SlideShare une entreprise Scribd logo
Linux LPIC-3 (examen 300) :
Présentation de la formation.
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Linux LPIC-3 (examen 300) :
Environnement Mixte
Site : http://www.alphorm.com
Blog : http://www.alphorm.com/blog
Forum : http://www.alphorm.com/forum
Ludovic Quenec'hdu
Formateur et Consultant indépendant
OpenSource et virtualisation
Plan
• Présentation du formateur
• Qu’est-ce que la LPIC?
• La certification LPIC 3
• Le plan de formation
• Publics concernés
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• Publics concernés
• Connaissances requises
• Présentation du Lab
• Liens des ressources logicielles
A propos du formateur
• Ludovic Quenec’ hdu
• lquenec@gmail.com
Mon profil LinkedIn : https://www.linkedin.com/pub/ludovic-quenec-hdu
Mon profil Alphorm : http://www.alphorm.com/auteur/Ludovic-QUENECHDU
• Formateur et consultant indépendant Logiciel libre depuis plus de
15 ans,
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
15 ans,
• Consultant en virtualisation
• Consultant expert en logiciels Libre
• administrateur, chef de projet, architecte et consultant
• Je dispense des formations sur les logiciels libres depuis plus de 15
ans.
A propos de la LPIC-3
• La certification Linux senior (LPIC-3) est le point culminant du programme des
certifications du LPI.
• Elle valide les compétences nécessaires pour la gestion à un niveau "structure ou
entreprise".
• développé à partir de contributions de centaines de professionnels du monde entier ainsi
que celles d’entreprises parmi les plus importantes du secteur des technologies.
• certification indépendante de la distribution Linux de plus haut niveau dans le monde de
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• certification indépendante de la distribution Linux de plus haut niveau dans le monde de
l’entreprise.
300 Mixed Environment (remplace les 301 et 302 depuis octobre 2013)
303 Sécurité
304 Virtualisation et Haute disponibilité
La certification LPIC
LPIC 301 + 302
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
LPIC 301 + 302
Intégration des services réseaux hétérogène
Samba 3 et Samb 4
Adminstriation Openldap
Objectifs de l’examen 300 de la LPIC-3
• Afin de réussir l’examen LPIC 3, vous devez disposer de :
Plusieurs années d’expérience sur l’installation et l’administration de
système Linux dans differents environnements .
Connaître les niveaux de l'administration Linux, y compris l'installation, la
gestion, la sécurité, le dépannage et la maintenance
être capable d'utiliser des outils open-source afin de mesurer la
planification des capacités et des ressources pour résoudre les problèmes
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
être capable d'utiliser des outils open-source afin de mesurer la
planification des capacités et des ressources pour résoudre les problèmes
Avoir une expérience professionnelle sur les outils LDAP avec les services
Unix et les services Windows, y compris Samba, PAM, NSS, Active
Directory.
être en mesure de planifier, architecturer, designer et mettre en œuvre un
environnement complet en utilisant Samba3, samba4, LDAP et Kerberos.
Le plan de formation
Concepts et architecture
Les annuaires et Openldap
Le protocole LDAP
Le modèle de nommage
Le modèle de données
Le modèle fonctionnel
Le modèle de sécurité
Le modèle de duplication
LDIF, un format d'échange de données
Installation et configuration d'OpenLdap
OpenLDAP en tant que base d'authentification
Intégration de LDAP avec PAM et NSS
Intégration de LDAP avec Active Directory et
Kerberos
Fondamentaux sur Samba
Architecture et concepts de Samba
Configuration de Samba
Maintenance courante de Samba
Résolution de problèmes avec Samba
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Installation et configuration d'OpenLdap
Installation et configuration d'OpenLdap
Gestion des utlisateurs et groupes
Configuration avance d'OpenLDAP
SSL/TLS
Iptables
SASL
(ACL) dans LDAP
Réplication avec OpenLDAP
performances du serveur OpenLDAP
Configuration des partages Samba
Partages de fichiers
Permissions sur le système de fichiers Linux et les
partages
Services d'impression
Gestion des utilisateurs et des groupes Samba
Gestion des comptes utilisateurs et des groupes
Authentification, autorisation et Winbind
Le plan de formation
Samba et domaines Windows
Samba en tant que contrôleur de domaine
principal (PDC) Samba3 TDBSAM
Samba en tant que contrôleur de domaine
principal (PDC) Samba3 avec LDAP
Samba en tant que contrôleur de domaine
secondaire (BDC) SAMBA3 TDBSAM et LDAP
Contrôleur de domaine compatible AD avec
Samba4
Configuration de Samba en tant que serveur
membre et DC du domaine
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
membre et DC du domaine
gestions des clients MS windows
Service de nom Samba
NetBIOS et WINS
Résolution de nom Active Directory
Travail avec les clients Linux et Windows
Intégration CIFS
Conclusion
Le mot de la fin
A Propos de la formation
• Public concerné
Ingénieur, administrateur et technicien voulant installer, configurer,
administrer et dépanner un environnement OpenLDAP/Samba et AD
• Connaissances préalables au cours
Avoir réussi ou suivi les formations LPIC-1, LPIC-2
Disposer d’une bonne expérience (entreprise) dans des environnements
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Disposer d’une bonne expérience (entreprise) dans des environnements
hétérogènes MS windows, Linux. Gestion d’une administraton système
De bonnes connaissances sur les réseaux TCP/IP
De bonnes connaissances dans la gestion des utilisateurs.
Présentation du Lab
• Cette formation ne demande pas des ressources CPU/RAM extravagantes,
comme peut être une formation sur la Virtualisation par exemple.
• Néanmoins au cours de cette formation nous allons déployer plusieurs serveurs
Linux et au moins un serveur Windows 200X et un client Windows 7/8.
• Ce qui veux dire que nous aurons 4 machines virtuelles qui tournent
• Il faut donc disposer de ressources suffisantes :
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• Il faut donc disposer de ressources suffisantes :
Un PC Core i5/7 pour la virtualisation et au moins 8Go de RAM pour déployer un
serveur et client MS Windows.
J’ utiliserai VirtualBox pour la virtualisation des serveurs.
Liens des ressources logicielles
• Le Wiki LPI :
http://wiki.lpi.org/wiki/LPIC-3
• Samba Experience
http://sambaxp.org/sambaxp-home.html
Wiki Samba 3 et 4
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• Wiki Samba 3 et 4
https://wiki.samba.org/index.php/Main_Page
https://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/
• Documentation Active Directory
https://technet.microsoft.com/fr-fr/windowsserver/dd448614
Are you ready ? ☺
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Concepts et architecture
Les annuaires et
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Site : http://www.alphorm.com
Blog : http://www.alphorm.com/blog
Forum : http://www.alphorm.com/forum
Les annuaires et
Openldap
Ludovic Quenec'hdu
Formateur et Consultant indépendant
OpenSource et virtualisation
Plan
• Les annuaires
• Les annuaires électroniques
• Historique d’Openldap
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Les annuaires
• Le petit Larousse nous dit :
ANNUAIRE n.m. (du lat. annuus, annuel). Ouvrage publié chaque année,
donnant la liste des membres d'une profession, des abonnés à un service, etc.
: Annuaire du téléphone, Botin.
• L'exemple classique d'un répertoire est l’annuaire téléphonique, où les gens sont classés
par ordre alphabétique et en regard leurs numéros de téléphone et adresses.
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• Chaque personne (ou famille) représente alors un objet, le numéro de téléphone et
l’adresse sont les attributs de cet objet.
• Certains objets peuvent être aussi des entreprises, et leurs attributs peuvent alors inclure
les numéros de fax ou les heures d'ouverture et diverses informations (Logo, adresse de
messagerie,…).
Famille de Ludo 11 rue du paradis Tel : 0033 6 78 45 24 67
Entreprise a Ludo 11 rue du paradis Tel : 0033 6 78 45 24 67 Fax : 784930202
Les annuaires électroniques
• Contrairement à son homologue imprimé, un annuaire électronique a une nature
hiérarchique.
• Ce qui permet aux objets d'être placés sous d'autres objets pour indiquer une relation
parent-enfant.
• Par exemple, le répertoire téléphonique pourrait être étendu et avoir des objets
représentant des zones de la ville, chacune avec des objets personnes et entreprises se
trouvant sous les objets de zone.
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
trouvant sous les objets de zone.
• Les objets arrondissement se trouverait alors sous un objet ville, et qui pourrait encore se
trouver sous un objet état ou province, et ainsi de suite.
• Une copie imprimée serait beaucoup plus difficile à utiliser car vous auriez besoin de
connaître le nom et localisation géographique, alors qu’il serait peut être plus simple de
rechercher par type d’entreprise. Je cherche un plombier
• En revanche, les ordinateurs sont capables de trier et rechercher des informations dans
des fichiers, répertoires et bases de données, cela permet donc une structure plus évoluée.
Les annuaires électroniques
France
Ile de France Provence
Paris Marseille
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Paris Marseille
11e arrondissement 8e arrondissements
Famille de Ludo
Adresse : 7 rue du paradis
Tel : 0033 6 78 45 24 67
Les annuaires électroniques
• L'utilisation d'annuaire ne se limite pas à la recherche de personnes ou
de ressources. Un annuaire permet de :
constituer un carnet d'adresse
authentifier des utilisateurs
définir les droits de chaque utilisateur
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
définir les droits de chaque utilisateur
recenser des informations sur un parc matériel (ordinateurs, serveurs, leurs
adresses IP et adresses MAC, ...)
contenir les informations configuration des services DHCP, DNS, …
décrire les applications disponibles
Les annuaires électroniques
• ils sont dynamiques : la mise à jour d'un annuaire électronique est beaucoup
plus simple à réaliser que celle d'un annuaire papier. Ainsi un annuaire en ligne
sera à jour beaucoup plus rapidement, d'autant plus que les personnes
recensées dans l'annuaire peuvent elles-mêmes modifier les informations les
concernant.
• ils sont sûrs : les annuaires en ligne disposent de mécanismes d'authentification
des utilisateurs grâce à un mot de passe et un nom d'utilisateur ainsi que des
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
des utilisateurs grâce à un mot de passe et un nom d'utilisateur ainsi que des
règles d'accès permettant de définir les branches de l'annuaire auxquelles
l'utilisateur peut accéder
• ils sont souples : ils permettent ainsi de classer l'information selon des critères
multiples contrairement aux annuaires papiers, imprimés une fois pour toute
pour permettre de rechercher selon un critère figé (en général l'ordre
alphabétique selon le nom)
Les annuaires électroniques
• On trouve beaucoup d’implémentations d’annuaires électronique. Tous
ces serveurs implémentent le protocole LDAP:
Apache Directory Server,
Open Directory d'Apple,
Critical Path Directory Server et Meta Directory Server
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
389 Directory Server, OpenLDAP, Mandriva Directory Server offre une interface
web pour administrer Samba et LDAP
Oracle Directory Server Enterprise Edition, Oracle Internet Directory,
IBM SecureWay Directory, IBM Directory Server, IBM Lotus Domino, IBM Tivoli
Directory Server
Microsoft Active Directory
Historique d’Openldap
• Le projet a débuté en 1998 sous l'impulsion de Kurt Zeilenga en prenant pour
base les travaux de l'Université du Michigan où des chercheurs développaient
le protocole LDAP. Parmi les autres contributeurs, il y a Howard Chu et
Pierangelo Masarati.
OpenLDAP Version 1 (1998) : première version publique
OpenLDAP Version 2 (août 2000) : prise en charge de LDAPv3, d'IPv6, du TLS, …
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
OpenLDAP Version 2.1 (juin 2002) :
OpenLDAP Version 2.2 (décembre 2003) :
OpenLDAP Version 2.3 (juin 2005) : possibilité d'avoir la configuration accessible dans
l'annuaire (cn=config)
OpenLDAP Version 2.4 (octobre 2007) : réplication miroir et multi-maîtres; réplication
Proxy Sync; extensions LDAP v3.
OpenLDAP fournit
• Un protocole de communication.
• Un modèle de données
• Un modèle de nommage
• Un modèle fonctionnel
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• un modèle de sécurité
• Un format d'échange de données, le format LDIF.
• Un modèle de réplication
Ce qu’on a couvert
• Les annuaires
• Les annuaires électroniques
• Historique d’Openldap
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Le protocole LDAP
Concepts et architecture
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Le protocole LDAP
Lightweight Directory acces Protocol
Site : http://www.alphorm.com
Blog : http://www.alphorm.com/blog
Forum : http://www.alphorm.com/forum
Ludovic Quenec'hdu
Formateur et Consultant indépendant
OpenSource et virtualisation
Plan
• Lightweight Directory Access Protocol
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Lightweight Directory Access Protocol
• Un protocole d'accès aux données dans un annuaire. Il définit comment ajouter,
modifier, supprimer, rechercher des données dans une base de données, quels
protocoles de chiffrement utilisés (kerberos, ssl...), et quels mécanismes
d'authentification sont utilisés.
• Ce protocole est utilisé dans la relation client/serveur, mais également entre
serveurs (serveur/serveur). Les BDs LDAP peuvent être dupliquer et repartie
LDAP Lightweight Directory Access Protocol, issu de X.500 Directory Access
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• LDAP Lightweight Directory Access Protocol, issu de X.500 Directory Access
Protocol (DAP)
• Le protocole fut créé par Tim Howes de l'Université du Michigan, Steve Kille du
ISODE et Wengyik Yeong de Performance Systems International en 1993
Lightweight Directory Access Protocol
• Initialement LDAP était un protocole d'accès à un annuaire X.500 avant que
l'université du Michigan n'en fasse un annuaire Standalone
• L'annuaire LDAP est une base de donnée organisée hiérarchiquement qui
recense des données sur des objets qui peuvent être des personnes, des
serveurs, des imprimantes, …
• Il existe deux versions de LDAP : LDAPv2 et LDAPv3
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• Il existe deux versions de LDAP : LDAPv2 et LDAPv3
• LDAP v3 devient un standard pour l'Internet (RFC 2251)
• LDAP V3 permet d’etendre les fonctionnalitées
Lightweight Directory Access Protocol
• Les messages LDAP sont codés sous une forme BER (Basic Encoding
Rule)
Se connecter, se déconnecter, rechercher des informations, comparer,
modifier, supprimer, …
• Les requêtes ont un identifiant de requête nommé numéro de
séquence, qui permet au client de connaître sa réponse en cas de
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
séquence, qui permet au client de connaître sa réponse en cas de
multiples réponses.
Lightweight Directory Access Protocol
• Usage d'un service d'annuaire LDAP
un service d'annuaire
un service d'authentification
pour la messagerie, carnet d’adresses
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
pour les applications internet/intranet, certificats, configuration des
applis…
Ce qu’on a couvert
• Lightweight Directory Access Protocol
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Le modèle de nommage
Concepts et architecture
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Le modèle de nommage
Site : http://www.alphorm.com
Blog : http://www.alphorm.com/blog
Forum : http://www.alphorm.com/forum
Ludovic Quenec'hdu
Formateur et Consultant indépendant
OpenSource et virtualisation
Plan
• Le modèle de nommage
• Le Directory Information Tree DIT
• Structure de l'annuaire
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Le modèle de nommage
• Le modèle de nommage définit l'organisation des données et la façon d'y
accéder.
• Il spécifie une structure arborescente appelée le Directory Information Tree (DIT)
dans laquelle on trouve des entrées.
• L'arbre est composé d'entrées simples et d'alias.
• Depuis LDAP v3, Les entrées d'un annuaire peuvent être réparties entre plusieurs
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• Depuis LDAP v3, Les entrées d'un annuaire peuvent être réparties entre plusieurs
serveurs (referall ) et peuvent etre designés de deux facons, les DN et le RDN.
Le modèle de nommage
• Il y a plusieurs approches afin d’organiser le nommage des entrées :
Par pays : C=FR, C=UK
Par organisation : O=ALPHORM
Par nom de domaine : ALPHORM.COM DC=ALPHORM,DC=COM
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Le Directory Tree, structure de l’arbre
• On peut trouver pour une grande organisation :
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Structure de l'annuaire, Exemples d'arbres
• Dans ce cadre, le modèle LDAP peut être plat :
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Structure de l'annuaire, Exemples d'arbres
• Découpage pour refléter l'organisation interne :
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Structure de l'annuaire, Exemples d'arbres
• Découpage par type d'objet :
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Structure de l'annuaire
• Au sommet de l’arbre se trouve la racine ou suffixe appelé Directory Infomation Tree (DIT)
• Chaque entrée a un identifiant unique, le Distinguished Name (DN).
• Il est constitué à partir de son Relative Distinguished Name (RDN) suivi du DN de son
parent. C'est une définition récursive.
• On peut faire l'analogie avec une autre structure arborescente, les systèmes de fichiers ; le
DN étant le chemin absolu et le RDN le chemin relatif à un répertoire. En règle générale le
RDN d'une entrée représentant une personne est l'attribut cn (common name) :
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
DN étant le chemin absolu et le RDN le chemin relatif à un répertoire. En règle générale le
RDN d'une entrée représentant une personne est l'attribut cn (common name) :
dc=com
dc=alphorm
ou=people ou=groupe
cn=ludo
• Le RDN est rdn:cn=ludo, son DN est dn: cn=ludo, ou=people, dc=alphorm,dc=com
Structure de l'annuaire
• Au sommet de l’arbre on trouve donc des attributs de différents types qui constituent
donc le DIT.
• dc est l’abréviation de domain component (composante du domaine).
• Dans notre exemple com est le top-level du domaine et alphorm est un sous domaine de
com.
• Ils sont alors séparés dans deux entités différentes et sont donc séparés par des virgules
dans la norme X500
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• Ils sont alors séparés dans deux entités différentes et sont donc séparés par des virgules
dans la norme X500
dc=alphorm, dc=com
Structure de l'annuaire
• On trouvera donc un espace de nom de type :
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• On trouve également ObjectClasss
Ce qu’on a couvert
• Le modèle de nommage
• Le Directory Information Tree DIT
• Structure de l'annuaire
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Le modèle de données
Concepts et architecture
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Le modèle de données
Site : http://www.alphorm.com
Blog : http://www.alphorm.com/blog
Forum : http://www.alphorm.com/forum
Ludovic Quenec'hdu
Formateur et Consultant indépendant
OpenSource et virtualisation
Plan
• Modèle de données
• Classes et attributs
• Les schémas
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Modèle de données
• Définit les informations stockées dans un annuaire et leurs représentations.
Les informations ou données sont stockées sous forme hiérarchique.
Dans un arbre appelé Directory Information Tree (DIT), chaque élément de cet arbre est une
entrée Directory Entry Service (DES), ces dernieres sont regroupés par objet.
Un objet représente une abstraction du monde réel :
• personnes, organisation, ressources, service
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• personnes, organisation, ressources, service
• machines, configuration, équipement, …
Une classe d’objet donne la description des objets en caractérisant des attributs
On trouve un couple attributs –valeurs d'attributs, les attributs d'une entrée peuvent être
obligatoires ou optionnels, multi-valeurs ou non.
Toutes ces informations entrées sont constituées dans des schémas.
Classes et attributs
• Les attributs sont caractérisés par :
Un nom qui l'identifie
Un Object Identifier (OID) qui l'identifie
S'il est mono ou multi-valeurs
Un indicateur d'usage (facultatif/obligatoire)
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Un indicateur d'usage (facultatif/obligatoire)
Une syntaxe et des règles de comparaison
Un format ou une limite de taille de valeur qui lui est associé
Classes et attributs
Nom Description
sn Nom de famille, dérive de l'attribut name
telephoneNumber Numéro de téléphone
member Membre d'un groupe.
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
attributetype ( 2.5.4.4 NAME ( 'sn' 'surname' )
DESC 'RFC2256: last (family)
SUP name )
attributetype ( 2.5.4.20 NAME 'telephoneNumber'
DESC 'RFC2256: Telephone Number'
EQUALITY telephoneNumberMatch
SUBSTR telephoneNumberSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.50{32} )
( 2.5.6.6 NAME 'person' SUP top STRUCTURAL
MUST ( sn $ cn )
MAY ( userPassword $ telephoneNumber $ seeAlso $
description ) )
Classes et attributs
• L'object Identifier est issu de X.500, il est aussi unique :
Un OID est une suite de nombres séparés par des points
OID Description
0 branche de l'International Télécommunication Union
1 branche ISO
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
2
branche commune entre l'International Telecommunication
Union et ISO
2.5 fait référence au service X500
2.5.4 définition des types d'attributs
2.5.6 définition des classes d'objets
1.3.6.1 the Internet OID
1.3.6.1.4.1 IANA-assigned company OIDs, used for private MIBs
1.3.6.1.4.1.4203 OpenLDAP
Classes et attributs
• Toutes les entrées de l'annuaire appartiennent à une ou plusieurs classes d'objet
