Linux LPIC-3 ( PDFDrive ).pdf

Linux LPIC-3 (examen 300) :
Présentation de la formation.
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Linux LPIC-3 (examen 300) :
Environnement Mixte
Site : http://www.alphorm.com
Blog : http://www.alphorm.com/blog
Forum : http://www.alphorm.com/forum
Ludovic Quenec'hdu
Formateur et Consultant indépendant
OpenSource et virtualisation

Plan
• Présentation du formateur
• Qu’est-ce que la LPIC?
• La certification LPIC 3
• Le plan de formation
• Publics concernés
• Publics concernés
• Connaissances requises
• Présentation du Lab
• Liens des ressources logicielles

A propos du formateur
• Ludovic Quenec’ hdu
• lquenec@gmail.com
Mon profil LinkedIn : https://www.linkedin.com/pub/ludovic-quenec-hdu
Mon profil Alphorm : http://www.alphorm.com/auteur/Ludovic-QUENECHDU
• Formateur et consultant indépendant Logiciel libre depuis plus de
15 ans,
15 ans,
• Consultant en virtualisation
• Consultant expert en logiciels Libre
• administrateur, chef de projet, architecte et consultant
• Je dispense des formations sur les logiciels libres depuis plus de 15
ans.

A propos de la LPIC-3
• La certification Linux senior (LPIC-3) est le point culminant du programme des
certifications du LPI.
• Elle valide les compétences nécessaires pour la gestion à un niveau "structure ou
entreprise".
• développé à partir de contributions de centaines de professionnels du monde entier ainsi
que celles d’entreprises parmi les plus importantes du secteur des technologies.
• certification indépendante de la distribution Linux de plus haut niveau dans le monde de
• certification indépendante de la distribution Linux de plus haut niveau dans le monde de
l’entreprise.
300 Mixed Environment (remplace les 301 et 302 depuis octobre 2013)
303 Sécurité
304 Virtualisation et Haute disponibilité

La certification LPIC
LPIC 301 + 302
LPIC 301 + 302
Intégration des services réseaux hétérogène
Samba 3 et Samb 4
Adminstriation Openldap

Objectifs de l’examen 300 de la LPIC-3
• Afin de réussir l’examen LPIC 3, vous devez disposer de :
Plusieurs années d’expérience sur l’installation et l’administration de
système Linux dans differents environnements .
Connaître les niveaux de l'administration Linux, y compris l'installation, la
gestion, la sécurité, le dépannage et la maintenance
être capable d'utiliser des outils open-source afin de mesurer la
planification des capacités et des ressources pour résoudre les problèmes
être capable d'utiliser des outils open-source afin de mesurer la
planification des capacités et des ressources pour résoudre les problèmes
Avoir une expérience professionnelle sur les outils LDAP avec les services
Unix et les services Windows, y compris Samba, PAM, NSS, Active
Directory.
être en mesure de planifier, architecturer, designer et mettre en œuvre un
environnement complet en utilisant Samba3, samba4, LDAP et Kerberos.

Le plan de formation
Concepts et architecture
Les annuaires et Openldap
Le protocole LDAP
Le modèle de nommage
Le modèle de données
Le modèle fonctionnel
Le modèle de sécurité
Le modèle de duplication
LDIF, un format d'échange de données
Installation et configuration d'OpenLdap
OpenLDAP en tant que base d'authentification
Intégration de LDAP avec PAM et NSS
Intégration de LDAP avec Active Directory et
Kerberos
Fondamentaux sur Samba
Architecture et concepts de Samba
Configuration de Samba
Maintenance courante de Samba
Résolution de problèmes avec Samba
Gestion des utlisateurs et groupes
Configuration avance d'OpenLDAP
SSL/TLS
Iptables
SASL
(ACL) dans LDAP
Réplication avec OpenLDAP
performances du serveur OpenLDAP
Configuration des partages Samba
Partages de fichiers
Permissions sur le système de fichiers Linux et les
partages
Services d'impression
Gestion des utilisateurs et des groupes Samba
Gestion des comptes utilisateurs et des groupes
Authentification, autorisation et Winbind

Le plan de formation
Samba et domaines Windows
Samba en tant que contrôleur de domaine
principal (PDC) Samba3 TDBSAM
principal (PDC) Samba3 avec LDAP
secondaire (BDC) SAMBA3 TDBSAM et LDAP
Contrôleur de domaine compatible AD avec
Samba4
Configuration de Samba en tant que serveur
membre et DC du domaine
membre et DC du domaine
gestions des clients MS windows
Service de nom Samba
NetBIOS et WINS
Résolution de nom Active Directory
Travail avec les clients Linux et Windows
Intégration CIFS
Conclusion
Le mot de la fin

A Propos de la formation
• Public concerné
Ingénieur, administrateur et technicien voulant installer, configurer,
administrer et dépanner un environnement OpenLDAP/Samba et AD
• Connaissances préalables au cours
Avoir réussi ou suivi les formations LPIC-1, LPIC-2
Disposer d’une bonne expérience (entreprise) dans des environnements
Disposer d’une bonne expérience (entreprise) dans des environnements
hétérogènes MS windows, Linux. Gestion d’une administraton système
De bonnes connaissances sur les réseaux TCP/IP
De bonnes connaissances dans la gestion des utilisateurs.

Présentation du Lab
• Cette formation ne demande pas des ressources CPU/RAM extravagantes,
comme peut être une formation sur la Virtualisation par exemple.
• Néanmoins au cours de cette formation nous allons déployer plusieurs serveurs
Linux et au moins un serveur Windows 200X et un client Windows 7/8.
• Ce qui veux dire que nous aurons 4 machines virtuelles qui tournent
• Il faut donc disposer de ressources suffisantes :
• Il faut donc disposer de ressources suffisantes :
Un PC Core i5/7 pour la virtualisation et au moins 8Go de RAM pour déployer un
serveur et client MS Windows.
J’ utiliserai VirtualBox pour la virtualisation des serveurs.

Liens des ressources logicielles
• Le Wiki LPI :
http://wiki.lpi.org/wiki/LPIC-3
• Samba Experience
http://sambaxp.org/sambaxp-home.html
Wiki Samba 3 et 4
• Wiki Samba 3 et 4
https://wiki.samba.org/index.php/Main_Page
https://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/
• Documentation Active Directory
https://technet.microsoft.com/fr-fr/windowsserver/dd448614

Are you ready ? ☺

Les annuaires et
Les annuaires et
Openldap
Ludovic Quenec'hdu

Plan
• Les annuaires
• Les annuaires électroniques
• Historique d’Openldap

Les annuaires
• Le petit Larousse nous dit :
ANNUAIRE n.m. (du lat. annuus, annuel). Ouvrage publié chaque année,
donnant la liste des membres d'une profession, des abonnés à un service, etc.
: Annuaire du téléphone, Botin.
• L'exemple classique d'un répertoire est l’annuaire téléphonique, où les gens sont classés
par ordre alphabétique et en regard leurs numéros de téléphone et adresses.
• Chaque personne (ou famille) représente alors un objet, le numéro de téléphone et
l’adresse sont les attributs de cet objet.
• Certains objets peuvent être aussi des entreprises, et leurs attributs peuvent alors inclure
les numéros de fax ou les heures d'ouverture et diverses informations (Logo, adresse de
messagerie,…).
Famille de Ludo 11 rue du paradis Tel : 0033 6 78 45 24 67
Entreprise a Ludo 11 rue du paradis Tel : 0033 6 78 45 24 67 Fax : 784930202

Les annuaires électroniques
• Contrairement à son homologue imprimé, un annuaire électronique a une nature
hiérarchique.
• Ce qui permet aux objets d'être placés sous d'autres objets pour indiquer une relation
parent-enfant.
• Par exemple, le répertoire téléphonique pourrait être étendu et avoir des objets
représentant des zones de la ville, chacune avec des objets personnes et entreprises se
trouvant sous les objets de zone.
trouvant sous les objets de zone.
• Les objets arrondissement se trouverait alors sous un objet ville, et qui pourrait encore se
trouver sous un objet état ou province, et ainsi de suite.
• Une copie imprimée serait beaucoup plus difficile à utiliser car vous auriez besoin de
connaître le nom et localisation géographique, alors qu’il serait peut être plus simple de
rechercher par type d’entreprise. Je cherche un plombier
• En revanche, les ordinateurs sont capables de trier et rechercher des informations dans
des fichiers, répertoires et bases de données, cela permet donc une structure plus évoluée.

