
  204. 204. Plan • Introduction • Client LDAP et Microsoft Active Directory • SASL avec Microsoft Active Directory • Intégration Openldap et Active Directory via SASL Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  205. 205. Objectifs 391.2 Intégration de LDAP avec Active Directory et Kerberos • Les candidats doivent être en mesure d'intégrer LDAP avec les services Active Directory. • Domaines de connaissance les plus importants : Intégration de Kerberos avec LDAP. Authentification multi-plateformes. Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Concepts de l'authentification unique (Single Sign-On). Intégration et limites de compatibilité entre OpenLDAP et Active Directory.
  206. 206. Introduction Microsoft AD DC=ad-alphorm,DC=local Bind ldap Cn=toto,ou=users,dc=alphorm,dc=local 1 Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© OpenLDAP SASL dc=alphorm,dc=local 2 Cn=toto userPassword: {SASL}toto@ad-alphorm.local 3 4 5
  207. 207. OpenLDAP et Active Directory • Client LDAP et Microsoft Active Directory Simple ldapsearch pour vérifier • SASL avec Microsoft Active Directory Configuration SASL pour lier l’AD Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Configuration SASL pour lier l’AD • Intégration Openldap et Active Directory via SASL Configuration d’Openldap pour récupérer les mots de passe utilisateurs.
  208. 208. Ce qu’on a couvert • Introduction • Client LDAP et Microsoft Active Directory • SASL avec Microsoft Active Directory • Intégration Openldap et Active Directory via SASL Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  209. 209. Architecture et concepts Fondamentaux sur Samba Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Architecture et concepts de Samba Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Ludovic Quenec'hdu Formateur et Consultant indépendant OpenSource et virtualisation
  210. 210. Plan • Les objectifs 392.1 : Architecture et concepts de Samba • Le rôle des services et des composants de Samba • Les ports TCP et UDP clés utilisés par SMB/CIFS, NetBios, ADS • Samba 3 vs Samba 4 Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  211. 211. Les objectifs 392.1 : Architecture et concepts de Samba • Etre en mesure de comprendre les concepts essentiels de Samba. De plus, les candidats doivent connaître les différences principales entre Samba3 et Samba4 • Domaines de connaissance les plus importants : Compréhension du rôle des services et des composants de Samba. Compréhension des problèmes clés liés aux réseaux hétérogènes. Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Compréhension des problèmes clés liés aux réseaux hétérogènes. Connaissance des ports TCP et UDP clés utilisés par SMB/CIFS. Connaissance des différences entre Samba3 et Samba4.
  212. 212. Le rôle des services et des composants de Samba • Samba est une suite de logicielle développée depuis 1991 par un étudiant Australien Andrew Tridgell qui avait besoin de monter des partages SMB sur sa machine Unix. • Samba permet donc la communication entre les réseaux Microsoft LanManager (Windows NT) et les domaines Active Directory. Il peut être Contrôleur de domaine, Contrôleur de domaine secondaire, membre d’un domaine, serveur membre, serveur autonome… Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© domaine, serveur membre, serveur autonome… Permettre le partage d’arborescences de répertoires et d’imprimantes à la disposition de clients Linux, UNIX et Windows. Fournir la résolution du serveur de noms Windows Internet Name Service (WINS) Aider lors de la navigation du voisinage réseau (avec ou sans NetBIOS) •
  213. 213. Le rôle des services et des composants de Samba • Samba mets en œuvre plusieurs services et protocoles : NetBios sur TCP/IP, SMB/CFIS, les RPC • NetBIOS over TCP/IP utilise les ports : 135 Service de localisation utilisé par les appels de procédure à distance. RPC 137 netbios-ns - NETBIOS Name Service Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© 137 netbios-ns - NETBIOS Name Service 138 netbios-dgm - NETBIOS Datagram Service 139 netbios-ssn - Directory
  214. 214. Le rôle des services et des composants de Samba • Samba est composé de trois démons smbd, nmbd, winbind et deux services smb et winbind : • SMBD : Il fournit des services de partage de fichiers et d'impression aux clients Windows. Il est responsable de l'authentification des utilisateurs, du verrouillage des ressources et du partage des données par le biais du protocole SMB/CIFS. Prend en charge également le protocole SMB 3 Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© le protocole SMB 3 Le service écoute sur les ports : TCP 139 : TCP NetBIOS Session (TCP), Windows File and Printer Sharing TCP 445 : Microsoft-DS Active Directory, Windows shares
  215. 215. Le rôle des services et des composants de Samba • NMBD : Le démon serveur nmbd comprend et répond à toutes les requêtes de service de nom NetBIOS telles que celles produites par SMB/CIFS dans des systèmes basés sur Windows. Parmi ces derniers figurent les clients Windows 95/98/ME, Windows NT, Windows 2000, Windows XP et LanManager. Ce démon joue également un rôle au niveau des protocoles de navigation qui constituent l'affichage du voisinage réseau (Network Neighborhood) de Windows Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© constituent l'affichage du voisinage réseau (Network Neighborhood) de Windows Le port par défaut sur lequel le serveur attend du trafic NMB est le port UDP 137 : NetBIOS name service

×