(héritage).
• Une classe d'objet possède un nom et un ensemble d’attributs. Ces attributs
peuvent être obligatoires ou optionnels
• Les classes d'objets forment une hiérarchie avec au sommet l'objet top
• Les noms de ces classes d’objet sont listés dans un type d'attribut multi-valué
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• Les noms de ces classes d’objet sont listés dans un type d'attribut multi-valué
spécial appelé ObjectClass.
Classes et attributs
• Une classe d'objet est caractérisée par :
un nom de classe unique dans l'annuaire
un identifiant de classe (OID) unique
un ensemble d'attributs obligatoires généralement petit
un ensemble d'attributs optionnels généralement plus grand
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
un ensemble d'attributs optionnels généralement plus grand
un type qui peut prendre les valeurs structural, auxiliary ou abstract..
Classes et attributs
• Le type de la classe est lié à la nature des attributs :
La classe structurelle correspond aux objets de bases manipulés dans
l'annuaire (ex : les personnes)
La classe auxiliaire définit des objets qui ajoute des informations aux classes
structurelles
La classe abstraite correspond à des objets particuliers comme top ou alias
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
La classe abstraite correspond à des objets particuliers comme top ou alias
( 2.5.6.0 NAME 'top' ABSTRACT MUST objectClass )
( 2.5.6.3 NAME 'locality' SUP top STRUCTURAL
MAY ( street $ seeAlso $ searchGuide $ st $ l $ description ) )
( 2.5.6.6 NAME 'person' SUP top STRUCTURAL MUST ( sn $ cn )
MAY ( userPassword $ telephoneNumber $ seeAlso $ description ) )
Les Schémas
• Les attributs, classe d’objet sont définis dans des schémas
schéma nis, schéma samba, schéma core, schéma écrit par un utilisateur
On peut créer ses propres schémas pour un besoin bien spécifiques, il faut
donc récupérer des OID auprès de l’IANA
Samba.schema, nis.schema, core.schema, monschema.schema, …
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Samba.schema, nis.schema, core.schema, monschema.schema, …
Les schémas
attributetype ( 1.3.6.1.4.1.7165.2.1.20 NAME 'sambaSID'
DESC 'Security ID‘
EQUALITY caseIgnoreIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26{64} SINGLE-VALUE )
objectclass ( 1.3.6.1.4.1.7165.2.2.11 NAME 'sambaShare' SUP top STRUCTURAL
DESC 'Samba Share Section'
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
DESC 'Samba Share Section'
MUST ( sambaShareName )
MAY ( description ) )
Ce qu’on a couvert
• Modèle de données
• Classes et attributs
• Les Schémas
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Le modèle fonctionnel
Concepts et architecture
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Le modèle fonctionnel
Site : http://www.alphorm.com
Blog : http://www.alphorm.com/blog
Forum : http://www.alphorm.com/forum
Ludovic Quenec'hdu
Formateur et Consultant indépendant
OpenSource et virtualisation
Plan
• Le modèle fonctionnel
• Les opérations d'authentification et de contrôle
• Les opérations de recherche
• Les opérations de modification
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Le modèle fonctionnel
• Décrit les opérations autorisées sur un annuaire LDAP.
• Similaires aux opérations de manipulation des fichiers sous UNIX
• Trois types d’opérations possibles :
les opérations d'authentification et de contrôle
les opérations recherches sur l'annuaire
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
les opérations recherches sur l'annuaire
les opérations de mise à jour définissant la façon de manipuler les entrées de
l'annuaire, Ajout, suppression, modification
• Un numéro de séquence est attribué à chaque requête afin que le client puisse
reconnaître les réponses, à chaque opération, le serveur renvoie également un
acquittement.
Les opérations d'authentification et de contrôle
• LDAP définit
deux opérations d'authentification bind et unbind
une opération de contrôle, l'opération abandon.
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Les opérations d'authentification et de contrôle
• L'opération Bind
L'opération bind sert à authentifier le client.
Le client fournit un DN et un password.
Après vérification par le serveur, le client est autorisé à se connecter on non.
L'authentification peut être sécurisée avec TLS, SASL,…
• Opération unbind
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• Opération unbind
Utilisée par le client pour se déconnecter du serveur.
Le serveur termine toutes les opérations en cours, puis ferme la connexion.
• Opération abandon
permet au client de demander au serveur l'arrêt du traitement d'une opération.
Le client fournit l'ID du message de l'opération.
Le serveur arrête l’opération correspondante
Les opérations d'interrogation
• LDAP offre deux opérations d'interrogation
L'opération de recherche
L'opération de comparaison
• Opération de recherche (search)
Elle offre une recherche multi-critères sur les entrées de l'annuaire
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Elle offre une recherche multi-critères sur les entrées de l'annuaire
Elle simule la fonction de lecture (recherche limitée à une entrée)
• Opération de comparaison (compare)
Vérifie qu'une entrée contient une valeur d'attributs donnée
Options de recherche
• Les options des commandes search et compare
base object : entrée à partir de laquelle doit commencer la recherche
scope : la profondeur de la recherche
size limit : nombre de réponses limites
time limit : temps maxi alloué pour la recherche
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
search filter : le filtre de recherche
attrOnly : renvoie ou pas la valeur des attributs en plus de leur type
list of attributes : la liste des attributs que l'on souhaite connaître
La profondeur des recherches
• Profondeur de recherche peut prendre trois valeurs :
Base : la recherche est limitée à l'entrée désignée
Onelevel : la recherche est limitée aux enfants immédiats
Subtree : la recherche est limitée à l'entrée et son sous-arbre
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
L'expression de recherche
• L'expression de recherche est un ensemble de filtres.
• 6 types filtres
Le filtre d'égalité : cn=Ludo
Le filtre de contenance : cn=Lu*, sn=*que*, cn=Ha*
Le filtre d'approximation : cn~=ludo)
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Le filtre d'approximation : cn~=ludo)
Le filtre de comparaison : cn>ludo, <= , >= , <
Le filtre de présence : cn=*
Le filtre extensible match (LDAP v3)
Les opérations de modifications : Add
• Ajout des entrées dans l'annuaire.
• Le DN de l'entrée et l'ensemble des valeurs des attributs de la nouvelle entrée.
• Conditions à respecter
le parent de la nouvelle entrée doit déjà exister dans l'annuaire,
il n'existe pas d'entrée portant le même nom,
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
il n'existe pas d'entrée portant le même nom,
le contrôle d'accès doit autoriser cette opération d'ajout.
Les opérations de modifications : Modify
• mise à jour des valeurs d'une entrée
• les modifications peuvent être :
des valeurs à ajouter
des valeurs à supprimer
des valeurs à remplacer
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• Conditions à respecter
l'entrée à effacer doit exister dans l'annuaire,
elle ne doit pas avoir d'enfants
le contrôle d'accès doit autoriser cette opération de modification
Les opérations de modifications : Delete
• Suppression d'entrées de l'annuaire. Il suffit d'indiquer le DN de l'entrée.
• Conditions à respecter
l'entrée à effacer doit exister dans l'annuaire,
elle ne doit pas avoir d'enfants
le contrôle d'accès doit autoriser cette opération de suppression
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
le contrôle d'accès doit autoriser cette opération de suppression
Les opérations de modifications : Rename
• Sert à renommer ou à déplacer une entrée
• Il faut indiquer le DN de l'entrée,
• Fournir le nouveau RDN ou DN
• Préciser si l'ancien RDN doit être effacé ou pas
• Conditions à respecter
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• Conditions à respecter
l'entrée à effacer doit exister dans l'annuaire,
elle ne doit pas avoir d'enfants
le contrôle d'accès autorise l'opération de renommage
Ce qu’on a couvert
• Modèle fonctionnel
• Les opérations d'authentification et de contrôle
• Les opérations de recherche
• Les opérations de modification
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Le modèle de sécurité
Concepts et architecture
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Le modèle de sécurité
Site : http://www.alphorm.com
Blog : http://www.alphorm.com/blog
Forum : http://www.alphorm.com/forum
Ludovic Quenec'hdu
Formateur et Consultant indépendant
OpenSource et virtualisation
Plan
• Le modèle de sécurité
• L'authentification du client
• Le contrôle d'accès
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Le modèle de sécurité
• Le modèle de sécurité assure la protection des accès non autorisés
• Couvre deux aspects :
l'authentification du client
le contrôle d'accès aux données.
• L'authentification du client peut être sécurisée
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• L'authentification du client peut être sécurisée
L'authentification du client
• LDAP propose plusieurs choix d'authentification
Anonymous authentication : pas d'authentification
Simple password : authentification avec mot de passe en clair
Simple password over SSL : le client s'authentifie par un mot de passe transmis par SSL
ou TLS. Ce choix est fait pour les annuaires nécessitant un niveau élevé de sécurité.
Certificate authentication over SSL : le client s'authentifie en utilisant pleinement le
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Certificate authentication over SSL : le client s'authentifie en utilisant pleinement le
protocole SSL (usage d'un certificat).
SASL –Simple Authentication and Security Layer – fournit l’encryptage des données,
l’authentification et la signature des messages. (kerberos)
Le contrôle d'accès
• Permet de restreindre les accès aux données pour le client authentifié
• Au travers de listes de contrôle d’accès ou ACL – Access Control List
• Permet de définir plusieurs niveaux de visibilité, d’écriture, de limite, de
sécurité d'un annuaire
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Le contrôle d'accès
• Les ACL s'expriment avec des règles sous la forme :
<target> <permission> <bind rule>
• target : point d'entrée de l'annuaire auquel s'applique la règle
• permission : permet ou refuse un type d'accès (read,write,search...)
• bind rule : identifie le bindDN utilisé en connexion
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• bind rule : identifie le bindDN utilisé en connexion
Le contrôle d'accès
• Les règles peuvent s'appliquer
à tout ou partie de l'annuaire,
à des entrées ou attributs spécifiques
• Exemple : une liste de diffusion autorisée à son seul propriétaire !
• Les permissions peuvent être appliquées
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• Les permissions peuvent être appliquées
aux utilisateurs, authentifié, anonymes
aux groupes
Ce qu’on a couvert
• Modèle de sécurité
• L'authentification du client
• contrôle d'accès
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Le modèle de duplication
Concepts et architecture
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Le modèle de duplication
Site : http://www.alphorm.com
Blog : http://www.alphorm.com/blog
Forum : http://www.alphorm.com/forum
Ludovic Quenec'hdu
Formateur et Consultant indépendant
OpenSource et virtualisation
Plan
• La réplication principe
• Le partitionnement avec les référents (referrals servers)
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
La réplication principe
• La réplication consiste à recopier tout ou partie du contenu d'un annuaire sur un
autre serveur
• La duplication est utilisée pour :
Mettre en œuvre une architecture d'annuaires hautement disponible
Permettre l'équilibrage de charge entre serveurs
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Rapprocher les serveurs des utilisateurs
Importer des portions d'annuaire
La réplication principe
• Le service de réplication met en jeu plusieurs serveurs :
les Provider servers qui exportent les données,
les Consumer servers qui les importent
• La replication agreement précise
quels serveur est le serveur Provider
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
quels serveur est le serveur Provider
quels sont ses consumers
quelles sont les données échangées
La réplication principe
• La réplication peut être totale ou incrémentale
• Plusieurs stratégies de réplication
master réplication : un provider et des consumer en read-only, refreshOnly et
refeshAndPersist
multiple-master réplication, les consumers sont également Provider
En cascade (les consumer deviennent des suppliers pour d'autres serveurs)
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
En cascade (les consumer deviennent des suppliers pour d'autres serveurs)
Le partitionnement
• Le partitionnement consiste à séparer les branches de l'annuaire sur plusieurs serveurs
• Ce service est assuré par les referrals
Les mécanismes qui permettent de créer des liens d’arbres entre eux s’appellent Les knowledge
references
Le point de branchement d'un arbre qui vient se raccrocher un autre DIT se nomme (immediate
superior knowledge reference)
Un ObjectClass permet de créer des dn vers les autres serveurs
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Un ObjectClass permet de créer des dn vers les autres serveurs
Si l’objet n’est pas dans son espace de nommage, les serveurs utilisent alors Les knowledge
references
Ce qu’on a couvert
• La réplication principe
• Le partitionnement avec les référents (referrals servers)
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
LDIF, format d'échange
Concepts et architecture
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
LDIF, format d'échange
de données
Site : http://www.alphorm.com
Blog : http://www.alphorm.com/blog
Forum : http://www.alphorm.com/forum
Ludovic Quenec'hdu
Formateur et Consultant indépendant
OpenSource et virtualisation
LDIF - LDAP Data Interchange Format
• LDIF - LDAP Data Interchange Format
• La syntaxe
• Ajout d'une entrée
• Modification
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
LDIF - LDAP Data Interchange Format
• Format standard d'échange de données entre les annuaires LDAP.
• Permet de décrire des objets dans l’annuaire
• Permet également de décrire la manipulation des objets dans LDAP
Exporter/importer, ajout, suppression, modifications.
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• C’est un fichier simple, format texte.
Le format
• Le format
• Les enregistrements sont représentés comme un groupe de couples attributs-
valeurs. Chaque enregistrement est séparé d'un autre par une ligne vide.
• Les attributs d'un enregistrement sont représentés sur une seule ligne logique
par un couple "nom: valeur". Il est possible de représenter un attribut sur
plusieurs lignes en faisant précéder les lignes supplémentaires par un espace.
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
plusieurs lignes en faisant précéder les lignes supplémentaires par un espace.
• Les données sont normalement encodées en ASCII, cependant s'il n'est pas
possible de représenter le caractère en ASCII, il faut utiliser l'UTF-8 encodé
en base64.
La syntaxe
dn: dc=alphorm, dc=com
dc: alphorm
description: Serveur ldap alphorm
objectClass: dcObject
objectClass: organization
o: Serveur alphorm
dn: ou=people, dc=alphorm, dc=com
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
dn: ou=people, dc=alphorm, dc=com
ou: people
objectClass: organizationalUnit
dn: cn=admin, ou=people, dc=alphorm, dc=com
description: Administrateur LDAP
objectClass: organizationalRole
cn: admin
Ajout
dn: cn=Ludo Quenec,ou=people,dc=alphorm,dc=com
objectclass: inetOrgPerson
cn: Ludo Quenec
cn: Ludovic Quenec
sn: Quenec
uid: lQuenec
userpassword: JN78,2/@rzp
carlicense: grosseVoiture
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
carlicense: grosseVoiture
homephone: 555-111-2223
mail: l.Quenec@alphorm.com mail: lQuenec@alphorm.com
mail: Ludo.Quenec@alphorm.com
ou: Formation
Modification
dn: cn=Ludovic Quenec,ou=people,dc=alphorm,dc=com
changetype: modify
add: telephonenumber
telephonenumber: 555-555-1212
telephonenumber: 212-135-654
replace: uid
uid: rjosmith
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
uid: rjosmith
Replace
mail: robert.smith@example.com
mail: bob.smith@example.com –
add: jpegphoto
jpegphoto: < file://path/to/jpeg/file.jpg
delete: description
Modification
dn: cn=Ludovic Quenec,ou=people,dc=alphorm,dc=com
changetype: delete
dn: cn=Ludovic Quenec,ou=people,dc=alphorm,dc=com
changetype: delete
delete: telephonenumber
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
telephonenumber: 555-555-1212
Ce qu’on a couvert
• LDIF - LDAP Data Interchange Format
• La syntaxe
• Ajout d'une entrée
• Modification
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Installation et configuration
Installation et configuration d'OpenLdap
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Installation et configuration
Site : http://www.alphorm.com
Blog : http://www.alphorm.com/blog
Forum : http://www.alphorm.com/forum
Ludovic Quenec'hdu
Formateur et Consultant indépendant
OpenSource et virtualisation
Plan
• Installation et configuration sur une Debian/Ubuntu
• Installation et configuration sur une Centos/RHEL
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Installation
• Compiler ?
Ne pas bénéficier des updates, les versions proposées sont presque à jour
Réparer un bug
• Trouver les paquets :
Yum search openldap; apt-cache search openldap
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Yum search openldap; apt-cache search openldap
• Installer le paquets
apt-get install slapd ldap-utils
Yum install openldap-server openldap-client
Configuration d’Opendap
• Plusieurs possibilités de configuration sont possibles avec Openldap 2.4
• Le mode OCL OnLineConfiguration au travers de ldif
• OU
• Créer un fichier slapd.conf comme on faisait avant la version 2.4
• Deux méthodes proposées :
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• Deux méthodes proposées :
Le mode ocl sur une ubuntu 14.04
La génération d’un slapd.conf sur une centos
Configuration sur une Debian/Ubuntu
• Utiliser l’outil de configuration dpkg
OU
• Utiliser ldif pour la configuration :
1. Créer un fichier ldif pour le backend
2. Modifier le mot de passe du manager ldap
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
2. Modifier le mot de passe du manager ldap
3. Ajouter le fichier ldif dans la base de données backend :
• ldapadd -Y EXTERNAL -H ldapi:/// -f backend.ldif
4. Créer un fichier ldif pour le frontend :
• ldapadd -Y EXTERNAL -H ldapi:/// -f frontend.ldif
• ldapsearch -xLLL -b "dc=alphorm,dc=local" uid=ludo sn givenName cn
Configuration sur une Centos/RHEL
• Après une installation minimale de Centos 6.5 :
1. Installer les outils Openldap serveur, client et Kerberos pour ldap
2. Créer un fichier slapd.conf
• Ajouter les schémas dans le fichier
3. Editer le fichier slapd.conf pour ajouter :
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• Le suffix, le RootDN, le RootPW (généré avec slappasswd)
• L’emplacement de la base de données ldap et le type de BD
• Quelques acl et les fichiers de pid et d’arguments de slapd
Configuration sur une Centos/RHEL
• Apres une installation minimale de Centos 6.5 :
1. On teste le fichier de conf et on génère les base données à partir du fichier
slapd.conf
2. Vérifier notre nouvelle base cn=config avec slaptest
3. Mettre en place notre nouvelle config ocl
4. Installer la Base de données bdb (berkeleyBD) avec le fichier DB_CONFIG
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
4. Installer la Base de données bdb (berkeleyBD) avec le fichier DB_CONFIG
5. Mettre en place les options pour ldap dans sysconfig
6. Configuration de syslog pour ajouter openldap
7. On redemarre openldap et on le fichier client ldap
Configuration sur une Centos/RHEL
• On vérifie tout ca avec quelques commandes :
Ldapwhoami -WD cn=admin,dc=alphorm,dc=local
ldapsearch -xLLLWD cn=admin,dc=alphorm,dc=local -b cn=config dn
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Ce qu’on a couvert
• Installation et configuration sur une Debian/Ubuntu
• Installation et configuration sur une Centos/RHEL
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Gestion des utilisateurs
Utilisation du serveur
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Gestion des utilisateurs
et groupes
Site : http://www.alphorm.com
Blog : http://www.alphorm.com/blog
Forum : http://www.alphorm.com/forum
Ludovic Quenec'hdu
Formateur et Consultant indépendant
OpenSource et virtualisation
Plan
• Création des branches utilisateurs et groupes
• Ajout des groupes
• Ajout de utilisateurs
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Création des branches utilisateurs et groupes
• Créer un fichier ldif et simplement ajouter les entrées dans la base
dn: dc=alphorm,dc=local
dc: alphorm
objectClass: top
objectClass: domain
dn: ou=users,dc=alphorm,dc=local
ou: Users objectClass: top
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
ou: Users objectClass: top
objectClass: organizationalUnit
description: utilsateurs Linux/Unix Posix
dn: ou=groups,dc=alphorm,dc=local
ou: Groups
objectClass: top
objectClass: organizationalUnit
description: groupes Linux/Unix Posix
ldapmodify -a -xWD cn=admin,dc=alphorm,dc=local -f ~/ldif/users_groups.ldif
Ajout de groupes
dn: cn=admin, ou=groups, dc=local, dc=local
cn: admin
objectClass: top
objectClass: posixGroup
gidNumber: 1100
description: Groupe des administrateurs Linux
dn: cn=formateur, ou=groups, dc=local, dc=local
cn: oinstall objectClass: top
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
cn: oinstall objectClass: top
objectClass: posixGroup gidNumber: 500
description: Formateur Alphorm
dn: cn=boss, ou=groups, dc=local, dc=local
cn: dba objectClass: top
objectClass: posixGroup gidNumber: 501
description: Les boss d alphorm
ldapmodify -a -xWD cn=admin,dc=alphorm,dc=local -f ~/ldif/groups.ldif
Ajouter les utilisateurs