France
Ile de France Provence
Paris Marseille
Paris Marseille
11e arrondissement 8e arrondissements
Famille de Ludo
Adresse : 7 rue du paradis
Tel : 0033 6 78 45 24 67

• L'utilisation d'annuaire ne se limite pas à la recherche de personnes ou
de ressources. Un annuaire permet de :
constituer un carnet d'adresse
authentifier des utilisateurs
définir les droits de chaque utilisateur
définir les droits de chaque utilisateur
recenser des informations sur un parc matériel (ordinateurs, serveurs, leurs
adresses IP et adresses MAC, ...)
contenir les informations configuration des services DHCP, DNS, …
décrire les applications disponibles

• ils sont dynamiques : la mise à jour d'un annuaire électronique est beaucoup
plus simple à réaliser que celle d'un annuaire papier. Ainsi un annuaire en ligne
sera à jour beaucoup plus rapidement, d'autant plus que les personnes
recensées dans l'annuaire peuvent elles-mêmes modifier les informations les
concernant.
• ils sont sûrs : les annuaires en ligne disposent de mécanismes d'authentification
des utilisateurs grâce à un mot de passe et un nom d'utilisateur ainsi que des
des utilisateurs grâce à un mot de passe et un nom d'utilisateur ainsi que des
règles d'accès permettant de définir les branches de l'annuaire auxquelles
l'utilisateur peut accéder
• ils sont souples : ils permettent ainsi de classer l'information selon des critères
multiples contrairement aux annuaires papiers, imprimés une fois pour toute
pour permettre de rechercher selon un critère figé (en général l'ordre
alphabétique selon le nom)

• On trouve beaucoup d’implémentations d’annuaires électronique. Tous
ces serveurs implémentent le protocole LDAP:
Apache Directory Server,
Open Directory d'Apple,
Critical Path Directory Server et Meta Directory Server
389 Directory Server, OpenLDAP, Mandriva Directory Server offre une interface
web pour administrer Samba et LDAP
Oracle Directory Server Enterprise Edition, Oracle Internet Directory,
IBM SecureWay Directory, IBM Directory Server, IBM Lotus Domino, IBM Tivoli
Directory Server
Microsoft Active Directory

Historique d’Openldap
• Le projet a débuté en 1998 sous l'impulsion de Kurt Zeilenga en prenant pour
base les travaux de l'Université du Michigan où des chercheurs développaient
le protocole LDAP. Parmi les autres contributeurs, il y a Howard Chu et
Pierangelo Masarati.
OpenLDAP Version 1 (1998) : première version publique
OpenLDAP Version 2 (août 2000) : prise en charge de LDAPv3, d'IPv6, du TLS, …
OpenLDAP Version 2.1 (juin 2002) :
OpenLDAP Version 2.2 (décembre 2003) :
OpenLDAP Version 2.3 (juin 2005) : possibilité d'avoir la configuration accessible dans
l'annuaire (cn=config)
OpenLDAP Version 2.4 (octobre 2007) : réplication miroir et multi-maîtres; réplication
Proxy Sync; extensions LDAP v3.

OpenLDAP fournit
• Un protocole de communication.
• Un modèle de données
• Un modèle de nommage
• Un modèle fonctionnel
• un modèle de sécurité
• Un format d'échange de données, le format LDIF.
• Un modèle de réplication

Ce qu’on a couvert
• Les annuaires
• Les annuaires électroniques
• Historique d’Openldap

Le protocole LDAP
Le protocole LDAP
Lightweight Directory acces Protocol
Ludovic Quenec'hdu

Plan
• Lightweight Directory Access Protocol

Lightweight Directory Access Protocol
• Un protocole d'accès aux données dans un annuaire. Il définit comment ajouter,
modifier, supprimer, rechercher des données dans une base de données, quels
protocoles de chiffrement utilisés (kerberos, ssl...), et quels mécanismes
d'authentification sont utilisés.
• Ce protocole est utilisé dans la relation client/serveur, mais également entre
serveurs (serveur/serveur). Les BDs LDAP peuvent être dupliquer et repartie
LDAP Lightweight Directory Access Protocol, issu de X.500 Directory Access
• LDAP Lightweight Directory Access Protocol, issu de X.500 Directory Access
Protocol (DAP)
• Le protocole fut créé par Tim Howes de l'Université du Michigan, Steve Kille du
ISODE et Wengyik Yeong de Performance Systems International en 1993

• Initialement LDAP était un protocole d'accès à un annuaire X.500 avant que
l'université du Michigan n'en fasse un annuaire Standalone
• L'annuaire LDAP est une base de donnée organisée hiérarchiquement qui
recense des données sur des objets qui peuvent être des personnes, des
serveurs, des imprimantes, …
• Il existe deux versions de LDAP : LDAPv2 et LDAPv3
• Il existe deux versions de LDAP : LDAPv2 et LDAPv3
• LDAP v3 devient un standard pour l'Internet (RFC 2251)
• LDAP V3 permet d’etendre les fonctionnalitées

• Les messages LDAP sont codés sous une forme BER (Basic Encoding
Rule)
Se connecter, se déconnecter, rechercher des informations, comparer,
modifier, supprimer, …
• Les requêtes ont un identifiant de requête nommé numéro de
séquence, qui permet au client de connaître sa réponse en cas de
séquence, qui permet au client de connaître sa réponse en cas de
multiples réponses.

• Usage d'un service d'annuaire LDAP
un service d'annuaire
un service d'authentification
pour la messagerie, carnet d’adresses
pour les applications internet/intranet, certificats, configuration des
applis…

• Lightweight Directory Access Protocol

Ludovic Quenec'hdu

Plan
• Le modèle de nommage
• Le Directory Information Tree DIT
• Structure de l'annuaire

• Le modèle de nommage définit l'organisation des données et la façon d'y
accéder.
• Il spécifie une structure arborescente appelée le Directory Information Tree (DIT)
dans laquelle on trouve des entrées.
• L'arbre est composé d'entrées simples et d'alias.
• Depuis LDAP v3, Les entrées d'un annuaire peuvent être réparties entre plusieurs
• Depuis LDAP v3, Les entrées d'un annuaire peuvent être réparties entre plusieurs
serveurs (referall ) et peuvent etre designés de deux facons, les DN et le RDN.

• Il y a plusieurs approches afin d’organiser le nommage des entrées :
Par pays : C=FR, C=UK
Par organisation : O=ALPHORM
Par nom de domaine : ALPHORM.COM DC=ALPHORM,DC=COM

Le Directory Tree, structure de l’arbre
• On peut trouver pour une grande organisation :

Structure de l'annuaire, Exemples d'arbres
• Dans ce cadre, le modèle LDAP peut être plat :

• Découpage pour refléter l'organisation interne :

• Découpage par type d'objet :

Structure de l'annuaire
• Au sommet de l’arbre se trouve la racine ou suffixe appelé Directory Infomation Tree (DIT)
• Chaque entrée a un identifiant unique, le Distinguished Name (DN).
• Il est constitué à partir de son Relative Distinguished Name (RDN) suivi du DN de son
parent. C'est une définition récursive.
• On peut faire l'analogie avec une autre structure arborescente, les systèmes de fichiers ; le
DN étant le chemin absolu et le RDN le chemin relatif à un répertoire. En règle générale le
RDN d'une entrée représentant une personne est l'attribut cn (common name) :
DN étant le chemin absolu et le RDN le chemin relatif à un répertoire. En règle générale le
RDN d'une entrée représentant une personne est l'attribut cn (common name) :
dc=com
dc=alphorm
ou=people ou=groupe
cn=ludo
• Le RDN est rdn:cn=ludo, son DN est dn: cn=ludo, ou=people, dc=alphorm,dc=com

• Au sommet de l’arbre on trouve donc des attributs de différents types qui constituent
donc le DIT.
• dc est l’abréviation de domain component (composante du domaine).
• Dans notre exemple com est le top-level du domaine et alphorm est un sous domaine de
com.
• Ils sont alors séparés dans deux entités différentes et sont donc séparés par des virgules
dans la norme X500
• Ils sont alors séparés dans deux entités différentes et sont donc séparés par des virgules
dans la norme X500
dc=alphorm, dc=com

• On trouvera donc un espace de nom de type :
• On trouve également ObjectClasss

• Le modèle de nommage
• Le Directory Information Tree DIT
• Structure de l'annuaire

Ludovic Quenec'hdu

Plan
• Modèle de données
• Classes et attributs
• Les schémas

Modèle de données
• Définit les informations stockées dans un annuaire et leurs représentations.
Les informations ou données sont stockées sous forme hiérarchique.
Dans un arbre appelé Directory Information Tree (DIT), chaque élément de cet arbre est une
entrée Directory Entry Service (DES), ces dernieres sont regroupés par objet.
Un objet représente une abstraction du monde réel :
• personnes, organisation, ressources, service
• personnes, organisation, ressources, service
• machines, configuration, équipement, …
Une classe d’objet donne la description des objets en caractérisant des attributs
On trouve un couple attributs –valeurs d'attributs, les attributs d'une entrée peuvent être
obligatoires ou optionnels, multi-valeurs ou non.
Toutes ces informations entrées sont constituées dans des schémas.

Classes et attributs
• Les attributs sont caractérisés par :
Un nom qui l'identifie
Un Object Identifier (OID) qui l'identifie
S'il est mono ou multi-valeurs
Un indicateur d'usage (facultatif/obligatoire)
Un indicateur d'usage (facultatif/obligatoire)
Une syntaxe et des règles de comparaison
Un format ou une limite de taille de valeur qui lui est associé

Nom Description
sn Nom de famille, dérive de l'attribut name
telephoneNumber Numéro de téléphone
member Membre d'un groupe.
attributetype ( 2.5.4.4 NAME ( 'sn' 'surname' )
DESC 'RFC2256: last (family)
SUP name )
attributetype ( 2.5.4.20 NAME 'telephoneNumber'
DESC 'RFC2256: Telephone Number'
EQUALITY telephoneNumberMatch
SUBSTR telephoneNumberSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.50{32} )
( 2.5.6.6 NAME 'person' SUP top STRUCTURAL
MUST ( sn $ cn )
MAY ( userPassword $ telephoneNumber $ seeAlso $
description ) )

• L'object Identifier est issu de X.500, il est aussi unique :
Un OID est une suite de nombres séparés par des points
OID Description
0 branche de l'International Télécommunication Union
1 branche ISO
2
branche commune entre l'International Telecommunication
Union et ISO
2.5 fait référence au service X500
2.5.4 définition des types d'attributs
2.5.6 définition des classes d'objets
1.3.6.1 the Internet OID
1.3.6.1.4.1 IANA-assigned company OIDs, used for private MIBs
1.3.6.1.4.1.4203 OpenLDAP

• Toutes les entrées de l'annuaire appartiennent à une ou plusieurs classes d'objet
(héritage).
• Une classe d'objet possède un nom et un ensemble d’attributs. Ces attributs
peuvent être obligatoires ou optionnels
• Les classes d'objets forment une hiérarchie avec au sommet l'objet top
• Les noms de ces classes d’objet sont listés dans un type d'attribut multi-valué
• Les noms de ces classes d’objet sont listés dans un type d'attribut multi-valué
spécial appelé ObjectClass.