dn: cn=lquenec, ou=users, dc=alphorm, dc=local
uid: lquenec
gecos: Ludovic Quenec hdu
objectClass: top
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
userPassword: {SSHA}RsAMqOI3647qg1gAZFfa
shadowLastChange: 15140
shadowMin: 0
shadowMax: 99999
dn: cn=hamid, ou=users, dc=alphorm, dc=local
uid: hamid
gecos: Hamid Harabazan
objectClass: top
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
userPassword: {SSHA}RsAMqOI3647qg1gAZF3x2BKBn
shadowLastChange: 15140
shadowMin: 0
shadowMax: 99999
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 1100
gidNumber: 1100
homeDirectory: /home/lquenec
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 1101
gidNumber: 1101
homeDirectory: /home/hamid
ldapmodify -a -xWD cn=admin,dc=local,dc=local -f ~/ldif/users.ldif
Ajouter les utilisateurs
• Positionnons des mots de passe pour les users :
ldappasswd -xZWD cn=admin,dc=alphorm,dc=local -S 
cn=Hamid,ou=users,dc=alphorm,dc=local
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Ce qu’on couvert
• Création des branches utilisateurs et groupes
• Ajout des groupes
• Ajout de utilisateurs
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Securité de l'annuaire
Configuration avance d'OpenLDAP
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Securité de l'annuaire
Site : http://www.alphorm.com
Blog : http://www.alphorm.com/blog
Forum : http://www.alphorm.com/forum
Ludovic Quenec'hdu
Formateur et Consultant indépendant
OpenSource et virtualisation
Plan
• Menaces sur un annuaire LDAP
• Mecanisme de sécurité
• SSL/TLS, Cryptographie, Les certificats
• OpenSSL
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Objectifs 390.2 Securité de l'annuaire
• Les candidats doivent être en mesure de mettre en place un accès chiffré à
l'annuaire LDAP et de restreindre les accès au niveau du pare-feu
• Domaines de connaissance les plus importants :
Sécurité de l'annuaire avec SSL et TLS.
Considérations sur la protection par pare-feu.
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Méthodes d'accès sans authentification.
Méthodes d'authentification à partir d'un compte utilisateur et d'un mot de
passe.
Gestion d'une base de données utilisateur SASL.
Certificats client / serveur.
Menaces sur un annuaire LDAP
• Interceptions des communications et accès au serveur:
accès non autorisé aux données et configuration
Modification non autorisé des données et configuration
Usurpation d’identités
Détournement d’identités
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• Dénis de service ::
Utilisation en exces des ressources
Refus d’acces au service
Mecanisme de sécurité
• L’operation Bind fournit une methodes simple :
Anonymes
Non authentifié
Couple nom d’utilsateur/mots de passe
Methodes SASL et TLS
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Methodes SASL et TLS
Mecanisme de sécurité
• Le liste de controle d’acces sur les données de l’annuaire
Les ACLs
• Les service de limitations d’utilisation des ressources
Configuration du serveur
Les mécanismes SSL/TLS et SASL
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• Les mécanismes SSL/TLS et SASL
L’authentification, l’integrité, la confidentialités
• Les mécanismes de filtrage de connexion
Mise en place de regle de filtrage avec un pare-feu
L’opération Bind
• Méthode d’authentification simple
• La méthode d’authentification simple de l’opération Bind donne trois
mécanismes d’authentification :
Un mécanisme d’authentification anonyme
Un mécanisme d’authentification non authentifié
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Un mécanisme d’authentification non authentifié
Un mécanisme d’authentification nom/mot de passe utilisant des accréditifs
consistant en un nom (sous la forme d’un nom distinctif LDAP.
SSL/TLS
• SSL/TLS : Secure Socket Layer/Transport layer Security
Est une couche qui permet l’authentification, la confidentialité et l’integrité
des données
Peut etre appliqué a tout type de communication entre des parties
• SSL/TLS : Secure Socket Layer/Transport layer Security
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• SSL/TLS : Secure Socket Layer/Transport layer Security
SSL protocole mise au point par Netscape afin d’etablir des connexions
chiffrés, integrité et authentifié
Ajourd’hui SSL est en version 3.0
TLS est une “mise a jour” de SSL , TLS actuellement V1.2
Aujourd’hui on utilise TLS et non SSL !
Le protocole TLS
• TLS utilise à la fois la cryptographie asymétrique pour l’authentification
et un chiffrement symétrique pour garantir la protection des données
• Symétrique ou clé privé:
Une clé privé partagé entre les utilisateurs ou applications, les données sont chiffrés
avec une meme clé (secrete), cette clés est transmise avec le messages
Asymétrique ou clé publique:
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• Asymétrique ou clé publique:
Deux clés, une dite publique et une privé
Ces deux sont générés ensemble par un logiciel, la clé privé est conserver bien a l’abri,
la clé publique est publié sans risque
La clé publique sert a chiffrer le message et a clé privé le decrypte et inversement
La clé publique est elle sur ? Les certificats
Certifacats X509
• Un certificat est un “document” qui permet au travers d’une chaine de
confiance, de certifier le proprietaire de la clé publique
• Un certificat comprend une clé publique et des renseignements sur le
proprietaire. Ce certificat signé avec la clé privé d’une autorité de
cerification CA (Certification Authority)
• Les certificats assure, si l’on a onfiance dans le CA, que le proprietaire
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• Les certificats assure, si l’on a onfiance dans le CA, que le proprietaire
de la clé publique ou du serveur (certificat serveur)sur lequel je me
connecte est bien la personne ou le serveur.
• Un certificat comprends :
La version, une numéro de série unique, L’alogirithme de chiffrement, le CA,
une période de validité, la personne ou la société identifié par ce derneir, la
clé publique et la signature du CA
OpenSSL
• OpenSSL est une boite a outils de chiffrement
• LibreSSL un “fork” d’openSSL afin de réparer la faille Heartbleed en
2014
• Voyons un peu comment mettretout cela en oeuvre ☺
Test d’openSSL
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Test d’openSSL
Mise en place de certificat auto-signé avec Openldap
• Generer une clé privé
• Faire une requete de certificat avec la cle prive
• signer le certificat (creer sa CA)
• Installer les certificats dans openldap et configurer le client ldap
Ce qu’on a couvert
• Menaces sur un annuaire LDAP
• Mecanisme de sécurité
• SSL/TLS, Cryptographie, Les certificats
• OpenSSL
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Securité de l'annuaire
Configuration avance d'OpenLDAP
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Securité de l'annuaire
Site : http://www.alphorm.com
Blog : http://www.alphorm.com/blog
Forum : http://www.alphorm.com/forum
Ludovic Quenec'hdu
Formateur et Consultant indépendant
OpenSource et virtualisation
Plan
• Le pare feu : Netfilter – iptables
• Le types de pare feu
Routeur filtrant, filtre local
• Iptables
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Routeur filtrant, filtre local
Manipulation des chaînes
Objectifs 390.2 Securité de l'annuaire
• Les candidats doivent être en mesure de mettre en place un accès chiffré à
l'annuaire LDAP et de restreindre les accès au niveau du pare-feu
• Domaines de connaissance les plus importants :
Sécurité de l'annuaire avec SSL et TLS.
Considérations sur la protection par pare-feu.
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Méthodes d'accès sans authentification.
Méthodes d'authentification à partir d'un compte utilisateur et d'un mot de
passe.
Gestion d'une base de données utilisateur SASL.
Certificats client / serveur.
Le pare feu : Netfilter – iptables
• Netfilter est la pare feu livré avec le noyaux Linux 2.4
• C’est un module noyau qui permet le filtrage de paquets
• Mais egalement de garder l’etat des connexions !!
• Il a recu le Certificat de Sécurité de Premier Niveau (CSPN) par l'Agence
nationale de la sécurité des systèmes d'information
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
nationale de la sécurité des systèmes d'information
Iptables
• Le programme iptables permet de manipuler les regles de filtrages du
noyau linux
• Il permet donc configurer un pare-feu
• Iptables manipule un liste de regles appelées CHAINES. 5 chaines
• Analyser les une a la suite des autres
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• Analyser les une a la suite des autres
• Les chaînes se trouvent dans des TABLES, nat, filter et mangle
• Seul la table FILTER, nous interesse
Routage filtrant
• La table FILTER contient 3 chaînes :
INPUT : qui rentre dans le firewall processus locaux
OUTPUT : qui sort du le firewall processus locaux
FORWARD : qui traverse le firewall
• Chaque chaînes dispose de politiques :
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• Chaque chaînes dispose de politiques :
ACCEPT : les paquets sont acceptés
DROP : Les paquets sont refusés sans notification
REJECT : Les paquets sont refusés avec notification
Ils est ainsi sur chaques chaînes d’interdire ou d’autoriser l’acces aux services
Manipulation des chaînes
• Iptables sert donc a minupiler des regles, des chaines et des tables:
Iptables –A INPUT –p icmp –s 127.0.0.1 –j DROP
Iptables –A OUTPUT –p tcp –sport 389 –d 0/0 –j ACCEPT
Iptables –A INPUT –p tcp –dport 389 –s 0/0 –j ACCEPT
Iptables –N LOG_DROP
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Iptables –N LOG_DROP
Iptables –A LOG_DROP –j LOG
Ipatbles –F
Iptables –P INPUT DROP
Iptables –A INPUT -p udp -s 0/0 -d 192.168.0.150/24 --sport 53 –j ACCEPT
Ce qu’on a couvert
• Le pare feu : Netfilter – iptables
• Le types de pare feu
Routeur filtrant, filtre local
• Iptables
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Routeur filtrant, filtre local
Manipulation des chaînes
La partie de l'image avec l'ID de relation rId3 n'a pas été trouvé dans le fichier.
SASL
Configuration avance d'OpenLDAP
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
SASL
Site : http://www.alphorm.com
Blog : http://www.alphorm.com/blog
Forum : http://www.alphorm.com/forum
Ludovic Quenec'hdu
Formateur et Consultant indépendant
OpenSource et virtualisation
Plan
• SASL Simple Authentification Security Layer
• délégation d'autorisation
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Objectifs 390.2 Securité de l'annuaire
• Les candidats doivent être en mesure de mettre en place un accès chiffré à
l'annuaire LDAP et de restreindre les accès au niveau du pare-feu
• Domaines de connaissance les plus importants :
Sécurité de l'annuaire avec SSL et TLS.
Considérations sur la protection par pare-feu.
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Méthodes d'accès sans authentification.
Méthodes d'authentification à partir d'un compte utilisateur et d'un mot de
passe.
Gestion d'une base de données utilisateur SASL.
Certificats client / serveur.
SASL Simple Authentification Security Layer
• SASL Couche simple d’authentification et de sécurité est un framework
ou couche utilisé pour l’authentification qui offre la possibilités
d’externaliser cette derniere , mais egalement de chiffrer les connexions
• Openldap offre la possibilites de “bind” avec sa propre base de compte.
• Qu’en est il dans un environnement hétérogene avec du Microsoft
Windows ou du Kerberos, des serveurs web apache, du postfix, de
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Windows ou du Kerberos, des serveurs web apache, du postfix, de
l’exchange ou les bases de compte sont independantes ?
Authentification simples
• Nous avons pu voir trois methodes d’authetifcation avec openldap :
• Anonyme
• Non authentifie : avec un compte sans mots de passe
• Authentifciation par DN et mot de passe
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• Openldap offre la posssibilites de mieux gerer les mots de passe avec le
ppolicy.
SASL Simple Authentication Security Layer
SASL est un framework normalise par l’iETF qui permet alors des
authentifications et la securisation via des mecanisme :
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Mécanismes SASL
• EXTERNAL : est externalise dans une autre base.
• ANONYMOUS, accès anonyme sans authentification.
• PLAIN, accès avec authentification par mot de passe transmis en clair.
• DIGEST-MD5, mécanisme basé sur MD5 et compatible HTTP (DIGEST-MD5
fournit une couche d’intégrité des données ; Digest-MD5 rend obsolète le
mécanisme CRAM-MD5.)
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
mécanisme CRAM-MD5.)
• NTLM (NT LAN Manager ; Microsoft), mécanisme d’authentification pour réseau
local NT . Par ailleurs, NTLM est le protocole d'authentification utilisé par les
ordinateurs qui ne font pas partie d'un domaine.
• GSSAPI (Generic Security Services Application Programming Interface), pour
l’authentification utilisant le protocole Kerberos 5.
SASL Simple Authentification Security Layer
• SASL est donc un framework qui permet d’interfacer des bases
d’authentification avec des logiciels serveur.
• LDAP SASL->AD
• NTLM<>SASL <> LDAP
• LDAP<>SASL<>KERBEROS
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• LDAP<>SASL<>KERBEROS
• Regardons un peu comment cela fonctionne
Installation de sasl
Configuration
Test d’autentification
délégation d'autorisation
• Test de délégation d'autorisation en digest-md5
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Ce qu’on a couvert
• SASL Simple Authentification Security Layer
• délégation d'autorisation
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Les ACL Openldap
Configuration avancé d'OpenLDAP
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Les ACL Openldap
Site : http://www.alphorm.local
Blog : http://www.alphorm.local/blog
Forum : http://www.alphorm.local/forum
Ludovic Quenec'hdu
Formateur et Consultant indépendant
OpenSource et virtualisation
Plan
• Les listes de controles d’accès
OU
QUI
QUOI
Mise en place des access list
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Mise en place des access list
OU
0: dc=alphorm,dc=local
1: cn=admin,dc=alphorm,dc=local
2: ou=users, dc=alphorm,dc=local
3: cn=hamid,ou=users, dc=alphorm,dc=local
4: cn=addresses, cn=hamid,ou=users, dc=alphorm,dc=local
5: cn=vicky,ou=users, dc=alphorm,dc=local
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
dn.base="ou=users, dc=alphorm,dc=local" correspond a 2;
dn.one="ou=users, dc=alphorm,dc=local" correspond a 3 et 5;
dn.subtree="ou=users, dc=alphorm,dc=local " correspond a 2, 3, 4, et 5;
dn.children="ou=users, dc=alphorm,dc=local " correspond a 3, 4, and 5.
QUI
*
Tous le monde, inclus anonyme et
utilisateurs authentifie
anonymous Anonyme
users utilisateurs authentifie
self utilisateurs authentifie sur la cible
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
self utilisateurs authentifie sur la cible
dn[.<basic-style>]=<regex>
Utlisateurs correspondant a une
expression reguliere
dn.<scope-style>=<DN>
utilisateurs authentifie avec son « scope »
DN
QUOI
none =0 Pas access
auth =dx
Demande
d’authentification(bind)
search =scdx Recherche
read =rscdx Lecture
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
read =rscdx Lecture
write =wrscdx Ecriture
manage =mwrscdx Administratation
Quelques exemples
• olcAccess: to * by * read : Lecture pour tous le monde sur tout ls DIT
• olcAccess: to dn.children="dc=alphorm,dc=local " by * search
olcAccess: to dn.children="dc=local" by * read
• olcAccess: to attrs=userPawword by self write
• olcAccess: to dn.subtree="dc=alphorm,dc=local" by self write by
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• olcAccess: to dn.subtree="dc=alphorm,dc=local" by self write by
dn.children="dc=alphorm,dc=local" search by anonymous auth
Mise en place des access list
• Avec ldapvi :
olcAccess: {0}to attrs=userPassword by dn.base=cn=admin,dc... Self write
olcAccess: {1}to dn.children="dc=alphorm,dc=local" by * search
olcAccess: {2}to dn.children=« dc=alphorm,dc=loca" by * read
• En ldif :
changetype: modify
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
changetype: modify
delete: olcAccess
olcAccess: to dn.children="dc=alphorm,dc=local" by * search
-
add: olcAccess olcAccess: to dn.children="dc=alphorm,dc=local" by * write
Ce qu’on a couvert
• Les listes de controles d’accès
OU
QUI
QUOI
Mise en place des access list
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Mise en place des access list
Réplication Openldap
Configuration avancé d'OpenLDAP
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Réplication Openldap
Site : http://www.alphorm.com
Blog : http://www.alphorm.com/blog
Forum : http://www.alphorm.com/forum
Ludovic Quenec'hdu
Formateur et Consultant indépendant
OpenSource et virtualisation
Plan
• La réplication sous OpenLDAP
Réplication maître esclave
Réplication multi-master
Mise en place
Test de la replication
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Test de la replication
Objectifs 390.1 Réplication avec OpenLDAP
• Les candidats doivent bien connaître les différentes stratégies de
réplication serveur disponibles avec OpenLDAP.
• Domaines de connaissance les plus importants :
Concepts autour de la réplication.
Configuration de la réplication avec OpenLDAP.
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Analyse des journaux de réplication.
Compréhension des concentrateurs de réplication (replica hub).
Referrals LDAP.
LDAP sync replication.
La réplication sous OpenLDAP
• La réplication d’annuaire consiste à synchroniser plusieurs
annuaires répartis sur le réseau.
• “slurpd”, était anciennement le démon de réplication sous
openldap depuis les versions 2.4.X. OpenLDAP utilisent l’overlay
(le module) “syncprov” pour la réplication
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• Deux modes de réplication sont disponibles :
le mode maître esclave (dans le protocole le maître est nommé “provider” et
l’esclave “consumer”),
le mode multi-master.
Réplication maître esclave
• Deux modes de configuration maitre esclave pour la réplication :
le mode “refreshOnly” ou le consumer initie une connexion à intervalle
régulier avec le provider.
le mode “refreshAndPersist” ou le consumer initie une connexion avec le
maître pour la première synchronisation, puis conserve la connexion ouverte
Ce mode permet une synchronisation immédiate entre le provider et le
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Ce mode permet une synchronisation immédiate entre le provider et le
consumer
Réplication multi-maître
• Cette méthode est indentique au mode réplication maitre esclave.
• En revanche il n y a pas de notion de maitre esclave
• Le consumer et également le provider et le provider et également le
consumer
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Mise en place de la replication
• Tous d’abord nous devons disposer de deux annuaires ldap !
• Depuis la version 2.4 d’openldap la synchronisation est prise en charge
par un module (overlay) syncprov
• Mise en place
• Sur le provider
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• Sur le provider
Déclaration du module dans syncpro dans la base
Configuration du module sur le provider
Création de l’utilisateur pour la réplication
• Sur le consumer
Declaration du mode de replicationRefreshOnly ou RefreshAndPersist
Mise en place de la replication Provider
• Sur le provider
Déclaration du module dans syncpro dans la base
dn: cn=module{0},cn=config
objectClass: olcModuleList
cn: module{0}
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
cn: module{0}
olcModuleLoad: {0}back_bdb
olcModuleLoad: {1}syncprov
olcModulePath:
/usr/lib64/openldap
Mise en place de la replication Provider
Configuration du module sur le provider
dn: olcOverlay={0}syncprov,olcDatabase={2}bdb,cn=config
objectClass: olcOverlayConfig
objectClass: olcConfig
objectClass: top
objectClass: olcSyncProvConfig
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
objectClass: olcSyncProvConfig
olcOverlay: {0}syncprov
olcSpCheckpoint: 100 10
olcSpSessionlog: 100
Mise en place de la replication Provider
• Création de l’utilisateur pour la réplication
dn: cn=replicator,dc=alphorm,dc=local
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: replicator
description: replicator
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
description: replicator
userPassword: {SSHA}bFi6lbr/fxb49jV3NkHxIMboF4NBK3NY
Mise en place de la replication Consumer
• Declaration du mode de replicationRefreshOnly
dn: olcDatabase={2}bdb,cn=config
add: olcSyncrepl
olcSyncrepl:{0}rid=123
provider=ldap://master.alphorm.local
type=refreshOnly
interval=00:00:00:10
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
interval=00:00:00:10
searchbase="dc=alphorm,dc=local"
retry="5 5 300 +"
schemachecking=off
attrs="*,+"
bindmethod=simple
binddn="cn=replicator,dc=alphorm,dc=local"
credentials=traxdem
Mise en place de la replication Consumer
• Declaration du mode de replicationRefreshOnly ou RefreshAndPersist
dn: olcDatabase={2}bdb,cn=config
add: olcSyncrepl
olcSyncrepl:{0}rid=123
provider=ldap://master.alphorm.local
type=refreshAndPersist
interval=00:00:00:10
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
interval=00:00:00:10
searchbase="dc=alphorm,dc=local"
retry="5 5 300 +"
schemachecking=off
attrs="*,+"
bindmethod=simple
binddn="cn=replicator,dc=alphorm,dc=local"
credentials=traxdem
Niveau de log slapd
• Modification du niveau de log a chaud en ldif
dn: cn=config
changetype: modify
replace: olcLogLevel
olcLogLevel: sync
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Test de la replication
• Creation d’utlisateurs sur le provider
• Verification sur le consumer
• Voila ☺
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Ce qu’on a couvert
• La réplication sous OpenLDAP
Réplication maître esclave
Réplication multi-master
Mise en place
Test de la replication
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Test de la replication
Paramétrage des performances
Configuration avancé d'OpenLDAP
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Paramétrage des performances
Site : http://www.alphorm.local
Blog : http://www.alphorm.local/blog
Forum : http://www.alphorm.local/forum
Ludovic Quenec'hdu
Formateur et Consultant indépendant
OpenSource et virtualisation
Plan
•Les index
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• Les candidats doivent être en mesure d'évaluer les
performances d'un serveur LDAP et de le paramétrer.
• Domaines de connaissance les plus importants :
Compréhension des index.
390.3 Paramétrage des performances
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Mesure des performances du serveur OpenLDAP.
Règlage de la configuration du serveur pour améliorer les
performances.
Les index
• A chaque requete Openldap, ouvre la base de données et scan toutes
les entrées de l’annuaire.
• Indexer des attributs permet donc d’ameliorer les requetes de
recherches
• Plusieurs options pour indexer les attributs :
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
pres : presence. Type de recherche attribut=*
eq : equality. Type de recherche cn=ludo
sub : substring. Type de recherche avec un jocker : uid=lud*
approx : approximation. recherche de type uid~=Lu
Quelles attributs indexer
• Dans les logs
#tail -f /var/log/slapd.log |grep indexed
<= bdb_equality_candidates: (objectClass) not indexed
<= bdb_substring_candidates: (uid) not indexed
• Ou sont les attributs indexés :
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• Ou sont les attributs indexés :
Dans olcDatabase={1}bdb
Accessible par : ldapsearch, ldapvi ou un grep olcDbIndex dans le
olcDatabase={1}bdb.ldif
Ajouter et modifications des index
• Avec OnLineConfiguration dans l’entré :
olcDatabase={1}dbd,cn=config
dn: olcDatabase={1}bdb,cn=config
add: olcDbIndex
olcDbIndex: uid eq
olcDbIndex: cn eq,sub
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
olcDbIndex: cn eq,sub
dn: olcDatabase={1}bdb,cn=config
changetype: modify
delete: olcDbIndex
olcDbIndex: uid eq
-
add: olcDbIndex
olcDbIndex: uid eq,pres,sub
Indexer les attributs
• A chaque modifications ou régulierement, on doit recalculer les index
#service slpad stop
#slapindex –b ‘dc=alphorm,dc=local’
#service slapd start
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Ce qu’on a couvert
•Les index
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
OpenLDAP en tant que base d'authentification
Intégration de LDAP avec PAM
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Site : http://www.alphorm.com
Blog : http://www.alphorm.com/blog
Forum : http://www.alphorm.com/forum
Intégration de LDAP avec PAM
et NSS
Ludovic Quenec'hdu
Formateur et Consultant indépendant
OpenSource et virtualisation
Plan
• PAM, NSS et NSLCD
• Installation
• Configuration des services pour ldap sur Ubuntu/Debian
• Configuration des services pour ldap sur CentOs/Redhat
• Testons tout cela ☺
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• Testons tout cela ☺
Objectifs 391.1 : Intégration de LDAP avec PAM et NSS et SSSD
• Les candidats doivent être en mesure de configurer PAM et NSS pour qu'ils
récupèrent les informations à partir d'un annuaire LDAP
• Domaines de connaissance les plus importants :
Configuration de PAM pour une authentification LDAP.
Configuration de NSS pour récupérer les informations à partir de LDAP.
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Configuration des modules PAM dans les différents environnements Unix.
PAM, NSS et NSLCD
• Le mécanisme NSS Name Service Switch assure l’aiguillage de l'accès à ces
attributs entre les fichiers locaux et les différents services réseau.
• PAM est un mécanisme qui permet d'intégrer différents modes
d'authentification en les rendant transparents vis à vis de l'utilisateur et des
logiciels qui accèdent aux ressources du système.
• PAM sépare les tâches d'authentification en quatre groupes de gestion
indépendants :
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• PAM sépare les tâches d'authentification en quatre groupes de gestion
indépendants :
account : fournit une vérification des types de service du compte utilisateur : utilisateur a-t-il le
droit d'accéder au service demandé ? le mot de passe de l'utilisateur a expiré
authentication : établit la correspondance entre l'utilisateur et celui pour lequel il prétend être, vous
devrez entrer votre mot de passe (carte a puce, USB...)
Password : est de mettre à jour les mécanismes d'authentification
session :ce qui doit être fait en priorité pour un service donné, journalisation, montage du
répertoire personnel
Nslcd et SSSD
• Le service NSLCD Name Service Ldap Configuration Deamon est un
service pour la communication entre ldap et NSS, permet également le
positionnement de filtre (interdiction de uid, gid)
• Depuis les versions 6 de Redhat, Centos. Le nss et pam-ldap est
remplacé par SSSD System Security Services Daemon
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Installation
• Sur une nouvelle machine cliente Debian ou Centos
• Les paquets libnss-ldap libpam-ldap ou libnss-ldapd sous Debian….
La procédure d’installation inclus la configuration des services
• Les paquets nss-pam-ldapd sous Centos
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Configuration des services pour ldap sur Ubuntu/Debian
• Deux modes de configuration
1. Avec les outils auth-client-config et ldap-auth-config
• Avec la commande dpkg-reconfigure libnss-ldap libpam-ldap
2. Au travers de fichiers de configuration
• Ajouter de ldap dans /etc/nsswitch.conf
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
- passwd: compat ldap, group: compat ldap, shadow: compat ldap
• Ajouter la librairie pam_ldap dans /etc/pam.d/
- common-account, common-password, common-session
Les paquets nss-pam-ldapd pam_ldap sous Centos
• Comme pour Debian/Ubuntu deux modes de configuration
• Avec l’ outil authconfig-...
• Avec les fichiers de configurations a modifier
- /etc/openldap/ldap.conf
- /etc/nslcd.conf
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
- /etc/nsswitch.conf
- /etc/pam_ldap.conf
- /etc/pam.d/{system-auth-ac}
Testons tout cela ☺
• La commande getent permet de récupérer les utilisateurs et groupes a
partir des bases de données précisé dans nss
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Ce qu’on a couvert
• PAM, NSS et NSLCD
• Installation
• Configuration des services pour ldap sur Ubuntu/Debian
• Configuration des services pour ldap sur CentOs/Redhat
• On a testé
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• On a testé
OpenLDAP en tant que base
d'authentification
Intégration OpenLDAP kerberos
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Site : http://www.alphorm.com
Blog : http://www.alphorm.com/blog
Forum : http://www.alphorm.com/forum
Intégration OpenLDAP kerberos
Ludovic Quenec'hdu
Formateur et Consultant indépendant
OpenSource et virtualisation
Plan
• Comprendre le SSO
• Comprendre Kerberos
• Mise en œuvre de kerberos et Openldap
• Comprendre Active Directory
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• Intégration Openldap et Active Directory via SASL
Objectifs 391.2 Intégration de LDAP avec Active Directory et Kerberos
• Les candidats doivent être en mesure d'intégrer LDAP avec les services Active
Directory.
• Domaines de connaissance les plus importants :
Intégration de Kerberos avec LDAP.
Authentification multi-plateformes.
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Concepts de l'authentification unique (Single Sign-On).
Intégration et limites de compatibilité entre OpenLDAP et Active Directory.
Comprendre le SSO
• Lorsque les utilisateurs accède a des services de type différents, comme par
exemple la messagerie, l’ouverture de session MS Windows, des applications de
Base de données, des outils de gestion informatique, ..
• Ils doivent fournir des identifiants de différents types.
• Le SSO Single Sign On permet aux administrateurs de centralisés les
informations d’authentification afin d’accéder a différents services.
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
informations d’authentification afin d’accéder a différents services.
• Les utilisateurs ne se « logue » plus qu’une fois et accedent aux differents
services
• Simplicité pour l’utilisateur, Simplicité pour les administrateurs pour gerer les
authentification et les mise en place de regle d’accès aux services.
• Le service est centralisé, faiblesse de sécurité, accès a un service donne accès a
tout les services.
Comprendre Kerberos
• Le SSO avec Kerberos
• Protocole développé au MIT dans le cadre du projet Athena au début
des années 1980
• Permet l’authentification forte a des services dit “kerbérisé”
• Standarisé par 2 RFC : RFC 1510 et RFC 1964
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• Standarisé par 2 RFC : RFC 1510 et RFC 1964
• Kerberos est aujourd’hui en version 5.
• A la base de l’authentification MS Windows 200X
• Kerberos permet l’authentification des utilisateurs et gère ensuite
l’accès aux différents services.
Royaume Kerberos
• L’architecture Kerberos est constituée de serveurs Kerberos,
d’utilisateurs, de postes de travail et de serveurs hébergeant des
services, le tout rassemblés dans un ROYAUME kerberos (REALM)
Les “principals”
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Les “principals”
Le KDC – Key Distribution Center – Centre de
Distributions des Clés
Architecture Kerberos
Les principals : Un utilisateur, un client, un serveur
• nom/instance@KRB-REALM
• ldap/master.alphorm.com@ALPHORM.COM
• ludo/admin@ALPHORM.COM
• host/client.alphorm.com@ALPHORM.COM
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• host/client.alphorm.com@ALPHORM.COM
Chaque principal dispose de clés secretes
• Mot de passe pour les utilisateurs
• Fichier keytab pour les serveurs et hôtes
Architecture Kerberos
• Le service Kerberos est constitué de plusieurs entités regroupé dans un
KDC – Key Distribution Center
Un serveur d’authentification AS
• Contient une base de données avec les utilisateurs, les services et leur
clés associés
Module kadmin d’administration, utilisateurs, services, hôtes, ACL,
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• Module kadmin d’administration, utilisateurs, services, hôtes, ACL,
methode de chiffrement, ...
Un service de délivrement de Ticket TGS
• fournit l’accès au services “kerbérisé”
Principes de fonctionnement
• Afin d’acceder aux services “Kerbérises” un utilisateur obtient un ticket
d’accès aupres du KDC (TGT –Ticket Granting Ticket)
Commande kinit ludo/admin@ALPHORM.LOCAL
• Avec le TGT le client envoie une demande de ticket auprès du TGS
Klist pour visualiser les tickets
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Klist pour visualiser les tickets
le client inclue l’indentifiant du service demandé et le TGT obtenue du KDC
• Le TGS vérifie la validité du TGT et envoie alors les informations
d’accès au service
• Le TGT permet donc à l’utilisateur authentifié de récupérer des tickets
d’accès aux services auprès du TGS
Principe de fonctionnement
1
2 TGT
3
Demande de
ST
4 ST
Service Autorité Ticket
Grant Service
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Connexion
5
Demande d ’accès
au service
6
Validation
Service
SSH/SGBD/
LDAP/PRINTER/...
Principes de fonctionnement
• Repose sur la notion de ticket
• S’appuie sur des clés secrètes symétrique, toutes les
informations, ticket sont chiffrés, pas de mots de passe sur
le réseaux
• Mécanisme anti-rejeux, validité des tickets
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• Mécanisme anti-rejeux, validité des tickets
• Authentification mutuelle
Notionde ticket
• Un ticket est constitué en deux partie :
chiffrée
claire.
• Les tickets servent à authentifier les requêtes des principaux
(client/serveur/service)
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
(client/serveur/service)
• Deux type de Tickets :
Ticket Granting Ticket (TGT)
Service Ticket (ST)
Les services Kerbérisés
• Certains services sont kerbérisés :
Kssh, krlogon, Active Directory
• Certains services ne sont pas kerbérisés”, il faut donc utliser des
librairies (couches) qui vont permettre de convertir l’authentification
• SASL fournit des mecanisme d’authentification a des services (LDAP) :
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• SASL fournit des mecanisme d’authentification a des services (LDAP) :
DISGEST-MD5, GSSAPI, KERBEROS
• SASL via GSSAPI permet a OpenLdap de se “kerbériser”
Mise en œuvre de kerberos et Openldap
Kerberos
Service
LDAP
AS/TGS
Client Linux/ServeurSSH
Nslcd-pam
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
LDAP
Compte utilsateur/compte
kerberos
Mise en œuvre de kerberos et Openldap
• Afin d’utiliser Kerberos avec un serveur Openldap, plusieurs étapes
• Installer ntp sur les differents postes
• Installer kerberos server ldap
• Vérification du schémas ldap pour kerberos
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• Créer un conteneur ou=services pour les principaux Kerberos
• Configurer le serveur Kerberos
/etc/krb5.conf
/var/kerberos/krb5kdc/kadm5.acl
/var/kerberos/krb5kdc/kdc.conf
Mise en œuvre de kerberos et Openldap
• Créer les entrées kerberos dans le serveur Opendap
kdb5_ldap_util -D "cn=admin,dc=alphorm,dc=local" create -subtrees
"ou=kerberos,ou=services,dc=alphorm,dc=local" -r ALPHORM.LOCAL –s
• Création du répertoires de stockage des password et extraire le
password de l’admin kerberos
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
• kdb5_ldap_util -D "cn=admin,dc=alphorm,dc=local" stashsrvpw -f
/etc/krb5.d/stash.keyfile
cn=krbadmin,ou=services,dc=alphorm,dc=local
• Positionnons des ACLs LDAP pour l’utilisateur krbadmin
ldapmodify -H ldapi:/// -f ~/ldap/kerberos.krbadmin.acl.ldif
Mise en œuvre de kerberos et Openldap
• Testons le acl
ldapsearch -xZLLLWD cn=krbadmin,ou=users,dc=alphorm,dc=local -b
ou=kerberos,ou=services,dc=alphorm,dc=local dn
• On démarre les services kerberos
Service krb5kdc start
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Service krb5kdc start
Servce kadmin start
netstat -alnt | egrep ':88|:464|:749'
Mise en œuvre de kerberos et Openldap
• Création des principaux et gestion des clés
Kadmin.local
Addprinc –rankey host/master.alphorm.local@ALPHORM.LOCAL
ktadd host/master.alphorm.local@ALPHORM.LOCAL
Addprinc lquenec@ALPHORM.LOCAL
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Addprinc lquenec@ALPHORM.LOCAL
Addprinc lquenec/admin@ALPHORM.LOCAL
List_principals | getprincs
Getrpincs host/master.alphorm.local@ALPHORM.LOCAL
klist -ek /etc/krb5.keytab
Mise en œuvre de kerberos et Openldap
• Testons kerberos avec un client et serveur !
Installation et configuration du client krb5-workstation
• yum -y install krb5-workstation pam_krb5
• vi /etc/krb5.conf
Création du principal pour le serveur SSH
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Création du principal pour le serveur SSH
• Kadmin –p lquenec/admin@ALPHORM.LOCAL
• Addprinc –randkey host/sshd.alphorm.local@ALPHORM.LOCAL
• Ktadd host/sshd.alphorm.local@ALPHORM.LOCAL
Mise en œuvre de kerberos et Openldap
• Configuration de sshd pour Kerberos
• Vi /etc/ssh/shhd_config
• On creer un principal pour un utilsateur
kadmin -p lquenec/admin@ALPHORM.LOCAL
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
kadmin: addprinc test.user@ALPHORM.LOCAL
Kdestroy
Kinit –p test.user@ALPHORM.LOCAL
Klist
ssh test.user@ssh.alphorm.local
Mise en œuvre de kerberos et Openldap
• Configuration SASL GSSApI OpenLDAP
• Ajout d’un principal pour le serveur ldap
Kadmin lquenec/admin
Addprinc –rankey ldap/master.alphorm.local@ALPHORM.LOCAL
Ktadd –k /etc/openldap/krb5.keytab ldap/master.alphorm.local@ALPHORM.LOCAL
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Ktadd –k /etc/openldap/krb5.keytab ldap/master.alphorm.local@ALPHORM.LOCAL
• Permissions sur la clé
Kadmin lquenec/admin
• Installation de Cyrus-sasl-gssapai
yum -y install cyrus-sasl-gssapi
ldapsearch -LLLY EXTERNAL -H ldapi:/// -b cn=config -s base | grep -i sasl
Mise en œuvre de kerberos et Openldap
• Configuration de sasl dans OpenLDAP
vi ~/ldap/sasl.ldif
ldapsearch -LLLY EXTERNAL -H ldapi:/// -b cn=config -s base | grep -i sasl
vi /etc/sysconfig/ldap
/etc/init.d/nslcd stop
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
/etc/init.d/nslcd stop
/etc/init.d/slapd restart
/etc/init.d/nslcd start
vi /etc/openldap/ldap.conf
Klist , kinit –p lquenec@ALHPRM.LOCAL
ldapwhoami
Ce qu’on a couvert
• Objectifs 391.2 Intégration de LDAP avec Active Directory et Kerberos
• Comprendre le SSO
• Comprendre Kerberos
• Mise en œuvre de kerberos et Openldap
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
OpenLDAP en tant que base
d'authentification
Intégration OpenLDAP Active
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Site : http://www.alphorm.com
Blog : http://www.alphorm.com/blog
Forum : http://www.alphorm.com/forum
Intégration OpenLDAP Active
Directory
Ludovic Quenec'hdu
Formateur et Consultant indépendant
OpenSource et virtualisation
Plan
• Introduction
• Client LDAP et Microsoft Active Directory
• SASL avec Microsoft Active Directory
• Intégration Openldap et Active Directory via SASL
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Objectifs 391.2 Intégration de LDAP avec Active Directory et Kerberos
• Les candidats doivent être en mesure d'intégrer LDAP avec les services Active
Directory.
• Domaines de connaissance les plus importants :
Intégration de Kerberos avec LDAP.
Authentification multi-plateformes.
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Concepts de l'authentification unique (Single Sign-On).
Intégration et limites de compatibilité entre OpenLDAP et Active Directory.
Introduction
Microsoft AD
DC=ad-alphorm,DC=local
Bind ldap
Cn=toto,ou=users,dc=alphorm,dc=local
1
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
OpenLDAP
SASL
dc=alphorm,dc=local
2
Cn=toto userPassword: {SASL}toto@ad-alphorm.local
3
4
5
OpenLDAP et Active Directory
• Client LDAP et Microsoft Active Directory
Simple ldapsearch pour vérifier
• SASL avec Microsoft Active Directory
Configuration SASL pour lier l’AD
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Configuration SASL pour lier l’AD
• Intégration Openldap et Active Directory via SASL
Configuration d’Openldap pour récupérer les mots de passe
utilisateurs.
Ce qu’on a couvert
• Introduction
• Client LDAP et Microsoft Active Directory
• SASL avec Microsoft Active Directory
• Intégration Openldap et Active Directory via SASL
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Architecture et concepts
Fondamentaux sur Samba
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Architecture et concepts
de Samba
Site : http://www.alphorm.com
Blog : http://www.alphorm.com/blog
Forum : http://www.alphorm.com/forum
Ludovic Quenec'hdu
Formateur et Consultant indépendant
OpenSource et virtualisation
Plan
• Les objectifs 392.1 : Architecture et concepts de Samba
• Le rôle des services et des composants de Samba
• Les ports TCP et UDP clés utilisés par SMB/CIFS, NetBios, ADS
• Samba 3 vs Samba 4
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Les objectifs 392.1 : Architecture et concepts de Samba
• Etre en mesure de comprendre les concepts essentiels de Samba. De plus, les
candidats doivent connaître les différences principales entre Samba3 et Samba4
• Domaines de connaissance les plus importants :
Compréhension du rôle des services et des composants de Samba.
Compréhension des problèmes clés liés aux réseaux hétérogènes.
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
Compréhension des problèmes clés liés aux réseaux hétérogènes.
Connaissance des ports TCP et UDP clés utilisés par SMB/CIFS.
Connaissance des différences entre Samba3 et Samba4.
Le rôle des services et des composants de Samba
• Samba est une suite de logicielle développée depuis 1991 par un étudiant
Australien Andrew Tridgell qui avait besoin de monter des partages SMB sur sa
machine Unix.
• Samba permet donc la communication entre les réseaux Microsoft LanManager
(Windows NT) et les domaines Active Directory.
Il peut être Contrôleur de domaine, Contrôleur de domaine secondaire, membre d’un
domaine, serveur membre, serveur autonome…
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
domaine, serveur membre, serveur autonome…
Permettre le partage d’arborescences de répertoires et d’imprimantes à la disposition
de clients Linux, UNIX et Windows.
Fournir la résolution du serveur de noms Windows Internet Name Service (WINS)
Aider lors de la navigation du voisinage réseau (avec ou sans NetBIOS)
•
Le rôle des services et des composants de Samba
• Samba mets en œuvre plusieurs services et protocoles :
NetBios sur TCP/IP, SMB/CFIS, les RPC
• NetBIOS over TCP/IP utilise les ports :
135 Service de localisation utilisé par les appels de procédure à distance. RPC
137 netbios-ns - NETBIOS Name Service
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
137 netbios-ns - NETBIOS Name Service
138 netbios-dgm - NETBIOS Datagram Service
139 netbios-ssn - Directory
Le rôle des services et des composants de Samba
• Samba est composé de trois démons smbd, nmbd, winbind et deux services
smb et winbind :
• SMBD :
Il fournit des services de partage de fichiers et d'impression aux clients Windows. Il est
responsable de l'authentification des utilisateurs, du verrouillage des ressources et du
partage des données par le biais du protocole SMB/CIFS. Prend en charge également
le protocole SMB 3
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
le protocole SMB 3
Le service écoute sur les ports :
TCP 139 : TCP NetBIOS Session (TCP), Windows File and Printer Sharing
TCP 445 : Microsoft-DS Active Directory, Windows shares
Le rôle des services et des composants de Samba
• NMBD :
Le démon serveur nmbd comprend et répond à toutes les requêtes de service de nom
NetBIOS telles que celles produites par SMB/CIFS dans des systèmes basés sur
Windows. Parmi ces derniers figurent les clients Windows 95/98/ME, Windows NT,
Windows 2000, Windows XP et LanManager.
Ce démon joue également un rôle au niveau des protocoles de navigation qui
constituent l'affichage du voisinage réseau (Network Neighborhood) de Windows
Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
constituent l'affichage du voisinage réseau (Network Neighborhood) de Windows
Le port par défaut sur lequel le serveur attend du trafic NMB est le port UDP 137 :
NetBIOS name service
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf
Linux LPIC-3 ( PDFDrive ).pdf