• Une classe d'objet est caractérisée par :
un nom de classe unique dans l'annuaire
un identifiant de classe (OID) unique
un ensemble d'attributs obligatoires généralement petit
un ensemble d'attributs optionnels généralement plus grand
un ensemble d'attributs optionnels généralement plus grand
un type qui peut prendre les valeurs structural, auxiliary ou abstract..

• Le type de la classe est lié à la nature des attributs :
La classe structurelle correspond aux objets de bases manipulés dans
l'annuaire (ex : les personnes)
La classe auxiliaire définit des objets qui ajoute des informations aux classes
structurelles
La classe abstraite correspond à des objets particuliers comme top ou alias
La classe abstraite correspond à des objets particuliers comme top ou alias
( 2.5.6.0 NAME 'top' ABSTRACT MUST objectClass )
( 2.5.6.3 NAME 'locality' SUP top STRUCTURAL
MAY ( street $ seeAlso $ searchGuide $ st $ l $ description ) )
( 2.5.6.6 NAME 'person' SUP top STRUCTURAL MUST ( sn $ cn )
MAY ( userPassword $ telephoneNumber $ seeAlso $ description ) )

Les Schémas
• Les attributs, classe d’objet sont définis dans des schémas
schéma nis, schéma samba, schéma core, schéma écrit par un utilisateur
On peut créer ses propres schémas pour un besoin bien spécifiques, il faut
donc récupérer des OID auprès de l’IANA
Samba.schema, nis.schema, core.schema, monschema.schema, …
Samba.schema, nis.schema, core.schema, monschema.schema, …

Les schémas
attributetype ( 1.3.6.1.4.1.7165.2.1.20 NAME 'sambaSID'
DESC 'Security ID‘
EQUALITY caseIgnoreIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26{64} SINGLE-VALUE )
objectclass ( 1.3.6.1.4.1.7165.2.2.11 NAME 'sambaShare' SUP top STRUCTURAL
DESC 'Samba Share Section'
DESC 'Samba Share Section'
MUST ( sambaShareName )
MAY ( description ) )

• Modèle de données
• Classes et attributs
• Les Schémas

Ludovic Quenec'hdu

Plan
• Le modèle fonctionnel
• Les opérations d'authentification et de contrôle
• Les opérations de recherche
• Les opérations de modification

• Décrit les opérations autorisées sur un annuaire LDAP.
• Similaires aux opérations de manipulation des fichiers sous UNIX
• Trois types d’opérations possibles :
les opérations d'authentification et de contrôle
les opérations recherches sur l'annuaire
les opérations recherches sur l'annuaire
les opérations de mise à jour définissant la façon de manipuler les entrées de
l'annuaire, Ajout, suppression, modification
• Un numéro de séquence est attribué à chaque requête afin que le client puisse
reconnaître les réponses, à chaque opération, le serveur renvoie également un
acquittement.

Les opérations d'authentification et de contrôle
• LDAP définit
deux opérations d'authentification bind et unbind
une opération de contrôle, l'opération abandon.

Les opérations d'authentification et de contrôle
• L'opération Bind
L'opération bind sert à authentifier le client.
Le client fournit un DN et un password.
Après vérification par le serveur, le client est autorisé à se connecter on non.
L'authentification peut être sécurisée avec TLS, SASL,…
• Opération unbind
• Opération unbind
Utilisée par le client pour se déconnecter du serveur.
Le serveur termine toutes les opérations en cours, puis ferme la connexion.
• Opération abandon
permet au client de demander au serveur l'arrêt du traitement d'une opération.
Le client fournit l'ID du message de l'opération.
Le serveur arrête l’opération correspondante

Les opérations d'interrogation
• LDAP offre deux opérations d'interrogation
L'opération de recherche
L'opération de comparaison
• Opération de recherche (search)
Elle offre une recherche multi-critères sur les entrées de l'annuaire
Elle offre une recherche multi-critères sur les entrées de l'annuaire
Elle simule la fonction de lecture (recherche limitée à une entrée)
• Opération de comparaison (compare)
Vérifie qu'une entrée contient une valeur d'attributs donnée

Options de recherche
• Les options des commandes search et compare
base object : entrée à partir de laquelle doit commencer la recherche
scope : la profondeur de la recherche
size limit : nombre de réponses limites
time limit : temps maxi alloué pour la recherche
search filter : le filtre de recherche
attrOnly : renvoie ou pas la valeur des attributs en plus de leur type
list of attributes : la liste des attributs que l'on souhaite connaître

La profondeur des recherches
• Profondeur de recherche peut prendre trois valeurs :
Base : la recherche est limitée à l'entrée désignée
Onelevel : la recherche est limitée aux enfants immédiats
Subtree : la recherche est limitée à l'entrée et son sous-arbre

L'expression de recherche
• L'expression de recherche est un ensemble de filtres.
• 6 types filtres
Le filtre d'égalité : cn=Ludo
Le filtre de contenance : cn=Lu*, sn=*que*, cn=Ha*
Le filtre d'approximation : cn~=ludo)
Le filtre d'approximation : cn~=ludo)
Le filtre de comparaison : cn>ludo, <= , >= , <
Le filtre de présence : cn=*
Le filtre extensible match (LDAP v3)

Les opérations de modifications : Add
• Ajout des entrées dans l'annuaire.
• Le DN de l'entrée et l'ensemble des valeurs des attributs de la nouvelle entrée.
• Conditions à respecter
le parent de la nouvelle entrée doit déjà exister dans l'annuaire,
il n'existe pas d'entrée portant le même nom,
il n'existe pas d'entrée portant le même nom,
le contrôle d'accès doit autoriser cette opération d'ajout.

Les opérations de modifications : Modify
• mise à jour des valeurs d'une entrée
• les modifications peuvent être :
des valeurs à ajouter
des valeurs à supprimer
des valeurs à remplacer
l'entrée à effacer doit exister dans l'annuaire,
elle ne doit pas avoir d'enfants
le contrôle d'accès doit autoriser cette opération de modification

Les opérations de modifications : Delete
• Suppression d'entrées de l'annuaire. Il suffit d'indiquer le DN de l'entrée.
le contrôle d'accès doit autoriser cette opération de suppression
le contrôle d'accès doit autoriser cette opération de suppression

Les opérations de modifications : Rename
• Sert à renommer ou à déplacer une entrée
• Il faut indiquer le DN de l'entrée,
• Fournir le nouveau RDN ou DN
• Préciser si l'ancien RDN doit être effacé ou pas
le contrôle d'accès autorise l'opération de renommage

• Modèle fonctionnel
• Les opérations d'authentification et de contrôle
• Les opérations de recherche
• Les opérations de modification

Ludovic Quenec'hdu

Plan
• Le modèle de sécurité
• L'authentification du client
• Le contrôle d'accès

• Le modèle de sécurité assure la protection des accès non autorisés
• Couvre deux aspects :
l'authentification du client
le contrôle d'accès aux données.
• L'authentification du client peut être sécurisée
• L'authentification du client peut être sécurisée

L'authentification du client
• LDAP propose plusieurs choix d'authentification
Anonymous authentication : pas d'authentification
Simple password : authentification avec mot de passe en clair
Simple password over SSL : le client s'authentifie par un mot de passe transmis par SSL
ou TLS. Ce choix est fait pour les annuaires nécessitant un niveau élevé de sécurité.
Certificate authentication over SSL : le client s'authentifie en utilisant pleinement le
Certificate authentication over SSL : le client s'authentifie en utilisant pleinement le
protocole SSL (usage d'un certificat).
SASL –Simple Authentication and Security Layer – fournit l’encryptage des données,
l’authentification et la signature des messages. (kerberos)

Le contrôle d'accès
• Permet de restreindre les accès aux données pour le client authentifié
• Au travers de listes de contrôle d’accès ou ACL – Access Control List
• Permet de définir plusieurs niveaux de visibilité, d’écriture, de limite, de
sécurité d'un annuaire

• Les ACL s'expriment avec des règles sous la forme :
<target> <permission> <bind rule>
• target : point d'entrée de l'annuaire auquel s'applique la règle
• permission : permet ou refuse un type d'accès (read,write,search...)
• bind rule : identifie le bindDN utilisé en connexion
• bind rule : identifie le bindDN utilisé en connexion

• Les règles peuvent s'appliquer
à tout ou partie de l'annuaire,
à des entrées ou attributs spécifiques
• Exemple : une liste de diffusion autorisée à son seul propriétaire !
• Les permissions peuvent être appliquées
• Les permissions peuvent être appliquées
aux utilisateurs, authentifié, anonymes
aux groupes