Contenu connexe

Similaire à Linux LPIC-3 ( PDFDrive ).pdf

H023 g formation-ibm-platform-lsf-9-1-configuration-avancee-et-administration...
H023 g formation-ibm-platform-lsf-9-1-configuration-avancee-et-administration...H023 g formation-ibm-platform-lsf-9-1-configuration-avancee-et-administration...
H023 g formation-ibm-platform-lsf-9-1-configuration-avancee-et-administration...CERTyou Formation
 
08 01 mise en place d'un serveur web
08 01 mise en place d'un serveur web08 01 mise en place d'un serveur web
08 01 mise en place d'un serveur web
Noël
 
Alphorm.com Formation PL/SQL
Alphorm.com Formation PL/SQLAlphorm.com Formation PL/SQL
Alphorm.com Formation PL/SQL
Alphorm
 
Alphorm.com formation Red Hat (RH134)
Alphorm.com formation Red Hat (RH134)Alphorm.com formation Red Hat (RH134)
Alphorm.com formation Red Hat (RH134)
Alphorm
 
LPIC1 11 02 sécurité système
LPIC1 11 02 sécurité systèmeLPIC1 11 02 sécurité système
LPIC1 11 02 sécurité systèmeNoël
 
Lin03 formation-linux-administration-bases-services
Lin03 formation-linux-administration-bases-servicesLin03 formation-linux-administration-bases-services
Lin03 formation-linux-administration-bases-servicesCERTyou Formation
 
Alphorm.com Formation Lync Server 2013 (70-336)
Alphorm.com Formation Lync Server 2013 (70-336)Alphorm.com Formation Lync Server 2013 (70-336)
Alphorm.com Formation Lync Server 2013 (70-336)
Alphorm
 
Admin_Réseaux_linux_cours.pptx
Admin_Réseaux_linux_cours.pptxAdmin_Réseaux_linux_cours.pptx
Admin_Réseaux_linux_cours.pptx
simomjidi
 
alphorm.com - Formation Exchange Server 2013 (70-341)
alphorm.com - Formation Exchange Server 2013 (70-341)alphorm.com - Formation Exchange Server 2013 (70-341)
alphorm.com - Formation Exchange Server 2013 (70-341)
Alphorm
 
alphorm.com - Formation Configuration Exchange 2010 (70-662)
alphorm.com - Formation Configuration Exchange 2010 (70-662)alphorm.com - Formation Configuration Exchange 2010 (70-662)
alphorm.com - Formation Configuration Exchange 2010 (70-662)
Alphorm
 
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm
 
alphorm.com - Formation Linux LPIC-2
alphorm.com - Formation Linux LPIC-2alphorm.com - Formation Linux LPIC-2
alphorm.com - Formation Linux LPIC-2
Alphorm
 
Alphorm.com Support Formation Red Hat Administration Système III RHCSE-(Rh254)
Alphorm.com Support Formation Red Hat Administration Système III RHCSE-(Rh254)Alphorm.com Support Formation Red Hat Administration Système III RHCSE-(Rh254)
Alphorm.com Support Formation Red Hat Administration Système III RHCSE-(Rh254)
Alphorm
 
Drupal 8, symfony
Drupal 8, symfonyDrupal 8, symfony
Drupal 8, symfonyjeUXdiCode
 
LPIC1 11 01 sécurité réseaux
LPIC1 11 01 sécurité réseauxLPIC1 11 01 sécurité réseaux
LPIC1 11 01 sécurité réseauxNoël
 
09 01 configuration du serveur samba
09 01 configuration du serveur samba09 01 configuration du serveur samba
09 01 configuration du serveur samba
Noël
 
4 Solutions Linux Spar
4 Solutions Linux Spar4 Solutions Linux Spar
4 Solutions Linux Spar
Alexis Monville
 
Introduction dans la Programmation Web Course 1
Introduction dans la Programmation Web Course 1Introduction dans la Programmation Web Course 1
Introduction dans la Programmation Web Course 1Vlad Posea
 
base-de-donnees-whois.ppt
base-de-donnees-whois.pptbase-de-donnees-whois.ppt
base-de-donnees-whois.pptwebhostingguy
 

Similaire à Linux LPIC-3 ( PDFDrive ).pdf (20)

H023 g formation-ibm-platform-lsf-9-1-configuration-avancee-et-administration...
H023 g formation-ibm-platform-lsf-9-1-configuration-avancee-et-administration...H023 g formation-ibm-platform-lsf-9-1-configuration-avancee-et-administration...
H023 g formation-ibm-platform-lsf-9-1-configuration-avancee-et-administration...
 
08 01 mise en place d'un serveur web
08 01 mise en place d'un serveur web08 01 mise en place d'un serveur web
08 01 mise en place d'un serveur web
 
Alphorm.com Formation PL/SQL
Alphorm.com Formation PL/SQLAlphorm.com Formation PL/SQL
Alphorm.com Formation PL/SQL
 
Ldap.16
Ldap.16Ldap.16
Ldap.16
 
Alphorm.com formation Red Hat (RH134)
Alphorm.com formation Red Hat (RH134)Alphorm.com formation Red Hat (RH134)
Alphorm.com formation Red Hat (RH134)
 
LPIC1 11 02 sécurité système
LPIC1 11 02 sécurité systèmeLPIC1 11 02 sécurité système
LPIC1 11 02 sécurité système
 
Lin03 formation-linux-administration-bases-services
Lin03 formation-linux-administration-bases-servicesLin03 formation-linux-administration-bases-services
Lin03 formation-linux-administration-bases-services
 
Alphorm.com Formation Lync Server 2013 (70-336)
Alphorm.com Formation Lync Server 2013 (70-336)Alphorm.com Formation Lync Server 2013 (70-336)
Alphorm.com Formation Lync Server 2013 (70-336)
 
Admin_Réseaux_linux_cours.pptx
Admin_Réseaux_linux_cours.pptxAdmin_Réseaux_linux_cours.pptx
Admin_Réseaux_linux_cours.pptx
 
alphorm.com - Formation Exchange Server 2013 (70-341)
alphorm.com - Formation Exchange Server 2013 (70-341)alphorm.com - Formation Exchange Server 2013 (70-341)
alphorm.com - Formation Exchange Server 2013 (70-341)
 
alphorm.com - Formation Configuration Exchange 2010 (70-662)
alphorm.com - Formation Configuration Exchange 2010 (70-662)alphorm.com - Formation Configuration Exchange 2010 (70-662)
alphorm.com - Formation Configuration Exchange 2010 (70-662)
 
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
 
alphorm.com - Formation Linux LPIC-2
alphorm.com - Formation Linux LPIC-2alphorm.com - Formation Linux LPIC-2
alphorm.com - Formation Linux LPIC-2
 
Alphorm.com Support Formation Red Hat Administration Système III RHCSE-(Rh254)
Alphorm.com Support Formation Red Hat Administration Système III RHCSE-(Rh254)Alphorm.com Support Formation Red Hat Administration Système III RHCSE-(Rh254)
Alphorm.com Support Formation Red Hat Administration Système III RHCSE-(Rh254)
 
Drupal 8, symfony
Drupal 8, symfonyDrupal 8, symfony
Drupal 8, symfony
 
LPIC1 11 01 sécurité réseaux
LPIC1 11 01 sécurité réseauxLPIC1 11 01 sécurité réseaux
LPIC1 11 01 sécurité réseaux
 
09 01 configuration du serveur samba
09 01 configuration du serveur samba09 01 configuration du serveur samba
09 01 configuration du serveur samba
 
4 Solutions Linux Spar
4 Solutions Linux Spar4 Solutions Linux Spar
4 Solutions Linux Spar
 
Introduction dans la Programmation Web Course 1
Introduction dans la Programmation Web Course 1Introduction dans la Programmation Web Course 1
Introduction dans la Programmation Web Course 1
 
base-de-donnees-whois.ppt
base-de-donnees-whois.pptbase-de-donnees-whois.ppt
base-de-donnees-whois.ppt
 

Plus de ThinL389917

Spectrum Virtualize for Public Cloud L2 Seller Presentation - 2022-May-20.PPTX
Spectrum Virtualize for Public Cloud L2 Seller Presentation - 2022-May-20.PPTXSpectrum Virtualize for Public Cloud L2 Seller Presentation - 2022-May-20.PPTX
Spectrum Virtualize for Public Cloud L2 Seller Presentation - 2022-May-20.PPTX
ThinL389917
 
Acronis Cyber Protect - Presetation.pptx
Acronis Cyber Protect - Presetation.pptxAcronis Cyber Protect - Presetation.pptx
Acronis Cyber Protect - Presetation.pptx
ThinL389917
 
IBM Sustainability Software - Overview for Airlines (1).PPTX
IBM Sustainability Software - Overview for Airlines (1).PPTXIBM Sustainability Software - Overview for Airlines (1).PPTX
IBM Sustainability Software - Overview for Airlines (1).PPTX
ThinL389917
 
HA and DR Architecture for HANA on Power Deck - 2022-Nov-21.PPTX
HA and DR Architecture for HANA on Power Deck - 2022-Nov-21.PPTXHA and DR Architecture for HANA on Power Deck - 2022-Nov-21.PPTX
HA and DR Architecture for HANA on Power Deck - 2022-Nov-21.PPTX
ThinL389917
 
AviationSolutions-L1-Oct2022.PPTX
AviationSolutions-L1-Oct2022.PPTXAviationSolutions-L1-Oct2022.PPTX
AviationSolutions-L1-Oct2022.PPTX
ThinL389917
 
Advanced Lean Training Manual Toolkit.ppt
Advanced Lean Training Manual Toolkit.pptAdvanced Lean Training Manual Toolkit.ppt
Advanced Lean Training Manual Toolkit.ppt
ThinL389917
 
Bài Giảng Văn Hóa DN - Phần 1.ppt
Bài Giảng Văn Hóa DN - Phần 1.pptBài Giảng Văn Hóa DN - Phần 1.ppt
Bài Giảng Văn Hóa DN - Phần 1.ppt
ThinL389917
 

Plus de ThinL389917 (7)

Spectrum Virtualize for Public Cloud L2 Seller Presentation - 2022-May-20.PPTX
Spectrum Virtualize for Public Cloud L2 Seller Presentation - 2022-May-20.PPTXSpectrum Virtualize for Public Cloud L2 Seller Presentation - 2022-May-20.PPTX
Spectrum Virtualize for Public Cloud L2 Seller Presentation - 2022-May-20.PPTX
 
Acronis Cyber Protect - Presetation.pptx
Acronis Cyber Protect - Presetation.pptxAcronis Cyber Protect - Presetation.pptx
Acronis Cyber Protect - Presetation.pptx
 
IBM Sustainability Software - Overview for Airlines (1).PPTX
IBM Sustainability Software - Overview for Airlines (1).PPTXIBM Sustainability Software - Overview for Airlines (1).PPTX
IBM Sustainability Software - Overview for Airlines (1).PPTX
 
HA and DR Architecture for HANA on Power Deck - 2022-Nov-21.PPTX
HA and DR Architecture for HANA on Power Deck - 2022-Nov-21.PPTXHA and DR Architecture for HANA on Power Deck - 2022-Nov-21.PPTX
HA and DR Architecture for HANA on Power Deck - 2022-Nov-21.PPTX
 
AviationSolutions-L1-Oct2022.PPTX
AviationSolutions-L1-Oct2022.PPTXAviationSolutions-L1-Oct2022.PPTX
AviationSolutions-L1-Oct2022.PPTX
 
Advanced Lean Training Manual Toolkit.ppt
Advanced Lean Training Manual Toolkit.pptAdvanced Lean Training Manual Toolkit.ppt
Advanced Lean Training Manual Toolkit.ppt
 
Bài Giảng Văn Hóa DN - Phần 1.ppt
Bài Giảng Văn Hóa DN - Phần 1.pptBài Giảng Văn Hóa DN - Phần 1.ppt
Bài Giảng Văn Hóa DN - Phần 1.ppt
 

Linux LPIC-3 ( PDFDrive ).pdf

  • 1. Linux LPIC-3 (examen 300) : Présentation de la formation. Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Linux LPIC-3 (examen 300) : Environnement Mixte Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Ludovic Quenec'hdu Formateur et Consultant indépendant OpenSource et virtualisation
  • 2. Plan • Présentation du formateur • Qu’est-ce que la LPIC? • La certification LPIC 3 • Le plan de formation • Publics concernés Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Publics concernés • Connaissances requises • Présentation du Lab • Liens des ressources logicielles
  • 3. A propos du formateur • Ludovic Quenec’ hdu • lquenec@gmail.com Mon profil LinkedIn : https://www.linkedin.com/pub/ludovic-quenec-hdu Mon profil Alphorm : http://www.alphorm.com/auteur/Ludovic-QUENECHDU • Formateur et consultant indépendant Logiciel libre depuis plus de 15 ans, Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© 15 ans, • Consultant en virtualisation • Consultant expert en logiciels Libre • administrateur, chef de projet, architecte et consultant • Je dispense des formations sur les logiciels libres depuis plus de 15 ans.
  • 4. A propos de la LPIC-3 • La certification Linux senior (LPIC-3) est le point culminant du programme des certifications du LPI. • Elle valide les compétences nécessaires pour la gestion à un niveau "structure ou entreprise". • développé à partir de contributions de centaines de professionnels du monde entier ainsi que celles d’entreprises parmi les plus importantes du secteur des technologies. • certification indépendante de la distribution Linux de plus haut niveau dans le monde de Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • certification indépendante de la distribution Linux de plus haut niveau dans le monde de l’entreprise. 300 Mixed Environment (remplace les 301 et 302 depuis octobre 2013) 303 Sécurité 304 Virtualisation et Haute disponibilité
  • 5. La certification LPIC LPIC 301 + 302 Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© LPIC 301 + 302 Intégration des services réseaux hétérogène Samba 3 et Samb 4 Adminstriation Openldap
  • 6. Objectifs de l’examen 300 de la LPIC-3 • Afin de réussir l’examen LPIC 3, vous devez disposer de : Plusieurs années d’expérience sur l’installation et l’administration de système Linux dans differents environnements . Connaître les niveaux de l'administration Linux, y compris l'installation, la gestion, la sécurité, le dépannage et la maintenance être capable d'utiliser des outils open-source afin de mesurer la planification des capacités et des ressources pour résoudre les problèmes Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© être capable d'utiliser des outils open-source afin de mesurer la planification des capacités et des ressources pour résoudre les problèmes Avoir une expérience professionnelle sur les outils LDAP avec les services Unix et les services Windows, y compris Samba, PAM, NSS, Active Directory. être en mesure de planifier, architecturer, designer et mettre en œuvre un environnement complet en utilisant Samba3, samba4, LDAP et Kerberos.
  • 7. Le plan de formation Concepts et architecture Les annuaires et Openldap Le protocole LDAP Le modèle de nommage Le modèle de données Le modèle fonctionnel Le modèle de sécurité Le modèle de duplication LDIF, un format d'échange de données Installation et configuration d'OpenLdap OpenLDAP en tant que base d'authentification Intégration de LDAP avec PAM et NSS Intégration de LDAP avec Active Directory et Kerberos Fondamentaux sur Samba Architecture et concepts de Samba Configuration de Samba Maintenance courante de Samba Résolution de problèmes avec Samba Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Installation et configuration d'OpenLdap Installation et configuration d'OpenLdap Gestion des utlisateurs et groupes Configuration avance d'OpenLDAP SSL/TLS Iptables SASL (ACL) dans LDAP Réplication avec OpenLDAP performances du serveur OpenLDAP Configuration des partages Samba Partages de fichiers Permissions sur le système de fichiers Linux et les partages Services d'impression Gestion des utilisateurs et des groupes Samba Gestion des comptes utilisateurs et des groupes Authentification, autorisation et Winbind
  • 8. Le plan de formation Samba et domaines Windows Samba en tant que contrôleur de domaine principal (PDC) Samba3 TDBSAM Samba en tant que contrôleur de domaine principal (PDC) Samba3 avec LDAP Samba en tant que contrôleur de domaine secondaire (BDC) SAMBA3 TDBSAM et LDAP Contrôleur de domaine compatible AD avec Samba4 Configuration de Samba en tant que serveur membre et DC du domaine Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© membre et DC du domaine gestions des clients MS windows Service de nom Samba NetBIOS et WINS Résolution de nom Active Directory Travail avec les clients Linux et Windows Intégration CIFS Conclusion Le mot de la fin
  • 9. A Propos de la formation • Public concerné Ingénieur, administrateur et technicien voulant installer, configurer, administrer et dépanner un environnement OpenLDAP/Samba et AD • Connaissances préalables au cours Avoir réussi ou suivi les formations LPIC-1, LPIC-2 Disposer d’une bonne expérience (entreprise) dans des environnements Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Disposer d’une bonne expérience (entreprise) dans des environnements hétérogènes MS windows, Linux. Gestion d’une administraton système De bonnes connaissances sur les réseaux TCP/IP De bonnes connaissances dans la gestion des utilisateurs.
  • 10. Présentation du Lab • Cette formation ne demande pas des ressources CPU/RAM extravagantes, comme peut être une formation sur la Virtualisation par exemple. • Néanmoins au cours de cette formation nous allons déployer plusieurs serveurs Linux et au moins un serveur Windows 200X et un client Windows 7/8. • Ce qui veux dire que nous aurons 4 machines virtuelles qui tournent • Il faut donc disposer de ressources suffisantes : Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Il faut donc disposer de ressources suffisantes : Un PC Core i5/7 pour la virtualisation et au moins 8Go de RAM pour déployer un serveur et client MS Windows. J’ utiliserai VirtualBox pour la virtualisation des serveurs.
  • 11. Liens des ressources logicielles • Le Wiki LPI : http://wiki.lpi.org/wiki/LPIC-3 • Samba Experience http://sambaxp.org/sambaxp-home.html Wiki Samba 3 et 4 Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Wiki Samba 3 et 4 https://wiki.samba.org/index.php/Main_Page https://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/ • Documentation Active Directory https://technet.microsoft.com/fr-fr/windowsserver/dd448614
  • 12. Are you ready ? ☺ Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 13. Concepts et architecture Les annuaires et Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Les annuaires et Openldap Ludovic Quenec'hdu Formateur et Consultant indépendant OpenSource et virtualisation
  • 14. Plan • Les annuaires • Les annuaires électroniques • Historique d’Openldap Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 15. Les annuaires • Le petit Larousse nous dit : ANNUAIRE n.m. (du lat. annuus, annuel). Ouvrage publié chaque année, donnant la liste des membres d'une profession, des abonnés à un service, etc. : Annuaire du téléphone, Botin. • L'exemple classique d'un répertoire est l’annuaire téléphonique, où les gens sont classés par ordre alphabétique et en regard leurs numéros de téléphone et adresses. Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Chaque personne (ou famille) représente alors un objet, le numéro de téléphone et l’adresse sont les attributs de cet objet. • Certains objets peuvent être aussi des entreprises, et leurs attributs peuvent alors inclure les numéros de fax ou les heures d'ouverture et diverses informations (Logo, adresse de messagerie,…). Famille de Ludo 11 rue du paradis Tel : 0033 6 78 45 24 67 Entreprise a Ludo 11 rue du paradis Tel : 0033 6 78 45 24 67 Fax : 784930202
  • 16. Les annuaires électroniques • Contrairement à son homologue imprimé, un annuaire électronique a une nature hiérarchique. • Ce qui permet aux objets d'être placés sous d'autres objets pour indiquer une relation parent-enfant. • Par exemple, le répertoire téléphonique pourrait être étendu et avoir des objets représentant des zones de la ville, chacune avec des objets personnes et entreprises se trouvant sous les objets de zone. Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© trouvant sous les objets de zone. • Les objets arrondissement se trouverait alors sous un objet ville, et qui pourrait encore se trouver sous un objet état ou province, et ainsi de suite. • Une copie imprimée serait beaucoup plus difficile à utiliser car vous auriez besoin de connaître le nom et localisation géographique, alors qu’il serait peut être plus simple de rechercher par type d’entreprise. Je cherche un plombier • En revanche, les ordinateurs sont capables de trier et rechercher des informations dans des fichiers, répertoires et bases de données, cela permet donc une structure plus évoluée.
  • 17. Les annuaires électroniques France Ile de France Provence Paris Marseille Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Paris Marseille 11e arrondissement 8e arrondissements Famille de Ludo Adresse : 7 rue du paradis Tel : 0033 6 78 45 24 67
  • 18. Les annuaires électroniques • L'utilisation d'annuaire ne se limite pas à la recherche de personnes ou de ressources. Un annuaire permet de : constituer un carnet d'adresse authentifier des utilisateurs définir les droits de chaque utilisateur Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© définir les droits de chaque utilisateur recenser des informations sur un parc matériel (ordinateurs, serveurs, leurs adresses IP et adresses MAC, ...) contenir les informations configuration des services DHCP, DNS, … décrire les applications disponibles
  • 19. Les annuaires électroniques • ils sont dynamiques : la mise à jour d'un annuaire électronique est beaucoup plus simple à réaliser que celle d'un annuaire papier. Ainsi un annuaire en ligne sera à jour beaucoup plus rapidement, d'autant plus que les personnes recensées dans l'annuaire peuvent elles-mêmes modifier les informations les concernant. • ils sont sûrs : les annuaires en ligne disposent de mécanismes d'authentification des utilisateurs grâce à un mot de passe et un nom d'utilisateur ainsi que des Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© des utilisateurs grâce à un mot de passe et un nom d'utilisateur ainsi que des règles d'accès permettant de définir les branches de l'annuaire auxquelles l'utilisateur peut accéder • ils sont souples : ils permettent ainsi de classer l'information selon des critères multiples contrairement aux annuaires papiers, imprimés une fois pour toute pour permettre de rechercher selon un critère figé (en général l'ordre alphabétique selon le nom)
  • 20. Les annuaires électroniques • On trouve beaucoup d’implémentations d’annuaires électronique. Tous ces serveurs implémentent le protocole LDAP: Apache Directory Server, Open Directory d'Apple, Critical Path Directory Server et Meta Directory Server Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© 389 Directory Server, OpenLDAP, Mandriva Directory Server offre une interface web pour administrer Samba et LDAP Oracle Directory Server Enterprise Edition, Oracle Internet Directory, IBM SecureWay Directory, IBM Directory Server, IBM Lotus Domino, IBM Tivoli Directory Server Microsoft Active Directory
  • 21. Historique d’Openldap • Le projet a débuté en 1998 sous l'impulsion de Kurt Zeilenga en prenant pour base les travaux de l'Université du Michigan où des chercheurs développaient le protocole LDAP. Parmi les autres contributeurs, il y a Howard Chu et Pierangelo Masarati. OpenLDAP Version 1 (1998) : première version publique OpenLDAP Version 2 (août 2000) : prise en charge de LDAPv3, d'IPv6, du TLS, … Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© OpenLDAP Version 2.1 (juin 2002) : OpenLDAP Version 2.2 (décembre 2003) : OpenLDAP Version 2.3 (juin 2005) : possibilité d'avoir la configuration accessible dans l'annuaire (cn=config) OpenLDAP Version 2.4 (octobre 2007) : réplication miroir et multi-maîtres; réplication Proxy Sync; extensions LDAP v3.
  • 22. OpenLDAP fournit • Un protocole de communication. • Un modèle de données • Un modèle de nommage • Un modèle fonctionnel Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • un modèle de sécurité • Un format d'échange de données, le format LDIF. • Un modèle de réplication
  • 23. Ce qu’on a couvert • Les annuaires • Les annuaires électroniques • Historique d’Openldap Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 24. Le protocole LDAP Concepts et architecture Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Le protocole LDAP Lightweight Directory acces Protocol Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Ludovic Quenec'hdu Formateur et Consultant indépendant OpenSource et virtualisation
  • 25. Plan • Lightweight Directory Access Protocol Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 26. Lightweight Directory Access Protocol • Un protocole d'accès aux données dans un annuaire. Il définit comment ajouter, modifier, supprimer, rechercher des données dans une base de données, quels protocoles de chiffrement utilisés (kerberos, ssl...), et quels mécanismes d'authentification sont utilisés. • Ce protocole est utilisé dans la relation client/serveur, mais également entre serveurs (serveur/serveur). Les BDs LDAP peuvent être dupliquer et repartie LDAP Lightweight Directory Access Protocol, issu de X.500 Directory Access Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • LDAP Lightweight Directory Access Protocol, issu de X.500 Directory Access Protocol (DAP) • Le protocole fut créé par Tim Howes de l'Université du Michigan, Steve Kille du ISODE et Wengyik Yeong de Performance Systems International en 1993
  • 27. Lightweight Directory Access Protocol • Initialement LDAP était un protocole d'accès à un annuaire X.500 avant que l'université du Michigan n'en fasse un annuaire Standalone • L'annuaire LDAP est une base de donnée organisée hiérarchiquement qui recense des données sur des objets qui peuvent être des personnes, des serveurs, des imprimantes, … • Il existe deux versions de LDAP : LDAPv2 et LDAPv3 Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Il existe deux versions de LDAP : LDAPv2 et LDAPv3 • LDAP v3 devient un standard pour l'Internet (RFC 2251) • LDAP V3 permet d’etendre les fonctionnalitées
  • 28. Lightweight Directory Access Protocol • Les messages LDAP sont codés sous une forme BER (Basic Encoding Rule) Se connecter, se déconnecter, rechercher des informations, comparer, modifier, supprimer, … • Les requêtes ont un identifiant de requête nommé numéro de séquence, qui permet au client de connaître sa réponse en cas de Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© séquence, qui permet au client de connaître sa réponse en cas de multiples réponses.
  • 29. Lightweight Directory Access Protocol • Usage d'un service d'annuaire LDAP un service d'annuaire un service d'authentification pour la messagerie, carnet d’adresses Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© pour les applications internet/intranet, certificats, configuration des applis…
  • 30. Ce qu’on a couvert • Lightweight Directory Access Protocol Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 31. Le modèle de nommage Concepts et architecture Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Le modèle de nommage Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Ludovic Quenec'hdu Formateur et Consultant indépendant OpenSource et virtualisation
  • 32. Plan • Le modèle de nommage • Le Directory Information Tree DIT • Structure de l'annuaire Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 33. Le modèle de nommage • Le modèle de nommage définit l'organisation des données et la façon d'y accéder. • Il spécifie une structure arborescente appelée le Directory Information Tree (DIT) dans laquelle on trouve des entrées. • L'arbre est composé d'entrées simples et d'alias. • Depuis LDAP v3, Les entrées d'un annuaire peuvent être réparties entre plusieurs Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Depuis LDAP v3, Les entrées d'un annuaire peuvent être réparties entre plusieurs serveurs (referall ) et peuvent etre designés de deux facons, les DN et le RDN.
  • 34. Le modèle de nommage • Il y a plusieurs approches afin d’organiser le nommage des entrées : Par pays : C=FR, C=UK Par organisation : O=ALPHORM Par nom de domaine : ALPHORM.COM DC=ALPHORM,DC=COM Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 35. Le Directory Tree, structure de l’arbre • On peut trouver pour une grande organisation : Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 36. Structure de l'annuaire, Exemples d'arbres • Dans ce cadre, le modèle LDAP peut être plat : Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 37. Structure de l'annuaire, Exemples d'arbres • Découpage pour refléter l'organisation interne : Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 38. Structure de l'annuaire, Exemples d'arbres • Découpage par type d'objet : Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 39. Structure de l'annuaire • Au sommet de l’arbre se trouve la racine ou suffixe appelé Directory Infomation Tree (DIT) • Chaque entrée a un identifiant unique, le Distinguished Name (DN). • Il est constitué à partir de son Relative Distinguished Name (RDN) suivi du DN de son parent. C'est une définition récursive. • On peut faire l'analogie avec une autre structure arborescente, les systèmes de fichiers ; le DN étant le chemin absolu et le RDN le chemin relatif à un répertoire. En règle générale le RDN d'une entrée représentant une personne est l'attribut cn (common name) : Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© DN étant le chemin absolu et le RDN le chemin relatif à un répertoire. En règle générale le RDN d'une entrée représentant une personne est l'attribut cn (common name) : dc=com dc=alphorm ou=people ou=groupe cn=ludo • Le RDN est rdn:cn=ludo, son DN est dn: cn=ludo, ou=people, dc=alphorm,dc=com
  • 40. Structure de l'annuaire • Au sommet de l’arbre on trouve donc des attributs de différents types qui constituent donc le DIT. • dc est l’abréviation de domain component (composante du domaine). • Dans notre exemple com est le top-level du domaine et alphorm est un sous domaine de com. • Ils sont alors séparés dans deux entités différentes et sont donc séparés par des virgules dans la norme X500 Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Ils sont alors séparés dans deux entités différentes et sont donc séparés par des virgules dans la norme X500 dc=alphorm, dc=com
  • 41. Structure de l'annuaire • On trouvera donc un espace de nom de type : Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • On trouve également ObjectClasss
  • 42. Ce qu’on a couvert • Le modèle de nommage • Le Directory Information Tree DIT • Structure de l'annuaire Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 43. Le modèle de données Concepts et architecture Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Le modèle de données Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Ludovic Quenec'hdu Formateur et Consultant indépendant OpenSource et virtualisation
  • 44. Plan • Modèle de données • Classes et attributs • Les schémas Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 45. Modèle de données • Définit les informations stockées dans un annuaire et leurs représentations. Les informations ou données sont stockées sous forme hiérarchique. Dans un arbre appelé Directory Information Tree (DIT), chaque élément de cet arbre est une entrée Directory Entry Service (DES), ces dernieres sont regroupés par objet. Un objet représente une abstraction du monde réel : • personnes, organisation, ressources, service Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • personnes, organisation, ressources, service • machines, configuration, équipement, … Une classe d’objet donne la description des objets en caractérisant des attributs On trouve un couple attributs –valeurs d'attributs, les attributs d'une entrée peuvent être obligatoires ou optionnels, multi-valeurs ou non. Toutes ces informations entrées sont constituées dans des schémas.
  • 46. Classes et attributs • Les attributs sont caractérisés par : Un nom qui l'identifie Un Object Identifier (OID) qui l'identifie S'il est mono ou multi-valeurs Un indicateur d'usage (facultatif/obligatoire) Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Un indicateur d'usage (facultatif/obligatoire) Une syntaxe et des règles de comparaison Un format ou une limite de taille de valeur qui lui est associé
  • 47. Classes et attributs Nom Description sn Nom de famille, dérive de l'attribut name telephoneNumber Numéro de téléphone member Membre d'un groupe. Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© attributetype ( 2.5.4.4 NAME ( 'sn' 'surname' ) DESC 'RFC2256: last (family) SUP name ) attributetype ( 2.5.4.20 NAME 'telephoneNumber' DESC 'RFC2256: Telephone Number' EQUALITY telephoneNumberMatch SUBSTR telephoneNumberSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.50{32} ) ( 2.5.6.6 NAME 'person' SUP top STRUCTURAL MUST ( sn $ cn ) MAY ( userPassword $ telephoneNumber $ seeAlso $ description ) )
  • 48. Classes et attributs • L'object Identifier est issu de X.500, il est aussi unique : Un OID est une suite de nombres séparés par des points OID Description 0 branche de l'International Télécommunication Union 1 branche ISO Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© 2 branche commune entre l'International Telecommunication Union et ISO 2.5 fait référence au service X500 2.5.4 définition des types d'attributs 2.5.6 définition des classes d'objets 1.3.6.1 the Internet OID 1.3.6.1.4.1 IANA-assigned company OIDs, used for private MIBs 1.3.6.1.4.1.4203 OpenLDAP
  • 49. Classes et attributs • Toutes les entrées de l'annuaire appartiennent à une ou plusieurs classes d'objet (héritage). • Une classe d'objet possède un nom et un ensemble d’attributs. Ces attributs peuvent être obligatoires ou optionnels • Les classes d'objets forment une hiérarchie avec au sommet l'objet top • Les noms de ces classes d’objet sont listés dans un type d'attribut multi-valué Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Les noms de ces classes d’objet sont listés dans un type d'attribut multi-valué spécial appelé ObjectClass.
  • 50. Classes et attributs • Une classe d'objet est caractérisée par : un nom de classe unique dans l'annuaire un identifiant de classe (OID) unique un ensemble d'attributs obligatoires généralement petit un ensemble d'attributs optionnels généralement plus grand Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© un ensemble d'attributs optionnels généralement plus grand un type qui peut prendre les valeurs structural, auxiliary ou abstract..
  • 51. Classes et attributs • Le type de la classe est lié à la nature des attributs : La classe structurelle correspond aux objets de bases manipulés dans l'annuaire (ex : les personnes) La classe auxiliaire définit des objets qui ajoute des informations aux classes structurelles La classe abstraite correspond à des objets particuliers comme top ou alias Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© La classe abstraite correspond à des objets particuliers comme top ou alias ( 2.5.6.0 NAME 'top' ABSTRACT MUST objectClass ) ( 2.5.6.3 NAME 'locality' SUP top STRUCTURAL MAY ( street $ seeAlso $ searchGuide $ st $ l $ description ) ) ( 2.5.6.6 NAME 'person' SUP top STRUCTURAL MUST ( sn $ cn ) MAY ( userPassword $ telephoneNumber $ seeAlso $ description ) )
  • 52. Les Schémas • Les attributs, classe d’objet sont définis dans des schémas schéma nis, schéma samba, schéma core, schéma écrit par un utilisateur On peut créer ses propres schémas pour un besoin bien spécifiques, il faut donc récupérer des OID auprès de l’IANA Samba.schema, nis.schema, core.schema, monschema.schema, … Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Samba.schema, nis.schema, core.schema, monschema.schema, …
  • 53. Les schémas attributetype ( 1.3.6.1.4.1.7165.2.1.20 NAME 'sambaSID' DESC 'Security ID‘ EQUALITY caseIgnoreIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26{64} SINGLE-VALUE ) objectclass ( 1.3.6.1.4.1.7165.2.2.11 NAME 'sambaShare' SUP top STRUCTURAL DESC 'Samba Share Section' Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© DESC 'Samba Share Section' MUST ( sambaShareName ) MAY ( description ) )
  • 54. Ce qu’on a couvert • Modèle de données • Classes et attributs • Les Schémas Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 55. Le modèle fonctionnel Concepts et architecture Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Le modèle fonctionnel Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Ludovic Quenec'hdu Formateur et Consultant indépendant OpenSource et virtualisation
  • 56. Plan • Le modèle fonctionnel • Les opérations d'authentification et de contrôle • Les opérations de recherche • Les opérations de modification Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 57. Le modèle fonctionnel • Décrit les opérations autorisées sur un annuaire LDAP. • Similaires aux opérations de manipulation des fichiers sous UNIX • Trois types d’opérations possibles : les opérations d'authentification et de contrôle les opérations recherches sur l'annuaire Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© les opérations recherches sur l'annuaire les opérations de mise à jour définissant la façon de manipuler les entrées de l'annuaire, Ajout, suppression, modification • Un numéro de séquence est attribué à chaque requête afin que le client puisse reconnaître les réponses, à chaque opération, le serveur renvoie également un acquittement.
  • 58. Les opérations d'authentification et de contrôle • LDAP définit deux opérations d'authentification bind et unbind une opération de contrôle, l'opération abandon. Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 59. Les opérations d'authentification et de contrôle • L'opération Bind L'opération bind sert à authentifier le client. Le client fournit un DN et un password. Après vérification par le serveur, le client est autorisé à se connecter on non. L'authentification peut être sécurisée avec TLS, SASL,… • Opération unbind Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Opération unbind Utilisée par le client pour se déconnecter du serveur. Le serveur termine toutes les opérations en cours, puis ferme la connexion. • Opération abandon permet au client de demander au serveur l'arrêt du traitement d'une opération. Le client fournit l'ID du message de l'opération. Le serveur arrête l’opération correspondante
  • 60. Les opérations d'interrogation • LDAP offre deux opérations d'interrogation L'opération de recherche L'opération de comparaison • Opération de recherche (search) Elle offre une recherche multi-critères sur les entrées de l'annuaire Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Elle offre une recherche multi-critères sur les entrées de l'annuaire Elle simule la fonction de lecture (recherche limitée à une entrée) • Opération de comparaison (compare) Vérifie qu'une entrée contient une valeur d'attributs donnée