• Modèle de sécurité
• L'authentification du client
• contrôle d'accès

Ludovic Quenec'hdu

Plan
• La réplication principe
• Le partitionnement avec les référents (referrals servers)

La réplication principe
• La réplication consiste à recopier tout ou partie du contenu d'un annuaire sur un
autre serveur
• La duplication est utilisée pour :
Mettre en œuvre une architecture d'annuaires hautement disponible
Permettre l'équilibrage de charge entre serveurs
Rapprocher les serveurs des utilisateurs
Importer des portions d'annuaire

• Le service de réplication met en jeu plusieurs serveurs :
les Provider servers qui exportent les données,
les Consumer servers qui les importent
• La replication agreement précise
quels serveur est le serveur Provider
quels serveur est le serveur Provider
quels sont ses consumers
quelles sont les données échangées

• La réplication peut être totale ou incrémentale
• Plusieurs stratégies de réplication
master réplication : un provider et des consumer en read-only, refreshOnly et
refeshAndPersist
multiple-master réplication, les consumers sont également Provider
En cascade (les consumer deviennent des suppliers pour d'autres serveurs)
En cascade (les consumer deviennent des suppliers pour d'autres serveurs)

Le partitionnement
• Le partitionnement consiste à séparer les branches de l'annuaire sur plusieurs serveurs
• Ce service est assuré par les referrals
Les mécanismes qui permettent de créer des liens d’arbres entre eux s’appellent Les knowledge
references
Le point de branchement d'un arbre qui vient se raccrocher un autre DIT se nomme (immediate
superior knowledge reference)
Un ObjectClass permet de créer des dn vers les autres serveurs
Un ObjectClass permet de créer des dn vers les autres serveurs
Si l’objet n’est pas dans son espace de nommage, les serveurs utilisent alors Les knowledge
references

• La réplication principe
• Le partitionnement avec les référents (referrals servers)

LDIF, format d'échange
LDIF, format d'échange
de données
Ludovic Quenec'hdu

LDIF - LDAP Data Interchange Format
• LDIF - LDAP Data Interchange Format
• La syntaxe
• Ajout d'une entrée
• Modification

LDIF - LDAP Data Interchange Format
• Format standard d'échange de données entre les annuaires LDAP.
• Permet de décrire des objets dans l’annuaire
• Permet également de décrire la manipulation des objets dans LDAP
Exporter/importer, ajout, suppression, modifications.
• C’est un fichier simple, format texte.

Le format
• Le format
• Les enregistrements sont représentés comme un groupe de couples attributs-
valeurs. Chaque enregistrement est séparé d'un autre par une ligne vide.
• Les attributs d'un enregistrement sont représentés sur une seule ligne logique
par un couple "nom: valeur". Il est possible de représenter un attribut sur
plusieurs lignes en faisant précéder les lignes supplémentaires par un espace.
plusieurs lignes en faisant précéder les lignes supplémentaires par un espace.
• Les données sont normalement encodées en ASCII, cependant s'il n'est pas
possible de représenter le caractère en ASCII, il faut utiliser l'UTF-8 encodé
en base64.

La syntaxe
dn: dc=alphorm, dc=com
dc: alphorm
description: Serveur ldap alphorm
objectClass: dcObject
objectClass: organization
o: Serveur alphorm
dn: ou=people, dc=alphorm, dc=com
dn: ou=people, dc=alphorm, dc=com
ou: people
objectClass: organizationalUnit
dn: cn=admin, ou=people, dc=alphorm, dc=com
description: Administrateur LDAP
objectClass: organizationalRole
cn: admin

Ajout
dn: cn=Ludo Quenec,ou=people,dc=alphorm,dc=com
objectclass: inetOrgPerson
cn: Ludo Quenec
cn: Ludovic Quenec
sn: Quenec
uid: lQuenec
userpassword: JN78,2/@rzp
carlicense: grosseVoiture
carlicense: grosseVoiture
homephone: 555-111-2223
mail: l.Quenec@alphorm.com mail: lQuenec@alphorm.com
mail: Ludo.Quenec@alphorm.com
ou: Formation

Modification
dn: cn=Ludovic Quenec,ou=people,dc=alphorm,dc=com
changetype: modify
add: telephonenumber
telephonenumber: 555-555-1212
replace: uid
uid: rjosmith
uid: rjosmith
Replace
mail: robert.smith@example.com
mail: bob.smith@example.com –
add: jpegphoto
jpegphoto: < file://path/to/jpeg/file.jpg
delete: description

Modification
changetype: delete
changetype: delete
delete: telephonenumber

• LDIF - LDAP Data Interchange Format
• La syntaxe
• Ajout d'une entrée
• Modification

Installation et configuration
Installation et configuration
Ludovic Quenec'hdu

Plan
• Installation et configuration sur une Debian/Ubuntu
• Installation et configuration sur une Centos/RHEL

Installation
• Compiler ?
Ne pas bénéficier des updates, les versions proposées sont presque à jour
Réparer un bug
• Trouver les paquets :
Yum search openldap; apt-cache search openldap
Yum search openldap; apt-cache search openldap
• Installer le paquets
apt-get install slapd ldap-utils
Yum install openldap-server openldap-client

Configuration d’Opendap
• Plusieurs possibilités de configuration sont possibles avec Openldap 2.4
• Le mode OCL OnLineConfiguration au travers de ldif
• OU
• Créer un fichier slapd.conf comme on faisait avant la version 2.4
• Deux méthodes proposées :
• Deux méthodes proposées :
Le mode ocl sur une ubuntu 14.04
La génération d’un slapd.conf sur une centos

Configuration sur une Debian/Ubuntu
• Utiliser l’outil de configuration dpkg
OU
• Utiliser ldif pour la configuration :
1. Créer un fichier ldif pour le backend
2. Modifier le mot de passe du manager ldap
2. Modifier le mot de passe du manager ldap
3. Ajouter le fichier ldif dans la base de données backend :
• ldapadd -Y EXTERNAL -H ldapi:/// -f backend.ldif
4. Créer un fichier ldif pour le frontend :
• ldapadd -Y EXTERNAL -H ldapi:/// -f frontend.ldif
• ldapsearch -xLLL -b "dc=alphorm,dc=local" uid=ludo sn givenName cn

Configuration sur une Centos/RHEL
• Après une installation minimale de Centos 6.5 :
1. Installer les outils Openldap serveur, client et Kerberos pour ldap
2. Créer un fichier slapd.conf
• Ajouter les schémas dans le fichier
3. Editer le fichier slapd.conf pour ajouter :
• Le suffix, le RootDN, le RootPW (généré avec slappasswd)
• L’emplacement de la base de données ldap et le type de BD
• Quelques acl et les fichiers de pid et d’arguments de slapd

• Apres une installation minimale de Centos 6.5 :
1. On teste le fichier de conf et on génère les base données à partir du fichier
slapd.conf
2. Vérifier notre nouvelle base cn=config avec slaptest
3. Mettre en place notre nouvelle config ocl
4. Installer la Base de données bdb (berkeleyBD) avec le fichier DB_CONFIG
4. Installer la Base de données bdb (berkeleyBD) avec le fichier DB_CONFIG
5. Mettre en place les options pour ldap dans sysconfig
6. Configuration de syslog pour ajouter openldap
7. On redemarre openldap et on le fichier client ldap

• On vérifie tout ca avec quelques commandes :
Ldapwhoami -WD cn=admin,dc=alphorm,dc=local
ldapsearch -xLLLWD cn=admin,dc=alphorm,dc=local -b cn=config dn

• Installation et configuration sur une Debian/Ubuntu
• Installation et configuration sur une Centos/RHEL

Gestion des utilisateurs
Utilisation du serveur
Gestion des utilisateurs
et groupes
Ludovic Quenec'hdu

Plan
• Création des branches utilisateurs et groupes
• Ajout des groupes
• Ajout de utilisateurs

Création des branches utilisateurs et groupes
• Créer un fichier ldif et simplement ajouter les entrées dans la base
dn: dc=alphorm,dc=local
dc: alphorm
objectClass: top
objectClass: domain
dn: ou=users,dc=alphorm,dc=local
ou: Users objectClass: top
ou: Users objectClass: top
description: utilsateurs Linux/Unix Posix
dn: ou=groups,dc=alphorm,dc=local
ou: Groups
objectClass: top
description: groupes Linux/Unix Posix
ldapmodify -a -xWD cn=admin,dc=alphorm,dc=local -f ~/ldif/users_groups.ldif

Ajout de groupes
dn: cn=admin, ou=groups, dc=local, dc=local
cn: admin
objectClass: top
objectClass: posixGroup
gidNumber: 1100
description: Groupe des administrateurs Linux
dn: cn=formateur, ou=groups, dc=local, dc=local
cn: oinstall objectClass: top
cn: oinstall objectClass: top
objectClass: posixGroup gidNumber: 500
description: Formateur Alphorm
dn: cn=boss, ou=groups, dc=local, dc=local
cn: dba objectClass: top
objectClass: posixGroup gidNumber: 501
description: Les boss d alphorm
ldapmodify -a -xWD cn=admin,dc=alphorm,dc=local -f ~/ldif/groups.ldif

Ajouter les utilisateurs
dn: cn=lquenec, ou=users, dc=alphorm, dc=local
uid: lquenec
gecos: Ludovic Quenec hdu
objectClass: top
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
userPassword: {SSHA}RsAMqOI3647qg1gAZFfa
shadowLastChange: 15140
shadowMin: 0
shadowMax: 99999
dn: cn=hamid, ou=users, dc=alphorm, dc=local
uid: hamid
gecos: Hamid Harabazan
objectClass: top
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
userPassword: {SSHA}RsAMqOI3647qg1gAZF3x2BKBn
shadowLastChange: 15140
shadowMin: 0
shadowMax: 99999
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 1100
gidNumber: 1100
homeDirectory: /home/lquenec
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 1101
gidNumber: 1101
homeDirectory: /home/hamid
ldapmodify -a -xWD cn=admin,dc=local,dc=local -f ~/ldif/users.ldif

Ajouter les utilisateurs
• Positionnons des mots de passe pour les users :
ldappasswd -xZWD cn=admin,dc=alphorm,dc=local -S
cn=Hamid,ou=users,dc=alphorm,dc=local

Ce qu’on couvert
• Création des branches utilisateurs et groupes
• Ajout des groupes
• Ajout de utilisateurs

Securité de l'annuaire
Securité de l'annuaire
Ludovic Quenec'hdu

Plan
• Menaces sur un annuaire LDAP
• Mecanisme de sécurité
• SSL/TLS, Cryptographie, Les certificats
• OpenSSL

Objectifs 390.2 Securité de l'annuaire
• Les candidats doivent être en mesure de mettre en place un accès chiffré à
l'annuaire LDAP et de restreindre les accès au niveau du pare-feu
• Domaines de connaissance les plus importants :
Sécurité de l'annuaire avec SSL et TLS.
Considérations sur la protection par pare-feu.
Méthodes d'accès sans authentification.
Méthodes d'authentification à partir d'un compte utilisateur et d'un mot de
passe.
Gestion d'une base de données utilisateur SASL.
Certificats client / serveur.

Menaces sur un annuaire LDAP
• Interceptions des communications et accès au serveur:
accès non autorisé aux données et configuration
Modification non autorisé des données et configuration
Usurpation d’identités
Détournement d’identités
• Dénis de service ::
Utilisation en exces des ressources
Refus d’acces au service

Mecanisme de sécurité
• L’operation Bind fournit une methodes simple :
Anonymes
Non authentifié
Couple nom d’utilsateur/mots de passe
Methodes SASL et TLS
Methodes SASL et TLS

Mecanisme de sécurité
• Le liste de controle d’acces sur les données de l’annuaire
Les ACLs
• Les service de limitations d’utilisation des ressources
Configuration du serveur
Les mécanismes SSL/TLS et SASL
• Les mécanismes SSL/TLS et SASL
L’authentification, l’integrité, la confidentialités
• Les mécanismes de filtrage de connexion
Mise en place de regle de filtrage avec un pare-feu

L’opération Bind
• Méthode d’authentification simple
• La méthode d’authentification simple de l’opération Bind donne trois
mécanismes d’authentification :
Un mécanisme d’authentification anonyme
Un mécanisme d’authentification non authentifié
Un mécanisme d’authentification non authentifié
Un mécanisme d’authentification nom/mot de passe utilisant des accréditifs
consistant en un nom (sous la forme d’un nom distinctif LDAP.

SSL/TLS
• SSL/TLS : Secure Socket Layer/Transport layer Security
Est une couche qui permet l’authentification, la confidentialité et l’integrité
des données
Peut etre appliqué a tout type de communication entre des parties
SSL protocole mise au point par Netscape afin d’etablir des connexions
chiffrés, integrité et authentifié
Ajourd’hui SSL est en version 3.0
TLS est une “mise a jour” de SSL , TLS actuellement V1.2
Aujourd’hui on utilise TLS et non SSL !

Le protocole TLS
• TLS utilise à la fois la cryptographie asymétrique pour l’authentification
et un chiffrement symétrique pour garantir la protection des données
• Symétrique ou clé privé:
Une clé privé partagé entre les utilisateurs ou applications, les données sont chiffrés
avec une meme clé (secrete), cette clés est transmise avec le messages
Asymétrique ou clé publique:
• Asymétrique ou clé publique:
Deux clés, une dite publique et une privé
Ces deux sont générés ensemble par un logiciel, la clé privé est conserver bien a l’abri,
la clé publique est publié sans risque
La clé publique sert a chiffrer le message et a clé privé le decrypte et inversement
La clé publique est elle sur ? Les certificats

Certifacats X509
• Un certificat est un “document” qui permet au travers d’une chaine de
confiance, de certifier le proprietaire de la clé publique
• Un certificat comprend une clé publique et des renseignements sur le
proprietaire. Ce certificat signé avec la clé privé d’une autorité de
cerification CA (Certification Authority)
• Les certificats assure, si l’on a onfiance dans le CA, que le proprietaire
• Les certificats assure, si l’on a onfiance dans le CA, que le proprietaire
de la clé publique ou du serveur (certificat serveur)sur lequel je me
connecte est bien la personne ou le serveur.
• Un certificat comprends :
La version, une numéro de série unique, L’alogirithme de chiffrement, le CA,
une période de validité, la personne ou la société identifié par ce derneir, la
clé publique et la signature du CA

OpenSSL
• OpenSSL est une boite a outils de chiffrement
• LibreSSL un “fork” d’openSSL afin de réparer la faille Heartbleed en
2014
• Voyons un peu comment mettretout cela en oeuvre ☺
Test d’openSSL
Test d’openSSL
Mise en place de certificat auto-signé avec Openldap
• Generer une clé privé
• Faire une requete de certificat avec la cle prive
• signer le certificat (creer sa CA)
• Installer les certificats dans openldap et configurer le client ldap

• Menaces sur un annuaire LDAP
• Mecanisme de sécurité
• SSL/TLS, Cryptographie, Les certificats
• OpenSSL

Plan
• Le pare feu : Netfilter – iptables
• Le types de pare feu
Routeur filtrant, filtre local
• Iptables
Manipulation des chaînes

Le pare feu : Netfilter – iptables
• Netfilter est la pare feu livré avec le noyaux Linux 2.4
• C’est un module noyau qui permet le filtrage de paquets
• Mais egalement de garder l’etat des connexions !!
• Il a recu le Certificat de Sécurité de Premier Niveau (CSPN) par l'Agence
nationale de la sécurité des systèmes d'information
nationale de la sécurité des systèmes d'information

Iptables
• Le programme iptables permet de manipuler les regles de filtrages du
noyau linux
• Il permet donc configurer un pare-feu
• Iptables manipule un liste de regles appelées CHAINES. 5 chaines
• Analyser les une a la suite des autres
• Analyser les une a la suite des autres
• Les chaînes se trouvent dans des TABLES, nat, filter et mangle
• Seul la table FILTER, nous interesse

Routage filtrant
• La table FILTER contient 3 chaînes :
INPUT : qui rentre dans le firewall processus locaux
OUTPUT : qui sort du le firewall processus locaux
FORWARD : qui traverse le firewall
• Chaque chaînes dispose de politiques :
• Chaque chaînes dispose de politiques :
ACCEPT : les paquets sont acceptés
DROP : Les paquets sont refusés sans notification
REJECT : Les paquets sont refusés avec notification
Ils est ainsi sur chaques chaînes d’interdire ou d’autoriser l’acces aux services

• Iptables sert donc a minupiler des regles, des chaines et des tables:
Iptables –A INPUT –p icmp –s 127.0.0.1 –j DROP
Iptables –A OUTPUT –p tcp –sport 389 –d 0/0 –j ACCEPT
Iptables –A INPUT –p tcp –dport 389 –s 0/0 –j ACCEPT
Iptables –N LOG_DROP
Iptables –N LOG_DROP
Iptables –A LOG_DROP –j LOG
Ipatbles –F
Iptables –P INPUT DROP
Iptables –A INPUT -p udp -s 0/0 -d 192.168.0.150/24 --sport 53 –j ACCEPT

• Le pare feu : Netfilter – iptables
• Le types de pare feu
• Iptables
La partie de l'image avec l'ID de relation rId3 n'a pas été trouvé dans le fichier.

SASL
SASL
Ludovic Quenec'hdu

Plan
• SASL Simple Authentification Security Layer
• délégation d'autorisation

SASL Simple Authentification Security Layer
• SASL Couche simple d’authentification et de sécurité est un framework
ou couche utilisé pour l’authentification qui offre la possibilités
d’externaliser cette derniere , mais egalement de chiffrer les connexions
• Openldap offre la possibilites de “bind” avec sa propre base de compte.
• Qu’en est il dans un environnement hétérogene avec du Microsoft
Windows ou du Kerberos, des serveurs web apache, du postfix, de
Windows ou du Kerberos, des serveurs web apache, du postfix, de
l’exchange ou les bases de compte sont independantes ?

Authentification simples
• Nous avons pu voir trois methodes d’authetifcation avec openldap :
• Anonyme
• Non authentifie : avec un compte sans mots de passe
• Authentifciation par DN et mot de passe
• Openldap offre la posssibilites de mieux gerer les mots de passe avec le
ppolicy.

SASL Simple Authentication Security Layer
SASL est un framework normalise par l’iETF qui permet alors des
authentifications et la securisation via des mecanisme :

Mécanismes SASL
• EXTERNAL : est externalise dans une autre base.
• ANONYMOUS, accès anonyme sans authentification.
• PLAIN, accès avec authentification par mot de passe transmis en clair.
• DIGEST-MD5, mécanisme basé sur MD5 et compatible HTTP (DIGEST-MD5
fournit une couche d’intégrité des données ; Digest-MD5 rend obsolète le
mécanisme CRAM-MD5.)
mécanisme CRAM-MD5.)
• NTLM (NT LAN Manager ; Microsoft), mécanisme d’authentification pour réseau
local NT . Par ailleurs, NTLM est le protocole d'authentification utilisé par les
ordinateurs qui ne font pas partie d'un domaine.
• GSSAPI (Generic Security Services Application Programming Interface), pour
l’authentification utilisant le protocole Kerberos 5.