  • 61. Options de recherche • Les options des commandes search et compare base object : entrée à partir de laquelle doit commencer la recherche scope : la profondeur de la recherche size limit : nombre de réponses limites time limit : temps maxi alloué pour la recherche Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© search filter : le filtre de recherche attrOnly : renvoie ou pas la valeur des attributs en plus de leur type list of attributes : la liste des attributs que l'on souhaite connaître
  • 62. La profondeur des recherches • Profondeur de recherche peut prendre trois valeurs : Base : la recherche est limitée à l'entrée désignée Onelevel : la recherche est limitée aux enfants immédiats Subtree : la recherche est limitée à l'entrée et son sous-arbre Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 63. L'expression de recherche • L'expression de recherche est un ensemble de filtres. • 6 types filtres Le filtre d'égalité : cn=Ludo Le filtre de contenance : cn=Lu*, sn=*que*, cn=Ha* Le filtre d'approximation : cn~=ludo) Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Le filtre d'approximation : cn~=ludo) Le filtre de comparaison : cn>ludo, <= , >= , < Le filtre de présence : cn=* Le filtre extensible match (LDAP v3)
  • 64. Les opérations de modifications : Add • Ajout des entrées dans l'annuaire. • Le DN de l'entrée et l'ensemble des valeurs des attributs de la nouvelle entrée. • Conditions à respecter le parent de la nouvelle entrée doit déjà exister dans l'annuaire, il n'existe pas d'entrée portant le même nom, Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© il n'existe pas d'entrée portant le même nom, le contrôle d'accès doit autoriser cette opération d'ajout.
  • 65. Les opérations de modifications : Modify • mise à jour des valeurs d'une entrée • les modifications peuvent être : des valeurs à ajouter des valeurs à supprimer des valeurs à remplacer Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Conditions à respecter l'entrée à effacer doit exister dans l'annuaire, elle ne doit pas avoir d'enfants le contrôle d'accès doit autoriser cette opération de modification
  • 66. Les opérations de modifications : Delete • Suppression d'entrées de l'annuaire. Il suffit d'indiquer le DN de l'entrée. • Conditions à respecter l'entrée à effacer doit exister dans l'annuaire, elle ne doit pas avoir d'enfants le contrôle d'accès doit autoriser cette opération de suppression Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© le contrôle d'accès doit autoriser cette opération de suppression
  • 67. Les opérations de modifications : Rename • Sert à renommer ou à déplacer une entrée • Il faut indiquer le DN de l'entrée, • Fournir le nouveau RDN ou DN • Préciser si l'ancien RDN doit être effacé ou pas • Conditions à respecter Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Conditions à respecter l'entrée à effacer doit exister dans l'annuaire, elle ne doit pas avoir d'enfants le contrôle d'accès autorise l'opération de renommage
  • 68. Ce qu’on a couvert • Modèle fonctionnel • Les opérations d'authentification et de contrôle • Les opérations de recherche • Les opérations de modification Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 69. Le modèle de sécurité Concepts et architecture Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Le modèle de sécurité Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Ludovic Quenec'hdu Formateur et Consultant indépendant OpenSource et virtualisation
  • 70. Plan • Le modèle de sécurité • L'authentification du client • Le contrôle d'accès Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 71. Le modèle de sécurité • Le modèle de sécurité assure la protection des accès non autorisés • Couvre deux aspects : l'authentification du client le contrôle d'accès aux données. • L'authentification du client peut être sécurisée Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • L'authentification du client peut être sécurisée
  • 72. L'authentification du client • LDAP propose plusieurs choix d'authentification Anonymous authentication : pas d'authentification Simple password : authentification avec mot de passe en clair Simple password over SSL : le client s'authentifie par un mot de passe transmis par SSL ou TLS. Ce choix est fait pour les annuaires nécessitant un niveau élevé de sécurité. Certificate authentication over SSL : le client s'authentifie en utilisant pleinement le Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Certificate authentication over SSL : le client s'authentifie en utilisant pleinement le protocole SSL (usage d'un certificat). SASL –Simple Authentication and Security Layer – fournit l’encryptage des données, l’authentification et la signature des messages. (kerberos)
  • 73. Le contrôle d'accès • Permet de restreindre les accès aux données pour le client authentifié • Au travers de listes de contrôle d’accès ou ACL – Access Control List • Permet de définir plusieurs niveaux de visibilité, d’écriture, de limite, de sécurité d'un annuaire Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 74. Le contrôle d'accès • Les ACL s'expriment avec des règles sous la forme : <target> <permission> <bind rule> • target : point d'entrée de l'annuaire auquel s'applique la règle • permission : permet ou refuse un type d'accès (read,write,search...) • bind rule : identifie le bindDN utilisé en connexion Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • bind rule : identifie le bindDN utilisé en connexion
  • 75. Le contrôle d'accès • Les règles peuvent s'appliquer à tout ou partie de l'annuaire, à des entrées ou attributs spécifiques • Exemple : une liste de diffusion autorisée à son seul propriétaire ! • Les permissions peuvent être appliquées Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Les permissions peuvent être appliquées aux utilisateurs, authentifié, anonymes aux groupes
  • 76. Ce qu’on a couvert • Modèle de sécurité • L'authentification du client • contrôle d'accès Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 77. Le modèle de duplication Concepts et architecture Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Le modèle de duplication Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Ludovic Quenec'hdu Formateur et Consultant indépendant OpenSource et virtualisation
  • 78. Plan • La réplication principe • Le partitionnement avec les référents (referrals servers) Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 79. La réplication principe • La réplication consiste à recopier tout ou partie du contenu d'un annuaire sur un autre serveur • La duplication est utilisée pour : Mettre en œuvre une architecture d'annuaires hautement disponible Permettre l'équilibrage de charge entre serveurs Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Rapprocher les serveurs des utilisateurs Importer des portions d'annuaire
  • 80. La réplication principe • Le service de réplication met en jeu plusieurs serveurs : les Provider servers qui exportent les données, les Consumer servers qui les importent • La replication agreement précise quels serveur est le serveur Provider Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© quels serveur est le serveur Provider quels sont ses consumers quelles sont les données échangées
  • 81. La réplication principe • La réplication peut être totale ou incrémentale • Plusieurs stratégies de réplication master réplication : un provider et des consumer en read-only, refreshOnly et refeshAndPersist multiple-master réplication, les consumers sont également Provider En cascade (les consumer deviennent des suppliers pour d'autres serveurs) Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© En cascade (les consumer deviennent des suppliers pour d'autres serveurs)
  • 82. Le partitionnement • Le partitionnement consiste à séparer les branches de l'annuaire sur plusieurs serveurs • Ce service est assuré par les referrals Les mécanismes qui permettent de créer des liens d’arbres entre eux s’appellent Les knowledge references Le point de branchement d'un arbre qui vient se raccrocher un autre DIT se nomme (immediate superior knowledge reference) Un ObjectClass permet de créer des dn vers les autres serveurs Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Un ObjectClass permet de créer des dn vers les autres serveurs Si l’objet n’est pas dans son espace de nommage, les serveurs utilisent alors Les knowledge references
  • 83. Ce qu’on a couvert • La réplication principe • Le partitionnement avec les référents (referrals servers) Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 84. LDIF, format d'échange Concepts et architecture Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© LDIF, format d'échange de données Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Ludovic Quenec'hdu Formateur et Consultant indépendant OpenSource et virtualisation
  • 85. LDIF - LDAP Data Interchange Format • LDIF - LDAP Data Interchange Format • La syntaxe • Ajout d'une entrée • Modification Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 86. LDIF - LDAP Data Interchange Format • Format standard d'échange de données entre les annuaires LDAP. • Permet de décrire des objets dans l’annuaire • Permet également de décrire la manipulation des objets dans LDAP Exporter/importer, ajout, suppression, modifications. Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • C’est un fichier simple, format texte.
  • 87. Le format • Le format • Les enregistrements sont représentés comme un groupe de couples attributs- valeurs. Chaque enregistrement est séparé d'un autre par une ligne vide. • Les attributs d'un enregistrement sont représentés sur une seule ligne logique par un couple "nom: valeur". Il est possible de représenter un attribut sur plusieurs lignes en faisant précéder les lignes supplémentaires par un espace. Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© plusieurs lignes en faisant précéder les lignes supplémentaires par un espace. • Les données sont normalement encodées en ASCII, cependant s'il n'est pas possible de représenter le caractère en ASCII, il faut utiliser l'UTF-8 encodé en base64.
  • 88. La syntaxe dn: dc=alphorm, dc=com dc: alphorm description: Serveur ldap alphorm objectClass: dcObject objectClass: organization o: Serveur alphorm dn: ou=people, dc=alphorm, dc=com Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© dn: ou=people, dc=alphorm, dc=com ou: people objectClass: organizationalUnit dn: cn=admin, ou=people, dc=alphorm, dc=com description: Administrateur LDAP objectClass: organizationalRole cn: admin
  • 89. Ajout dn: cn=Ludo Quenec,ou=people,dc=alphorm,dc=com objectclass: inetOrgPerson cn: Ludo Quenec cn: Ludovic Quenec sn: Quenec uid: lQuenec userpassword: JN78,2/@rzp carlicense: grosseVoiture Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© carlicense: grosseVoiture homephone: 555-111-2223 mail: l.Quenec@alphorm.com mail: lQuenec@alphorm.com mail: Ludo.Quenec@alphorm.com ou: Formation
  • 90. Modification dn: cn=Ludovic Quenec,ou=people,dc=alphorm,dc=com changetype: modify add: telephonenumber telephonenumber: 555-555-1212 telephonenumber: 212-135-654 replace: uid uid: rjosmith Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© uid: rjosmith Replace mail: robert.smith@example.com mail: bob.smith@example.com – add: jpegphoto jpegphoto: < file://path/to/jpeg/file.jpg delete: description
  • 91. Modification dn: cn=Ludovic Quenec,ou=people,dc=alphorm,dc=com changetype: delete dn: cn=Ludovic Quenec,ou=people,dc=alphorm,dc=com changetype: delete delete: telephonenumber Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© telephonenumber: 555-555-1212
  • 92. Ce qu’on a couvert • LDIF - LDAP Data Interchange Format • La syntaxe • Ajout d'une entrée • Modification Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 93. Installation et configuration Installation et configuration d'OpenLdap Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Installation et configuration Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Ludovic Quenec'hdu Formateur et Consultant indépendant OpenSource et virtualisation
  • 94. Plan • Installation et configuration sur une Debian/Ubuntu • Installation et configuration sur une Centos/RHEL Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 95. Installation • Compiler ? Ne pas bénéficier des updates, les versions proposées sont presque à jour Réparer un bug • Trouver les paquets : Yum search openldap; apt-cache search openldap Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Yum search openldap; apt-cache search openldap • Installer le paquets apt-get install slapd ldap-utils Yum install openldap-server openldap-client
  • 96. Configuration d’Opendap • Plusieurs possibilités de configuration sont possibles avec Openldap 2.4 • Le mode OCL OnLineConfiguration au travers de ldif • OU • Créer un fichier slapd.conf comme on faisait avant la version 2.4 • Deux méthodes proposées : Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Deux méthodes proposées : Le mode ocl sur une ubuntu 14.04 La génération d’un slapd.conf sur une centos
  • 97. Configuration sur une Debian/Ubuntu • Utiliser l’outil de configuration dpkg OU • Utiliser ldif pour la configuration : 1. Créer un fichier ldif pour le backend 2. Modifier le mot de passe du manager ldap Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© 2. Modifier le mot de passe du manager ldap 3. Ajouter le fichier ldif dans la base de données backend : • ldapadd -Y EXTERNAL -H ldapi:/// -f backend.ldif 4. Créer un fichier ldif pour le frontend : • ldapadd -Y EXTERNAL -H ldapi:/// -f frontend.ldif • ldapsearch -xLLL -b "dc=alphorm,dc=local" uid=ludo sn givenName cn
  • 98. Configuration sur une Centos/RHEL • Après une installation minimale de Centos 6.5 : 1. Installer les outils Openldap serveur, client et Kerberos pour ldap 2. Créer un fichier slapd.conf • Ajouter les schémas dans le fichier 3. Editer le fichier slapd.conf pour ajouter : Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Le suffix, le RootDN, le RootPW (généré avec slappasswd) • L’emplacement de la base de données ldap et le type de BD • Quelques acl et les fichiers de pid et d’arguments de slapd
  • 99. Configuration sur une Centos/RHEL • Apres une installation minimale de Centos 6.5 : 1. On teste le fichier de conf et on génère les base données à partir du fichier slapd.conf 2. Vérifier notre nouvelle base cn=config avec slaptest 3. Mettre en place notre nouvelle config ocl 4. Installer la Base de données bdb (berkeleyBD) avec le fichier DB_CONFIG Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© 4. Installer la Base de données bdb (berkeleyBD) avec le fichier DB_CONFIG 5. Mettre en place les options pour ldap dans sysconfig 6. Configuration de syslog pour ajouter openldap 7. On redemarre openldap et on le fichier client ldap
  • 100. Configuration sur une Centos/RHEL • On vérifie tout ca avec quelques commandes : Ldapwhoami -WD cn=admin,dc=alphorm,dc=local ldapsearch -xLLLWD cn=admin,dc=alphorm,dc=local -b cn=config dn Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 101. Ce qu’on a couvert • Installation et configuration sur une Debian/Ubuntu • Installation et configuration sur une Centos/RHEL Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 102. Gestion des utilisateurs Utilisation du serveur Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Gestion des utilisateurs et groupes Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Ludovic Quenec'hdu Formateur et Consultant indépendant OpenSource et virtualisation
  • 103. Plan • Création des branches utilisateurs et groupes • Ajout des groupes • Ajout de utilisateurs Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 104. Création des branches utilisateurs et groupes • Créer un fichier ldif et simplement ajouter les entrées dans la base dn: dc=alphorm,dc=local dc: alphorm objectClass: top objectClass: domain dn: ou=users,dc=alphorm,dc=local ou: Users objectClass: top Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© ou: Users objectClass: top objectClass: organizationalUnit description: utilsateurs Linux/Unix Posix dn: ou=groups,dc=alphorm,dc=local ou: Groups objectClass: top objectClass: organizationalUnit description: groupes Linux/Unix Posix ldapmodify -a -xWD cn=admin,dc=alphorm,dc=local -f ~/ldif/users_groups.ldif
  • 105. Ajout de groupes dn: cn=admin, ou=groups, dc=local, dc=local cn: admin objectClass: top objectClass: posixGroup gidNumber: 1100 description: Groupe des administrateurs Linux dn: cn=formateur, ou=groups, dc=local, dc=local cn: oinstall objectClass: top Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© cn: oinstall objectClass: top objectClass: posixGroup gidNumber: 500 description: Formateur Alphorm dn: cn=boss, ou=groups, dc=local, dc=local cn: dba objectClass: top objectClass: posixGroup gidNumber: 501 description: Les boss d alphorm ldapmodify -a -xWD cn=admin,dc=alphorm,dc=local -f ~/ldif/groups.ldif
  • 106. Ajouter les utilisateurs dn: cn=lquenec, ou=users, dc=alphorm, dc=local uid: lquenec gecos: Ludovic Quenec hdu objectClass: top objectClass: account objectClass: posixAccount objectClass: shadowAccount userPassword: {SSHA}RsAMqOI3647qg1gAZFfa shadowLastChange: 15140 shadowMin: 0 shadowMax: 99999 dn: cn=hamid, ou=users, dc=alphorm, dc=local uid: hamid gecos: Hamid Harabazan objectClass: top objectClass: account objectClass: posixAccount objectClass: shadowAccount userPassword: {SSHA}RsAMqOI3647qg1gAZF3x2BKBn shadowLastChange: 15140 shadowMin: 0 shadowMax: 99999 Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© shadowMax: 99999 shadowWarning: 7 loginShell: /bin/bash uidNumber: 1100 gidNumber: 1100 homeDirectory: /home/lquenec shadowMax: 99999 shadowWarning: 7 loginShell: /bin/bash uidNumber: 1101 gidNumber: 1101 homeDirectory: /home/hamid ldapmodify -a -xWD cn=admin,dc=local,dc=local -f ~/ldif/users.ldif
  • 107. Ajouter les utilisateurs • Positionnons des mots de passe pour les users : ldappasswd -xZWD cn=admin,dc=alphorm,dc=local -S cn=Hamid,ou=users,dc=alphorm,dc=local Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 108. Ce qu’on couvert • Création des branches utilisateurs et groupes • Ajout des groupes • Ajout de utilisateurs Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 109. Securité de l'annuaire Configuration avance d'OpenLDAP Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Securité de l'annuaire Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Ludovic Quenec'hdu Formateur et Consultant indépendant OpenSource et virtualisation
  • 110. Plan • Menaces sur un annuaire LDAP • Mecanisme de sécurité • SSL/TLS, Cryptographie, Les certificats • OpenSSL Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 111. Objectifs 390.2 Securité de l'annuaire • Les candidats doivent être en mesure de mettre en place un accès chiffré à l'annuaire LDAP et de restreindre les accès au niveau du pare-feu • Domaines de connaissance les plus importants : Sécurité de l'annuaire avec SSL et TLS. Considérations sur la protection par pare-feu. Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Méthodes d'accès sans authentification. Méthodes d'authentification à partir d'un compte utilisateur et d'un mot de passe. Gestion d'une base de données utilisateur SASL. Certificats client / serveur.
  • 112. Menaces sur un annuaire LDAP • Interceptions des communications et accès au serveur: accès non autorisé aux données et configuration Modification non autorisé des données et configuration Usurpation d’identités Détournement d’identités Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Dénis de service :: Utilisation en exces des ressources Refus d’acces au service
  • 113. Mecanisme de sécurité • L’operation Bind fournit une methodes simple : Anonymes Non authentifié Couple nom d’utilsateur/mots de passe Methodes SASL et TLS Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Methodes SASL et TLS
  • 114. Mecanisme de sécurité • Le liste de controle d’acces sur les données de l’annuaire Les ACLs • Les service de limitations d’utilisation des ressources Configuration du serveur Les mécanismes SSL/TLS et SASL Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Les mécanismes SSL/TLS et SASL L’authentification, l’integrité, la confidentialités • Les mécanismes de filtrage de connexion Mise en place de regle de filtrage avec un pare-feu
  • 115. L’opération Bind • Méthode d’authentification simple • La méthode d’authentification simple de l’opération Bind donne trois mécanismes d’authentification : Un mécanisme d’authentification anonyme Un mécanisme d’authentification non authentifié Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Un mécanisme d’authentification non authentifié Un mécanisme d’authentification nom/mot de passe utilisant des accréditifs consistant en un nom (sous la forme d’un nom distinctif LDAP.
  • 116. SSL/TLS • SSL/TLS : Secure Socket Layer/Transport layer Security Est une couche qui permet l’authentification, la confidentialité et l’integrité des données Peut etre appliqué a tout type de communication entre des parties • SSL/TLS : Secure Socket Layer/Transport layer Security Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • SSL/TLS : Secure Socket Layer/Transport layer Security SSL protocole mise au point par Netscape afin d’etablir des connexions chiffrés, integrité et authentifié Ajourd’hui SSL est en version 3.0 TLS est une “mise a jour” de SSL , TLS actuellement V1.2 Aujourd’hui on utilise TLS et non SSL !
  • 117. Le protocole TLS • TLS utilise à la fois la cryptographie asymétrique pour l’authentification et un chiffrement symétrique pour garantir la protection des données • Symétrique ou clé privé: Une clé privé partagé entre les utilisateurs ou applications, les données sont chiffrés avec une meme clé (secrete), cette clés est transmise avec le messages Asymétrique ou clé publique: Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Asymétrique ou clé publique: Deux clés, une dite publique et une privé Ces deux sont générés ensemble par un logiciel, la clé privé est conserver bien a l’abri, la clé publique est publié sans risque La clé publique sert a chiffrer le message et a clé privé le decrypte et inversement La clé publique est elle sur ? Les certificats
  • 118. Certifacats X509 • Un certificat est un “document” qui permet au travers d’une chaine de confiance, de certifier le proprietaire de la clé publique • Un certificat comprend une clé publique et des renseignements sur le proprietaire. Ce certificat signé avec la clé privé d’une autorité de cerification CA (Certification Authority) • Les certificats assure, si l’on a onfiance dans le CA, que le proprietaire Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Les certificats assure, si l’on a onfiance dans le CA, que le proprietaire de la clé publique ou du serveur (certificat serveur)sur lequel je me connecte est bien la personne ou le serveur. • Un certificat comprends : La version, une numéro de série unique, L’alogirithme de chiffrement, le CA, une période de validité, la personne ou la société identifié par ce derneir, la clé publique et la signature du CA
  • 119. OpenSSL • OpenSSL est une boite a outils de chiffrement • LibreSSL un “fork” d’openSSL afin de réparer la faille Heartbleed en 2014 • Voyons un peu comment mettretout cela en oeuvre ☺ Test d’openSSL Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Test d’openSSL Mise en place de certificat auto-signé avec Openldap • Generer une clé privé • Faire une requete de certificat avec la cle prive • signer le certificat (creer sa CA) • Installer les certificats dans openldap et configurer le client ldap
  • 120. Ce qu’on a couvert • Menaces sur un annuaire LDAP • Mecanisme de sécurité • SSL/TLS, Cryptographie, Les certificats • OpenSSL Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 121. Securité de l'annuaire Configuration avance d'OpenLDAP Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Securité de l'annuaire Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Ludovic Quenec'hdu Formateur et Consultant indépendant OpenSource et virtualisation
  • 122. Plan • Le pare feu : Netfilter – iptables • Le types de pare feu Routeur filtrant, filtre local • Iptables Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Routeur filtrant, filtre local Manipulation des chaînes
  • 123. Objectifs 390.2 Securité de l'annuaire • Les candidats doivent être en mesure de mettre en place un accès chiffré à l'annuaire LDAP et de restreindre les accès au niveau du pare-feu • Domaines de connaissance les plus importants : Sécurité de l'annuaire avec SSL et TLS. Considérations sur la protection par pare-feu. Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Méthodes d'accès sans authentification. Méthodes d'authentification à partir d'un compte utilisateur et d'un mot de passe. Gestion d'une base de données utilisateur SASL. Certificats client / serveur.
  • 124. Le pare feu : Netfilter – iptables • Netfilter est la pare feu livré avec le noyaux Linux 2.4 • C’est un module noyau qui permet le filtrage de paquets • Mais egalement de garder l’etat des connexions !! • Il a recu le Certificat de Sécurité de Premier Niveau (CSPN) par l'Agence nationale de la sécurité des systèmes d'information Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© nationale de la sécurité des systèmes d'information
  • 125. Iptables • Le programme iptables permet de manipuler les regles de filtrages du noyau linux • Il permet donc configurer un pare-feu • Iptables manipule un liste de regles appelées CHAINES. 5 chaines • Analyser les une a la suite des autres Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Analyser les une a la suite des autres • Les chaînes se trouvent dans des TABLES, nat, filter et mangle • Seul la table FILTER, nous interesse
  • 126. Routage filtrant • La table FILTER contient 3 chaînes : INPUT : qui rentre dans le firewall processus locaux OUTPUT : qui sort du le firewall processus locaux FORWARD : qui traverse le firewall • Chaque chaînes dispose de politiques : Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Chaque chaînes dispose de politiques : ACCEPT : les paquets sont acceptés DROP : Les paquets sont refusés sans notification REJECT : Les paquets sont refusés avec notification Ils est ainsi sur chaques chaînes d’interdire ou d’autoriser l’acces aux services
  • 127. Manipulation des chaînes • Iptables sert donc a minupiler des regles, des chaines et des tables: Iptables –A INPUT –p icmp –s 127.0.0.1 –j DROP Iptables –A OUTPUT –p tcp –sport 389 –d 0/0 –j ACCEPT Iptables –A INPUT –p tcp –dport 389 –s 0/0 –j ACCEPT Iptables –N LOG_DROP Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Iptables –N LOG_DROP Iptables –A LOG_DROP –j LOG Ipatbles –F Iptables –P INPUT DROP Iptables –A INPUT -p udp -s 0/0 -d 192.168.0.150/24 --sport 53 –j ACCEPT
  • 128. Ce qu’on a couvert • Le pare feu : Netfilter – iptables • Le types de pare feu Routeur filtrant, filtre local • Iptables Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Routeur filtrant, filtre local Manipulation des chaînes La partie de l'image avec l'ID de relation rId3 n'a pas été trouvé dans le fichier.
  • 129. SASL Configuration avance d'OpenLDAP Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© SASL Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Ludovic Quenec'hdu Formateur et Consultant indépendant OpenSource et virtualisation