SASL Simple Authentification Security Layer
• SASL est donc un framework qui permet d’interfacer des bases
d’authentification avec des logiciels serveur.
• LDAP SASL->AD
• NTLM<>SASL <> LDAP
• LDAP<>SASL<>KERBEROS
• LDAP<>SASL<>KERBEROS
• Regardons un peu comment cela fonctionne
Installation de sasl
Configuration
Test d’autentification

délégation d'autorisation
• Test de délégation d'autorisation en digest-md5

• SASL Simple Authentification Security Layer
• délégation d'autorisation

Les ACL Openldap
Configuration avancé d'OpenLDAP
Les ACL Openldap
Site : http://www.alphorm.local
Blog : http://www.alphorm.local/blog
Forum : http://www.alphorm.local/forum
Ludovic Quenec'hdu

Plan
• Les listes de controles d’accès
OU
QUI
QUOI
Mise en place des access list

OU
0: dc=alphorm,dc=local
1: cn=admin,dc=alphorm,dc=local
2: ou=users, dc=alphorm,dc=local
3: cn=hamid,ou=users, dc=alphorm,dc=local
4: cn=addresses, cn=hamid,ou=users, dc=alphorm,dc=local
5: cn=vicky,ou=users, dc=alphorm,dc=local
dn.base="ou=users, dc=alphorm,dc=local" correspond a 2;
dn.one="ou=users, dc=alphorm,dc=local" correspond a 3 et 5;
dn.subtree="ou=users, dc=alphorm,dc=local " correspond a 2, 3, 4, et 5;
dn.children="ou=users, dc=alphorm,dc=local " correspond a 3, 4, and 5.

QUI
*
Tous le monde, inclus anonyme et
utilisateurs authentifie
anonymous Anonyme
users utilisateurs authentifie
self utilisateurs authentifie sur la cible
self utilisateurs authentifie sur la cible
dn[.<basic-style>]=<regex>
Utlisateurs correspondant a une
expression reguliere
dn.<scope-style>=<DN>
utilisateurs authentifie avec son « scope »
DN

QUOI
none =0 Pas access
auth =dx
Demande
d’authentification(bind)
search =scdx Recherche
read =rscdx Lecture
read =rscdx Lecture
write =wrscdx Ecriture
manage =mwrscdx Administratation

Quelques exemples
• olcAccess: to * by * read : Lecture pour tous le monde sur tout ls DIT
• olcAccess: to dn.children="dc=alphorm,dc=local " by * search
olcAccess: to dn.children="dc=local" by * read
• olcAccess: to attrs=userPawword by self write
• olcAccess: to dn.subtree="dc=alphorm,dc=local" by self write by
• olcAccess: to dn.subtree="dc=alphorm,dc=local" by self write by
dn.children="dc=alphorm,dc=local" search by anonymous auth

• Avec ldapvi :
olcAccess: {0}to attrs=userPassword by dn.base=cn=admin,dc... Self write
olcAccess: {1}to dn.children="dc=alphorm,dc=local" by * search
olcAccess: {2}to dn.children=« dc=alphorm,dc=loca" by * read
• En ldif :
changetype: modify
changetype: modify
delete: olcAccess
olcAccess: to dn.children="dc=alphorm,dc=local" by * search
-
add: olcAccess olcAccess: to dn.children="dc=alphorm,dc=local" by * write

• Les listes de controles d’accès
OU
QUI
QUOI

Réplication Openldap
Réplication Openldap
Ludovic Quenec'hdu

Plan
• La réplication sous OpenLDAP
Réplication maître esclave
Réplication multi-master
Mise en place
Test de la replication

Objectifs 390.1 Réplication avec OpenLDAP
• Les candidats doivent bien connaître les différentes stratégies de
réplication serveur disponibles avec OpenLDAP.
Concepts autour de la réplication.
Configuration de la réplication avec OpenLDAP.
Analyse des journaux de réplication.
Compréhension des concentrateurs de réplication (replica hub).
Referrals LDAP.
LDAP sync replication.

La réplication sous OpenLDAP
• La réplication d’annuaire consiste à synchroniser plusieurs
annuaires répartis sur le réseau.
• “slurpd”, était anciennement le démon de réplication sous
openldap depuis les versions 2.4.X. OpenLDAP utilisent l’overlay
(le module) “syncprov” pour la réplication
• Deux modes de réplication sont disponibles :
le mode maître esclave (dans le protocole le maître est nommé “provider” et
l’esclave “consumer”),
le mode multi-master.

• Deux modes de configuration maitre esclave pour la réplication :
le mode “refreshOnly” ou le consumer initie une connexion à intervalle
régulier avec le provider.
le mode “refreshAndPersist” ou le consumer initie une connexion avec le
maître pour la première synchronisation, puis conserve la connexion ouverte
Ce mode permet une synchronisation immédiate entre le provider et le
Ce mode permet une synchronisation immédiate entre le provider et le
consumer

Réplication multi-maître
• Cette méthode est indentique au mode réplication maitre esclave.
• En revanche il n y a pas de notion de maitre esclave
• Le consumer et également le provider et le provider et également le
consumer

Mise en place de la replication
• Tous d’abord nous devons disposer de deux annuaires ldap !
• Depuis la version 2.4 d’openldap la synchronisation est prise en charge
par un module (overlay) syncprov
• Mise en place
• Sur le provider
• Sur le provider
Déclaration du module dans syncpro dans la base
Configuration du module sur le provider
Création de l’utilisateur pour la réplication
• Sur le consumer
Declaration du mode de replicationRefreshOnly ou RefreshAndPersist

Mise en place de la replication Provider
• Sur le provider
Déclaration du module dans syncpro dans la base
dn: cn=module{0},cn=config
objectClass: olcModuleList
cn: module{0}
cn: module{0}
olcModuleLoad: {0}back_bdb
olcModuleLoad: {1}syncprov
olcModulePath:
/usr/lib64/openldap

Configuration du module sur le provider
dn: olcOverlay={0}syncprov,olcDatabase={2}bdb,cn=config
objectClass: olcOverlayConfig
objectClass: olcConfig
objectClass: top
objectClass: olcSyncProvConfig
objectClass: olcSyncProvConfig
olcOverlay: {0}syncprov
olcSpCheckpoint: 100 10
olcSpSessionlog: 100

• Création de l’utilisateur pour la réplication
dn: cn=replicator,dc=alphorm,dc=local
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: replicator
description: replicator
description: replicator
userPassword: {SSHA}bFi6lbr/fxb49jV3NkHxIMboF4NBK3NY

Mise en place de la replication Consumer
• Declaration du mode de replicationRefreshOnly
dn: olcDatabase={2}bdb,cn=config
add: olcSyncrepl
olcSyncrepl:{0}rid=123
provider=ldap://master.alphorm.local
type=refreshOnly
interval=00:00:00:10
searchbase="dc=alphorm,dc=local"
retry="5 5 300 +"
schemachecking=off
attrs="*,+"
bindmethod=simple
binddn="cn=replicator,dc=alphorm,dc=local"
credentials=traxdem

Mise en place de la replication Consumer
• Declaration du mode de replicationRefreshOnly ou RefreshAndPersist
add: olcSyncrepl
olcSyncrepl:{0}rid=123
provider=ldap://master.alphorm.local
type=refreshAndPersist
searchbase="dc=alphorm,dc=local"
retry="5 5 300 +"
schemachecking=off
attrs="*,+"
bindmethod=simple
binddn="cn=replicator,dc=alphorm,dc=local"
credentials=traxdem

Niveau de log slapd
• Modification du niveau de log a chaud en ldif
dn: cn=config
changetype: modify
replace: olcLogLevel
olcLogLevel: sync

• Creation d’utlisateurs sur le provider
• Verification sur le consumer
• Voila ☺

• La réplication sous OpenLDAP
Réplication multi-master
Mise en place

Paramétrage des performances
Paramétrage des performances
Site : http://www.alphorm.local
Blog : http://www.alphorm.local/blog
Forum : http://www.alphorm.local/forum
Ludovic Quenec'hdu

Plan
•Les index

• Les candidats doivent être en mesure d'évaluer les
performances d'un serveur LDAP et de le paramétrer.
Compréhension des index.
390.3 Paramétrage des performances
Mesure des performances du serveur OpenLDAP.
Règlage de la configuration du serveur pour améliorer les
performances.

Les index
• A chaque requete Openldap, ouvre la base de données et scan toutes
les entrées de l’annuaire.
• Indexer des attributs permet donc d’ameliorer les requetes de
recherches
• Plusieurs options pour indexer les attributs :
pres : presence. Type de recherche attribut=*
eq : equality. Type de recherche cn=ludo
sub : substring. Type de recherche avec un jocker : uid=lud*
approx : approximation. recherche de type uid~=Lu

Quelles attributs indexer
• Dans les logs
#tail -f /var/log/slapd.log |grep indexed
<= bdb_equality_candidates: (objectClass) not indexed
<= bdb_substring_candidates: (uid) not indexed
• Ou sont les attributs indexés :
• Ou sont les attributs indexés :
Dans olcDatabase={1}bdb
Accessible par : ldapsearch, ldapvi ou un grep olcDbIndex dans le
olcDatabase={1}bdb.ldif

Ajouter et modifications des index
• Avec OnLineConfiguration dans l’entré :
olcDatabase={1}dbd,cn=config
add: olcDbIndex
olcDbIndex: uid eq
olcDbIndex: cn eq,sub
olcDbIndex: cn eq,sub
changetype: modify
delete: olcDbIndex
olcDbIndex: uid eq
-
add: olcDbIndex
olcDbIndex: uid eq,pres,sub

Indexer les attributs
• A chaque modifications ou régulierement, on doit recalculer les index
#service slpad stop
#slapindex –b ‘dc=alphorm,dc=local’
#service slapd start

•Les index

OpenLDAP en tant que base d'authentification
Intégration de LDAP avec PAM
Intégration de LDAP avec PAM
et NSS
Ludovic Quenec'hdu

Plan
• PAM, NSS et NSLCD
• Installation
• Configuration des services pour ldap sur Ubuntu/Debian
• Configuration des services pour ldap sur CentOs/Redhat
• Testons tout cela ☺
• Testons tout cela ☺

Objectifs 391.1 : Intégration de LDAP avec PAM et NSS et SSSD
• Les candidats doivent être en mesure de configurer PAM et NSS pour qu'ils
récupèrent les informations à partir d'un annuaire LDAP
Configuration de PAM pour une authentification LDAP.
Configuration de NSS pour récupérer les informations à partir de LDAP.
Configuration des modules PAM dans les différents environnements Unix.

PAM, NSS et NSLCD
• Le mécanisme NSS Name Service Switch assure l’aiguillage de l'accès à ces
attributs entre les fichiers locaux et les différents services réseau.
• PAM est un mécanisme qui permet d'intégrer différents modes
d'authentification en les rendant transparents vis à vis de l'utilisateur et des
logiciels qui accèdent aux ressources du système.
• PAM sépare les tâches d'authentification en quatre groupes de gestion
indépendants :
• PAM sépare les tâches d'authentification en quatre groupes de gestion
indépendants :
account : fournit une vérification des types de service du compte utilisateur : utilisateur a-t-il le
droit d'accéder au service demandé ? le mot de passe de l'utilisateur a expiré
authentication : établit la correspondance entre l'utilisateur et celui pour lequel il prétend être, vous
devrez entrer votre mot de passe (carte a puce, USB...)
Password : est de mettre à jour les mécanismes d'authentification
session :ce qui doit être fait en priorité pour un service donné, journalisation, montage du
répertoire personnel

Nslcd et SSSD
• Le service NSLCD Name Service Ldap Configuration Deamon est un
service pour la communication entre ldap et NSS, permet également le
positionnement de filtre (interdiction de uid, gid)
• Depuis les versions 6 de Redhat, Centos. Le nss et pam-ldap est
remplacé par SSSD System Security Services Daemon

Installation
• Sur une nouvelle machine cliente Debian ou Centos
• Les paquets libnss-ldap libpam-ldap ou libnss-ldapd sous Debian….
La procédure d’installation inclus la configuration des services
• Les paquets nss-pam-ldapd sous Centos

Configuration des services pour ldap sur Ubuntu/Debian
• Deux modes de configuration
1. Avec les outils auth-client-config et ldap-auth-config
• Avec la commande dpkg-reconfigure libnss-ldap libpam-ldap
2. Au travers de fichiers de configuration
• Ajouter de ldap dans /etc/nsswitch.conf
- passwd: compat ldap, group: compat ldap, shadow: compat ldap
• Ajouter la librairie pam_ldap dans /etc/pam.d/
- common-account, common-password, common-session

Les paquets nss-pam-ldapd pam_ldap sous Centos
• Comme pour Debian/Ubuntu deux modes de configuration
• Avec l’ outil authconfig-...
• Avec les fichiers de configurations a modifier
- /etc/openldap/ldap.conf
- /etc/nslcd.conf
- /etc/nsswitch.conf
- /etc/pam_ldap.conf
- /etc/pam.d/{system-auth-ac}

Testons tout cela ☺
• La commande getent permet de récupérer les utilisateurs et groupes a
partir des bases de données précisé dans nss

• PAM, NSS et NSLCD
• Installation
• Configuration des services pour ldap sur Ubuntu/Debian
• Configuration des services pour ldap sur CentOs/Redhat
• On a testé
• On a testé

OpenLDAP en tant que base
d'authentification
Intégration OpenLDAP kerberos
Intégration OpenLDAP kerberos
Ludovic Quenec'hdu

Plan
• Comprendre le SSO
• Comprendre Kerberos
• Mise en œuvre de kerberos et Openldap
• Comprendre Active Directory
• Intégration Openldap et Active Directory via SASL

Objectifs 391.2 Intégration de LDAP avec Active Directory et Kerberos
• Les candidats doivent être en mesure d'intégrer LDAP avec les services Active
Directory.
Intégration de Kerberos avec LDAP.
Authentification multi-plateformes.
Concepts de l'authentification unique (Single Sign-On).
Intégration et limites de compatibilité entre OpenLDAP et Active Directory.

Comprendre le SSO
• Lorsque les utilisateurs accède a des services de type différents, comme par
exemple la messagerie, l’ouverture de session MS Windows, des applications de
Base de données, des outils de gestion informatique, ..
• Ils doivent fournir des identifiants de différents types.
• Le SSO Single Sign On permet aux administrateurs de centralisés les
informations d’authentification afin d’accéder a différents services.
informations d’authentification afin d’accéder a différents services.
• Les utilisateurs ne se « logue » plus qu’une fois et accedent aux differents
services
• Simplicité pour l’utilisateur, Simplicité pour les administrateurs pour gerer les
authentification et les mise en place de regle d’accès aux services.
• Le service est centralisé, faiblesse de sécurité, accès a un service donne accès a
tout les services.

Comprendre Kerberos
• Le SSO avec Kerberos
• Protocole développé au MIT dans le cadre du projet Athena au début
des années 1980
• Permet l’authentification forte a des services dit “kerbérisé”
• Standarisé par 2 RFC : RFC 1510 et RFC 1964
• Standarisé par 2 RFC : RFC 1510 et RFC 1964
• Kerberos est aujourd’hui en version 5.
• A la base de l’authentification MS Windows 200X
• Kerberos permet l’authentification des utilisateurs et gère ensuite
l’accès aux différents services.

Royaume Kerberos
• L’architecture Kerberos est constituée de serveurs Kerberos,
d’utilisateurs, de postes de travail et de serveurs hébergeant des
services, le tout rassemblés dans un ROYAUME kerberos (REALM)
Les “principals”
Les “principals”
Le KDC – Key Distribution Center – Centre de
Distributions des Clés

Architecture Kerberos
Les principals : Un utilisateur, un client, un serveur
• nom/instance@KRB-REALM
• ldap/master.alphorm.com@ALPHORM.COM
• ludo/admin@ALPHORM.COM
• host/client.alphorm.com@ALPHORM.COM
• host/client.alphorm.com@ALPHORM.COM
Chaque principal dispose de clés secretes
• Mot de passe pour les utilisateurs
• Fichier keytab pour les serveurs et hôtes

Architecture Kerberos
• Le service Kerberos est constitué de plusieurs entités regroupé dans un
KDC – Key Distribution Center
Un serveur d’authentification AS
• Contient une base de données avec les utilisateurs, les services et leur
clés associés
Module kadmin d’administration, utilisateurs, services, hôtes, ACL,
• Module kadmin d’administration, utilisateurs, services, hôtes, ACL,
methode de chiffrement, ...
Un service de délivrement de Ticket TGS
• fournit l’accès au services “kerbérisé”

Principes de fonctionnement
• Afin d’acceder aux services “Kerbérises” un utilisateur obtient un ticket
d’accès aupres du KDC (TGT –Ticket Granting Ticket)
Commande kinit ludo/admin@ALPHORM.LOCAL
• Avec le TGT le client envoie une demande de ticket auprès du TGS
Klist pour visualiser les tickets
Klist pour visualiser les tickets
le client inclue l’indentifiant du service demandé et le TGT obtenue du KDC
• Le TGS vérifie la validité du TGT et envoie alors les informations
d’accès au service
• Le TGT permet donc à l’utilisateur authentifié de récupérer des tickets
d’accès aux services auprès du TGS

Principe de fonctionnement
1
2 TGT
3
Demande de
ST
4 ST
Service Autorité Ticket
Grant Service
Connexion
5
Demande d ’accès
au service
6
Validation
Service
SSH/SGBD/
LDAP/PRINTER/...

Principes de fonctionnement
• Repose sur la notion de ticket
• S’appuie sur des clés secrètes symétrique, toutes les
informations, ticket sont chiffrés, pas de mots de passe sur
le réseaux
• Mécanisme anti-rejeux, validité des tickets
• Mécanisme anti-rejeux, validité des tickets
• Authentification mutuelle

Notionde ticket
• Un ticket est constitué en deux partie :
chiffrée
claire.
• Les tickets servent à authentifier les requêtes des principaux
(client/serveur/service)
(client/serveur/service)
• Deux type de Tickets :
Ticket Granting Ticket (TGT)
Service Ticket (ST)

Les services Kerbérisés
• Certains services sont kerbérisés :
Kssh, krlogon, Active Directory
• Certains services ne sont pas kerbérisés”, il faut donc utliser des
librairies (couches) qui vont permettre de convertir l’authentification
• SASL fournit des mecanisme d’authentification a des services (LDAP) :
• SASL fournit des mecanisme d’authentification a des services (LDAP) :
DISGEST-MD5, GSSAPI, KERBEROS
• SASL via GSSAPI permet a OpenLdap de se “kerbériser”

Mise en œuvre de kerberos et Openldap
Kerberos
Service
LDAP
AS/TGS
Client Linux/ServeurSSH
Nslcd-pam
LDAP
Compte utilsateur/compte
kerberos

• Afin d’utiliser Kerberos avec un serveur Openldap, plusieurs étapes
• Installer ntp sur les differents postes
• Installer kerberos server ldap
• Vérification du schémas ldap pour kerberos
• Créer un conteneur ou=services pour les principaux Kerberos
• Configurer le serveur Kerberos
/etc/krb5.conf
/var/kerberos/krb5kdc/kadm5.acl
/var/kerberos/krb5kdc/kdc.conf

• Créer les entrées kerberos dans le serveur Opendap
kdb5_ldap_util -D "cn=admin,dc=alphorm,dc=local" create -subtrees
"ou=kerberos,ou=services,dc=alphorm,dc=local" -r ALPHORM.LOCAL –s
• Création du répertoires de stockage des password et extraire le
password de l’admin kerberos
• kdb5_ldap_util -D "cn=admin,dc=alphorm,dc=local" stashsrvpw -f
/etc/krb5.d/stash.keyfile
cn=krbadmin,ou=services,dc=alphorm,dc=local
• Positionnons des ACLs LDAP pour l’utilisateur krbadmin
ldapmodify -H ldapi:/// -f ~/ldap/kerberos.krbadmin.acl.ldif

• Testons le acl
ldapsearch -xZLLLWD cn=krbadmin,ou=users,dc=alphorm,dc=local -b
ou=kerberos,ou=services,dc=alphorm,dc=local dn
• On démarre les services kerberos
Service krb5kdc start
Service krb5kdc start
Servce kadmin start
netstat -alnt | egrep ':88|:464|:749'

• Création des principaux et gestion des clés
Kadmin.local
Addprinc –rankey host/master.alphorm.local@ALPHORM.LOCAL
ktadd host/master.alphorm.local@ALPHORM.LOCAL
Addprinc lquenec@ALPHORM.LOCAL
Addprinc lquenec@ALPHORM.LOCAL
Addprinc lquenec/admin@ALPHORM.LOCAL
List_principals | getprincs
Getrpincs host/master.alphorm.local@ALPHORM.LOCAL
klist -ek /etc/krb5.keytab

• Testons kerberos avec un client et serveur !
Installation et configuration du client krb5-workstation
• yum -y install krb5-workstation pam_krb5
• vi /etc/krb5.conf
Création du principal pour le serveur SSH
Création du principal pour le serveur SSH
• Kadmin –p lquenec/admin@ALPHORM.LOCAL
• Addprinc –randkey host/sshd.alphorm.local@ALPHORM.LOCAL
• Ktadd host/sshd.alphorm.local@ALPHORM.LOCAL

• Configuration de sshd pour Kerberos
• Vi /etc/ssh/shhd_config
• On creer un principal pour un utilsateur
kadmin -p lquenec/admin@ALPHORM.LOCAL
kadmin: addprinc test.user@ALPHORM.LOCAL
Kdestroy
Kinit –p test.user@ALPHORM.LOCAL
Klist
ssh test.user@ssh.alphorm.local

• Configuration SASL GSSApI OpenLDAP
• Ajout d’un principal pour le serveur ldap
Kadmin lquenec/admin
Addprinc –rankey ldap/master.alphorm.local@ALPHORM.LOCAL
Ktadd –k /etc/openldap/krb5.keytab ldap/master.alphorm.local@ALPHORM.LOCAL
Ktadd –k /etc/openldap/krb5.keytab ldap/master.alphorm.local@ALPHORM.LOCAL
• Permissions sur la clé
Kadmin lquenec/admin
• Installation de Cyrus-sasl-gssapai
yum -y install cyrus-sasl-gssapi
ldapsearch -LLLY EXTERNAL -H ldapi:/// -b cn=config -s base | grep -i sasl

• Configuration de sasl dans OpenLDAP
vi ~/ldap/sasl.ldif
ldapsearch -LLLY EXTERNAL -H ldapi:/// -b cn=config -s base | grep -i sasl
vi /etc/sysconfig/ldap
/etc/init.d/nslcd stop
/etc/init.d/nslcd stop
/etc/init.d/slapd restart
/etc/init.d/nslcd start
vi /etc/openldap/ldap.conf
Klist , kinit –p lquenec@ALHPRM.LOCAL
ldapwhoami

• Objectifs 391.2 Intégration de LDAP avec Active Directory et Kerberos
• Comprendre le SSO
• Comprendre Kerberos
• Mise en œuvre de kerberos et Openldap

OpenLDAP en tant que base
d'authentification
Intégration OpenLDAP Active
Intégration OpenLDAP Active
Directory
Ludovic Quenec'hdu

Plan
• Introduction
• Client LDAP et Microsoft Active Directory
• SASL avec Microsoft Active Directory

Introduction
Microsoft AD
DC=ad-alphorm,DC=local
Bind ldap
Cn=toto,ou=users,dc=alphorm,dc=local
1
OpenLDAP
SASL
dc=alphorm,dc=local
2
Cn=toto userPassword: {SASL}toto@ad-alphorm.local
3
4
5

OpenLDAP et Active Directory
Simple ldapsearch pour vérifier
Configuration SASL pour lier l’AD
Configuration SASL pour lier l’AD
Configuration d’Openldap pour récupérer les mots de passe
utilisateurs.

• Introduction

Architecture et concepts
Fondamentaux sur Samba
Architecture et concepts
de Samba
Ludovic Quenec'hdu

Plan
• Les objectifs 392.1 : Architecture et concepts de Samba
• Le rôle des services et des composants de Samba
• Les ports TCP et UDP clés utilisés par SMB/CIFS, NetBios, ADS
• Samba 3 vs Samba 4

Les objectifs 392.1 : Architecture et concepts de Samba
• Etre en mesure de comprendre les concepts essentiels de Samba. De plus, les
candidats doivent connaître les différences principales entre Samba3 et Samba4
Compréhension du rôle des services et des composants de Samba.
Compréhension des problèmes clés liés aux réseaux hétérogènes.
Compréhension des problèmes clés liés aux réseaux hétérogènes.
Connaissance des ports TCP et UDP clés utilisés par SMB/CIFS.
Connaissance des différences entre Samba3 et Samba4.

Le rôle des services et des composants de Samba
• Samba est une suite de logicielle développée depuis 1991 par un étudiant
Australien Andrew Tridgell qui avait besoin de monter des partages SMB sur sa
machine Unix.
• Samba permet donc la communication entre les réseaux Microsoft LanManager
(Windows NT) et les domaines Active Directory.
Il peut être Contrôleur de domaine, Contrôleur de domaine secondaire, membre d’un
domaine, serveur membre, serveur autonome…
domaine, serveur membre, serveur autonome…
Permettre le partage d’arborescences de répertoires et d’imprimantes à la disposition
de clients Linux, UNIX et Windows.
Fournir la résolution du serveur de noms Windows Internet Name Service (WINS)
Aider lors de la navigation du voisinage réseau (avec ou sans NetBIOS)
•

• Samba mets en œuvre plusieurs services et protocoles :
NetBios sur TCP/IP, SMB/CFIS, les RPC
• NetBIOS over TCP/IP utilise les ports :
135 Service de localisation utilisé par les appels de procédure à distance. RPC
137 netbios-ns - NETBIOS Name Service
137 netbios-ns - NETBIOS Name Service
138 netbios-dgm - NETBIOS Datagram Service
139 netbios-ssn - Directory

• Samba est composé de trois démons smbd, nmbd, winbind et deux services
smb et winbind :
• SMBD :
Il fournit des services de partage de fichiers et d'impression aux clients Windows. Il est
responsable de l'authentification des utilisateurs, du verrouillage des ressources et du
partage des données par le biais du protocole SMB/CIFS. Prend en charge également
le protocole SMB 3
le protocole SMB 3
Le service écoute sur les ports :
TCP 139 : TCP NetBIOS Session (TCP), Windows File and Printer Sharing
TCP 445 : Microsoft-DS Active Directory, Windows shares

• NMBD :
Le démon serveur nmbd comprend et répond à toutes les requêtes de service de nom
NetBIOS telles que celles produites par SMB/CIFS dans des systèmes basés sur
Windows. Parmi ces derniers figurent les clients Windows 95/98/ME, Windows NT,
Windows 2000, Windows XP et LanManager.
Ce démon joue également un rôle au niveau des protocoles de navigation qui
constituent l'affichage du voisinage réseau (Network Neighborhood) de Windows
constituent l'affichage du voisinage réseau (Network Neighborhood) de Windows
Le port par défaut sur lequel le serveur attend du trafic NMB est le port UDP 137 :
NetBIOS name service

Linux LPIC-3 ( PDFDrive ).pdf

Recommandé

Recommandé

Contenu connexe

Similaire à Linux LPIC-3 ( PDFDrive ).pdf

Similaire à Linux LPIC-3 ( PDFDrive ).pdf (20)

Plus de ThinL389917

Plus de ThinL389917 (7)

Linux LPIC-3 ( PDFDrive ).pdf