  • 130. Plan • SASL Simple Authentification Security Layer • délégation d'autorisation Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 131. Objectifs 390.2 Securité de l'annuaire • Les candidats doivent être en mesure de mettre en place un accès chiffré à l'annuaire LDAP et de restreindre les accès au niveau du pare-feu • Domaines de connaissance les plus importants : Sécurité de l'annuaire avec SSL et TLS. Considérations sur la protection par pare-feu. Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Méthodes d'accès sans authentification. Méthodes d'authentification à partir d'un compte utilisateur et d'un mot de passe. Gestion d'une base de données utilisateur SASL. Certificats client / serveur.
  • 132. SASL Simple Authentification Security Layer • SASL Couche simple d’authentification et de sécurité est un framework ou couche utilisé pour l’authentification qui offre la possibilités d’externaliser cette derniere , mais egalement de chiffrer les connexions • Openldap offre la possibilites de “bind” avec sa propre base de compte. • Qu’en est il dans un environnement hétérogene avec du Microsoft Windows ou du Kerberos, des serveurs web apache, du postfix, de Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Windows ou du Kerberos, des serveurs web apache, du postfix, de l’exchange ou les bases de compte sont independantes ?
  • 133. Authentification simples • Nous avons pu voir trois methodes d’authetifcation avec openldap : • Anonyme • Non authentifie : avec un compte sans mots de passe • Authentifciation par DN et mot de passe Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Openldap offre la posssibilites de mieux gerer les mots de passe avec le ppolicy.
  • 134. SASL Simple Authentication Security Layer SASL est un framework normalise par l’iETF qui permet alors des authentifications et la securisation via des mecanisme : Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 135. Mécanismes SASL • EXTERNAL : est externalise dans une autre base. • ANONYMOUS, accès anonyme sans authentification. • PLAIN, accès avec authentification par mot de passe transmis en clair. • DIGEST-MD5, mécanisme basé sur MD5 et compatible HTTP (DIGEST-MD5 fournit une couche d’intégrité des données ; Digest-MD5 rend obsolète le mécanisme CRAM-MD5.) Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© mécanisme CRAM-MD5.) • NTLM (NT LAN Manager ; Microsoft), mécanisme d’authentification pour réseau local NT . Par ailleurs, NTLM est le protocole d'authentification utilisé par les ordinateurs qui ne font pas partie d'un domaine. • GSSAPI (Generic Security Services Application Programming Interface), pour l’authentification utilisant le protocole Kerberos 5.
  • 136. SASL Simple Authentification Security Layer • SASL est donc un framework qui permet d’interfacer des bases d’authentification avec des logiciels serveur. • LDAP SASL->AD • NTLM<>SASL <> LDAP • LDAP<>SASL<>KERBEROS Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • LDAP<>SASL<>KERBEROS • Regardons un peu comment cela fonctionne Installation de sasl Configuration Test d’autentification
  • 137. délégation d'autorisation • Test de délégation d'autorisation en digest-md5 Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 138. Ce qu’on a couvert • SASL Simple Authentification Security Layer • délégation d'autorisation Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 139. Les ACL Openldap Configuration avancé d'OpenLDAP Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Les ACL Openldap Site : http://www.alphorm.local Blog : http://www.alphorm.local/blog Forum : http://www.alphorm.local/forum Ludovic Quenec'hdu Formateur et Consultant indépendant OpenSource et virtualisation
  • 140. Plan • Les listes de controles d’accès OU QUI QUOI Mise en place des access list Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Mise en place des access list
  • 141. OU 0: dc=alphorm,dc=local 1: cn=admin,dc=alphorm,dc=local 2: ou=users, dc=alphorm,dc=local 3: cn=hamid,ou=users, dc=alphorm,dc=local 4: cn=addresses, cn=hamid,ou=users, dc=alphorm,dc=local 5: cn=vicky,ou=users, dc=alphorm,dc=local Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© dn.base="ou=users, dc=alphorm,dc=local" correspond a 2; dn.one="ou=users, dc=alphorm,dc=local" correspond a 3 et 5; dn.subtree="ou=users, dc=alphorm,dc=local " correspond a 2, 3, 4, et 5; dn.children="ou=users, dc=alphorm,dc=local " correspond a 3, 4, and 5.
  • 142. QUI * Tous le monde, inclus anonyme et utilisateurs authentifie anonymous Anonyme users utilisateurs authentifie self utilisateurs authentifie sur la cible Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© self utilisateurs authentifie sur la cible dn[.<basic-style>]=<regex> Utlisateurs correspondant a une expression reguliere dn.<scope-style>=<DN> utilisateurs authentifie avec son « scope » DN
  • 143. QUOI none =0 Pas access auth =dx Demande d’authentification(bind) search =scdx Recherche read =rscdx Lecture Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© read =rscdx Lecture write =wrscdx Ecriture manage =mwrscdx Administratation
  • 144. Quelques exemples • olcAccess: to * by * read : Lecture pour tous le monde sur tout ls DIT • olcAccess: to dn.children="dc=alphorm,dc=local " by * search olcAccess: to dn.children="dc=local" by * read • olcAccess: to attrs=userPawword by self write • olcAccess: to dn.subtree="dc=alphorm,dc=local" by self write by Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • olcAccess: to dn.subtree="dc=alphorm,dc=local" by self write by dn.children="dc=alphorm,dc=local" search by anonymous auth
  • 145. Mise en place des access list • Avec ldapvi : olcAccess: {0}to attrs=userPassword by dn.base=cn=admin,dc... Self write olcAccess: {1}to dn.children="dc=alphorm,dc=local" by * search olcAccess: {2}to dn.children=« dc=alphorm,dc=loca" by * read • En ldif : changetype: modify Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© changetype: modify delete: olcAccess olcAccess: to dn.children="dc=alphorm,dc=local" by * search - add: olcAccess olcAccess: to dn.children="dc=alphorm,dc=local" by * write
  • 146. Ce qu’on a couvert • Les listes de controles d’accès OU QUI QUOI Mise en place des access list Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Mise en place des access list
  • 147. Réplication Openldap Configuration avancé d'OpenLDAP Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Réplication Openldap Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Ludovic Quenec'hdu Formateur et Consultant indépendant OpenSource et virtualisation
  • 148. Plan • La réplication sous OpenLDAP Réplication maître esclave Réplication multi-master Mise en place Test de la replication Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Test de la replication
  • 149. Objectifs 390.1 Réplication avec OpenLDAP • Les candidats doivent bien connaître les différentes stratégies de réplication serveur disponibles avec OpenLDAP. • Domaines de connaissance les plus importants : Concepts autour de la réplication. Configuration de la réplication avec OpenLDAP. Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Analyse des journaux de réplication. Compréhension des concentrateurs de réplication (replica hub). Referrals LDAP. LDAP sync replication.
  • 150. La réplication sous OpenLDAP • La réplication d’annuaire consiste à synchroniser plusieurs annuaires répartis sur le réseau. • “slurpd”, était anciennement le démon de réplication sous openldap depuis les versions 2.4.X. OpenLDAP utilisent l’overlay (le module) “syncprov” pour la réplication Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Deux modes de réplication sont disponibles : le mode maître esclave (dans le protocole le maître est nommé “provider” et l’esclave “consumer”), le mode multi-master.
  • 151. Réplication maître esclave • Deux modes de configuration maitre esclave pour la réplication : le mode “refreshOnly” ou le consumer initie une connexion à intervalle régulier avec le provider. le mode “refreshAndPersist” ou le consumer initie une connexion avec le maître pour la première synchronisation, puis conserve la connexion ouverte Ce mode permet une synchronisation immédiate entre le provider et le Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Ce mode permet une synchronisation immédiate entre le provider et le consumer
  • 152. Réplication multi-maître • Cette méthode est indentique au mode réplication maitre esclave. • En revanche il n y a pas de notion de maitre esclave • Le consumer et également le provider et le provider et également le consumer Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 153. Mise en place de la replication • Tous d’abord nous devons disposer de deux annuaires ldap ! • Depuis la version 2.4 d’openldap la synchronisation est prise en charge par un module (overlay) syncprov • Mise en place • Sur le provider Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Sur le provider Déclaration du module dans syncpro dans la base Configuration du module sur le provider Création de l’utilisateur pour la réplication • Sur le consumer Declaration du mode de replicationRefreshOnly ou RefreshAndPersist
  • 154. Mise en place de la replication Provider • Sur le provider Déclaration du module dans syncpro dans la base dn: cn=module{0},cn=config objectClass: olcModuleList cn: module{0} Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© cn: module{0} olcModuleLoad: {0}back_bdb olcModuleLoad: {1}syncprov olcModulePath: /usr/lib64/openldap
  • 155. Mise en place de la replication Provider Configuration du module sur le provider dn: olcOverlay={0}syncprov,olcDatabase={2}bdb,cn=config objectClass: olcOverlayConfig objectClass: olcConfig objectClass: top objectClass: olcSyncProvConfig Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© objectClass: olcSyncProvConfig olcOverlay: {0}syncprov olcSpCheckpoint: 100 10 olcSpSessionlog: 100
  • 156. Mise en place de la replication Provider • Création de l’utilisateur pour la réplication dn: cn=replicator,dc=alphorm,dc=local objectClass: simpleSecurityObject objectClass: organizationalRole cn: replicator description: replicator Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© description: replicator userPassword: {SSHA}bFi6lbr/fxb49jV3NkHxIMboF4NBK3NY
  • 157. Mise en place de la replication Consumer • Declaration du mode de replicationRefreshOnly dn: olcDatabase={2}bdb,cn=config add: olcSyncrepl olcSyncrepl:{0}rid=123 provider=ldap://master.alphorm.local type=refreshOnly interval=00:00:00:10 Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© interval=00:00:00:10 searchbase="dc=alphorm,dc=local" retry="5 5 300 +" schemachecking=off attrs="*,+" bindmethod=simple binddn="cn=replicator,dc=alphorm,dc=local" credentials=traxdem
  • 158. Mise en place de la replication Consumer • Declaration du mode de replicationRefreshOnly ou RefreshAndPersist dn: olcDatabase={2}bdb,cn=config add: olcSyncrepl olcSyncrepl:{0}rid=123 provider=ldap://master.alphorm.local type=refreshAndPersist interval=00:00:00:10 Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© interval=00:00:00:10 searchbase="dc=alphorm,dc=local" retry="5 5 300 +" schemachecking=off attrs="*,+" bindmethod=simple binddn="cn=replicator,dc=alphorm,dc=local" credentials=traxdem
  • 159. Niveau de log slapd • Modification du niveau de log a chaud en ldif dn: cn=config changetype: modify replace: olcLogLevel olcLogLevel: sync Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 160. Test de la replication • Creation d’utlisateurs sur le provider • Verification sur le consumer • Voila ☺ Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 161. Ce qu’on a couvert • La réplication sous OpenLDAP Réplication maître esclave Réplication multi-master Mise en place Test de la replication Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Test de la replication
  • 162. Paramétrage des performances Configuration avancé d'OpenLDAP Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Paramétrage des performances Site : http://www.alphorm.local Blog : http://www.alphorm.local/blog Forum : http://www.alphorm.local/forum Ludovic Quenec'hdu Formateur et Consultant indépendant OpenSource et virtualisation
  • 163. Plan •Les index Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 164. • Les candidats doivent être en mesure d'évaluer les performances d'un serveur LDAP et de le paramétrer. • Domaines de connaissance les plus importants : Compréhension des index. 390.3 Paramétrage des performances Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Mesure des performances du serveur OpenLDAP. Règlage de la configuration du serveur pour améliorer les performances.
  • 165. Les index • A chaque requete Openldap, ouvre la base de données et scan toutes les entrées de l’annuaire. • Indexer des attributs permet donc d’ameliorer les requetes de recherches • Plusieurs options pour indexer les attributs : Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© pres : presence. Type de recherche attribut=* eq : equality. Type de recherche cn=ludo sub : substring. Type de recherche avec un jocker : uid=lud* approx : approximation. recherche de type uid~=Lu
  • 166. Quelles attributs indexer • Dans les logs #tail -f /var/log/slapd.log |grep indexed <= bdb_equality_candidates: (objectClass) not indexed <= bdb_substring_candidates: (uid) not indexed • Ou sont les attributs indexés : Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Ou sont les attributs indexés : Dans olcDatabase={1}bdb Accessible par : ldapsearch, ldapvi ou un grep olcDbIndex dans le olcDatabase={1}bdb.ldif
  • 167. Ajouter et modifications des index • Avec OnLineConfiguration dans l’entré : olcDatabase={1}dbd,cn=config dn: olcDatabase={1}bdb,cn=config add: olcDbIndex olcDbIndex: uid eq olcDbIndex: cn eq,sub Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© olcDbIndex: cn eq,sub dn: olcDatabase={1}bdb,cn=config changetype: modify delete: olcDbIndex olcDbIndex: uid eq - add: olcDbIndex olcDbIndex: uid eq,pres,sub
  • 168. Indexer les attributs • A chaque modifications ou régulierement, on doit recalculer les index #service slpad stop #slapindex –b ‘dc=alphorm,dc=local’ #service slapd start Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 169. Ce qu’on a couvert •Les index Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 170. OpenLDAP en tant que base d'authentification Intégration de LDAP avec PAM Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Intégration de LDAP avec PAM et NSS Ludovic Quenec'hdu Formateur et Consultant indépendant OpenSource et virtualisation
  • 171. Plan • PAM, NSS et NSLCD • Installation • Configuration des services pour ldap sur Ubuntu/Debian • Configuration des services pour ldap sur CentOs/Redhat • Testons tout cela ☺ Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Testons tout cela ☺
  • 172. Objectifs 391.1 : Intégration de LDAP avec PAM et NSS et SSSD • Les candidats doivent être en mesure de configurer PAM et NSS pour qu'ils récupèrent les informations à partir d'un annuaire LDAP • Domaines de connaissance les plus importants : Configuration de PAM pour une authentification LDAP. Configuration de NSS pour récupérer les informations à partir de LDAP. Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Configuration des modules PAM dans les différents environnements Unix.
  • 173. PAM, NSS et NSLCD • Le mécanisme NSS Name Service Switch assure l’aiguillage de l'accès à ces attributs entre les fichiers locaux et les différents services réseau. • PAM est un mécanisme qui permet d'intégrer différents modes d'authentification en les rendant transparents vis à vis de l'utilisateur et des logiciels qui accèdent aux ressources du système. • PAM sépare les tâches d'authentification en quatre groupes de gestion indépendants : Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • PAM sépare les tâches d'authentification en quatre groupes de gestion indépendants : account : fournit une vérification des types de service du compte utilisateur : utilisateur a-t-il le droit d'accéder au service demandé ? le mot de passe de l'utilisateur a expiré authentication : établit la correspondance entre l'utilisateur et celui pour lequel il prétend être, vous devrez entrer votre mot de passe (carte a puce, USB...) Password : est de mettre à jour les mécanismes d'authentification session :ce qui doit être fait en priorité pour un service donné, journalisation, montage du répertoire personnel
  • 174. Nslcd et SSSD • Le service NSLCD Name Service Ldap Configuration Deamon est un service pour la communication entre ldap et NSS, permet également le positionnement de filtre (interdiction de uid, gid) • Depuis les versions 6 de Redhat, Centos. Le nss et pam-ldap est remplacé par SSSD System Security Services Daemon Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 175. Installation • Sur une nouvelle machine cliente Debian ou Centos • Les paquets libnss-ldap libpam-ldap ou libnss-ldapd sous Debian…. La procédure d’installation inclus la configuration des services • Les paquets nss-pam-ldapd sous Centos Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 176. Configuration des services pour ldap sur Ubuntu/Debian • Deux modes de configuration 1. Avec les outils auth-client-config et ldap-auth-config • Avec la commande dpkg-reconfigure libnss-ldap libpam-ldap 2. Au travers de fichiers de configuration • Ajouter de ldap dans /etc/nsswitch.conf Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© - passwd: compat ldap, group: compat ldap, shadow: compat ldap • Ajouter la librairie pam_ldap dans /etc/pam.d/ - common-account, common-password, common-session
  • 177. Les paquets nss-pam-ldapd pam_ldap sous Centos • Comme pour Debian/Ubuntu deux modes de configuration • Avec l’ outil authconfig-... • Avec les fichiers de configurations a modifier - /etc/openldap/ldap.conf - /etc/nslcd.conf Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© - /etc/nsswitch.conf - /etc/pam_ldap.conf - /etc/pam.d/{system-auth-ac}
  • 178. Testons tout cela ☺ • La commande getent permet de récupérer les utilisateurs et groupes a partir des bases de données précisé dans nss Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 179. Ce qu’on a couvert • PAM, NSS et NSLCD • Installation • Configuration des services pour ldap sur Ubuntu/Debian • Configuration des services pour ldap sur CentOs/Redhat • On a testé Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • On a testé
  • 180. OpenLDAP en tant que base d'authentification Intégration OpenLDAP kerberos Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Intégration OpenLDAP kerberos Ludovic Quenec'hdu Formateur et Consultant indépendant OpenSource et virtualisation
  • 181. Plan • Comprendre le SSO • Comprendre Kerberos • Mise en œuvre de kerberos et Openldap • Comprendre Active Directory Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Intégration Openldap et Active Directory via SASL
  • 182. Objectifs 391.2 Intégration de LDAP avec Active Directory et Kerberos • Les candidats doivent être en mesure d'intégrer LDAP avec les services Active Directory. • Domaines de connaissance les plus importants : Intégration de Kerberos avec LDAP. Authentification multi-plateformes. Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Concepts de l'authentification unique (Single Sign-On). Intégration et limites de compatibilité entre OpenLDAP et Active Directory.
  • 183. Comprendre le SSO • Lorsque les utilisateurs accède a des services de type différents, comme par exemple la messagerie, l’ouverture de session MS Windows, des applications de Base de données, des outils de gestion informatique, .. • Ils doivent fournir des identifiants de différents types. • Le SSO Single Sign On permet aux administrateurs de centralisés les informations d’authentification afin d’accéder a différents services. Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© informations d’authentification afin d’accéder a différents services. • Les utilisateurs ne se « logue » plus qu’une fois et accedent aux differents services • Simplicité pour l’utilisateur, Simplicité pour les administrateurs pour gerer les authentification et les mise en place de regle d’accès aux services. • Le service est centralisé, faiblesse de sécurité, accès a un service donne accès a tout les services.
  • 184. Comprendre Kerberos • Le SSO avec Kerberos • Protocole développé au MIT dans le cadre du projet Athena au début des années 1980 • Permet l’authentification forte a des services dit “kerbérisé” • Standarisé par 2 RFC : RFC 1510 et RFC 1964 Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Standarisé par 2 RFC : RFC 1510 et RFC 1964 • Kerberos est aujourd’hui en version 5. • A la base de l’authentification MS Windows 200X • Kerberos permet l’authentification des utilisateurs et gère ensuite l’accès aux différents services.
  • 185. Royaume Kerberos • L’architecture Kerberos est constituée de serveurs Kerberos, d’utilisateurs, de postes de travail et de serveurs hébergeant des services, le tout rassemblés dans un ROYAUME kerberos (REALM) Les “principals” Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Les “principals” Le KDC – Key Distribution Center – Centre de Distributions des Clés
  • 186. Architecture Kerberos Les principals : Un utilisateur, un client, un serveur • nom/instance@KRB-REALM • ldap/master.alphorm.com@ALPHORM.COM • ludo/admin@ALPHORM.COM • host/client.alphorm.com@ALPHORM.COM Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • host/client.alphorm.com@ALPHORM.COM Chaque principal dispose de clés secretes • Mot de passe pour les utilisateurs • Fichier keytab pour les serveurs et hôtes
  • 187. Architecture Kerberos • Le service Kerberos est constitué de plusieurs entités regroupé dans un KDC – Key Distribution Center Un serveur d’authentification AS • Contient une base de données avec les utilisateurs, les services et leur clés associés Module kadmin d’administration, utilisateurs, services, hôtes, ACL, Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Module kadmin d’administration, utilisateurs, services, hôtes, ACL, methode de chiffrement, ... Un service de délivrement de Ticket TGS • fournit l’accès au services “kerbérisé”
  • 188. Principes de fonctionnement • Afin d’acceder aux services “Kerbérises” un utilisateur obtient un ticket d’accès aupres du KDC (TGT –Ticket Granting Ticket) Commande kinit ludo/admin@ALPHORM.LOCAL • Avec le TGT le client envoie une demande de ticket auprès du TGS Klist pour visualiser les tickets Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Klist pour visualiser les tickets le client inclue l’indentifiant du service demandé et le TGT obtenue du KDC • Le TGS vérifie la validité du TGT et envoie alors les informations d’accès au service • Le TGT permet donc à l’utilisateur authentifié de récupérer des tickets d’accès aux services auprès du TGS
  • 189. Principe de fonctionnement 1 2 TGT 3 Demande de ST 4 ST Service Autorité Ticket Grant Service Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Connexion 5 Demande d ’accès au service 6 Validation Service SSH/SGBD/ LDAP/PRINTER/...
  • 190. Principes de fonctionnement • Repose sur la notion de ticket • S’appuie sur des clés secrètes symétrique, toutes les informations, ticket sont chiffrés, pas de mots de passe sur le réseaux • Mécanisme anti-rejeux, validité des tickets Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Mécanisme anti-rejeux, validité des tickets • Authentification mutuelle
  • 191. Notionde ticket • Un ticket est constitué en deux partie : chiffrée claire. • Les tickets servent à authentifier les requêtes des principaux (client/serveur/service) Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© (client/serveur/service) • Deux type de Tickets : Ticket Granting Ticket (TGT) Service Ticket (ST)
  • 192. Les services Kerbérisés • Certains services sont kerbérisés : Kssh, krlogon, Active Directory • Certains services ne sont pas kerbérisés”, il faut donc utliser des librairies (couches) qui vont permettre de convertir l’authentification • SASL fournit des mecanisme d’authentification a des services (LDAP) : Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • SASL fournit des mecanisme d’authentification a des services (LDAP) : DISGEST-MD5, GSSAPI, KERBEROS • SASL via GSSAPI permet a OpenLdap de se “kerbériser”
  • 193. Mise en œuvre de kerberos et Openldap Kerberos Service LDAP AS/TGS Client Linux/ServeurSSH Nslcd-pam Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© LDAP Compte utilsateur/compte kerberos
  • 194. Mise en œuvre de kerberos et Openldap • Afin d’utiliser Kerberos avec un serveur Openldap, plusieurs étapes • Installer ntp sur les differents postes • Installer kerberos server ldap • Vérification du schémas ldap pour kerberos Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • Créer un conteneur ou=services pour les principaux Kerberos • Configurer le serveur Kerberos /etc/krb5.conf /var/kerberos/krb5kdc/kadm5.acl /var/kerberos/krb5kdc/kdc.conf
  • 195. Mise en œuvre de kerberos et Openldap • Créer les entrées kerberos dans le serveur Opendap kdb5_ldap_util -D "cn=admin,dc=alphorm,dc=local" create -subtrees "ou=kerberos,ou=services,dc=alphorm,dc=local" -r ALPHORM.LOCAL –s • Création du répertoires de stockage des password et extraire le password de l’admin kerberos Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© • kdb5_ldap_util -D "cn=admin,dc=alphorm,dc=local" stashsrvpw -f /etc/krb5.d/stash.keyfile cn=krbadmin,ou=services,dc=alphorm,dc=local • Positionnons des ACLs LDAP pour l’utilisateur krbadmin ldapmodify -H ldapi:/// -f ~/ldap/kerberos.krbadmin.acl.ldif
  • 196. Mise en œuvre de kerberos et Openldap • Testons le acl ldapsearch -xZLLLWD cn=krbadmin,ou=users,dc=alphorm,dc=local -b ou=kerberos,ou=services,dc=alphorm,dc=local dn • On démarre les services kerberos Service krb5kdc start Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Service krb5kdc start Servce kadmin start netstat -alnt | egrep ':88|:464|:749'
  • 197. Mise en œuvre de kerberos et Openldap • Création des principaux et gestion des clés Kadmin.local Addprinc –rankey host/master.alphorm.local@ALPHORM.LOCAL ktadd host/master.alphorm.local@ALPHORM.LOCAL Addprinc lquenec@ALPHORM.LOCAL Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Addprinc lquenec@ALPHORM.LOCAL Addprinc lquenec/admin@ALPHORM.LOCAL List_principals | getprincs Getrpincs host/master.alphorm.local@ALPHORM.LOCAL klist -ek /etc/krb5.keytab
  • 198. Mise en œuvre de kerberos et Openldap • Testons kerberos avec un client et serveur ! Installation et configuration du client krb5-workstation • yum -y install krb5-workstation pam_krb5 • vi /etc/krb5.conf Création du principal pour le serveur SSH Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Création du principal pour le serveur SSH • Kadmin –p lquenec/admin@ALPHORM.LOCAL • Addprinc –randkey host/sshd.alphorm.local@ALPHORM.LOCAL • Ktadd host/sshd.alphorm.local@ALPHORM.LOCAL
  • 199. Mise en œuvre de kerberos et Openldap • Configuration de sshd pour Kerberos • Vi /etc/ssh/shhd_config • On creer un principal pour un utilsateur kadmin -p lquenec/admin@ALPHORM.LOCAL Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© kadmin: addprinc test.user@ALPHORM.LOCAL Kdestroy Kinit –p test.user@ALPHORM.LOCAL Klist ssh test.user@ssh.alphorm.local
  • 200. Mise en œuvre de kerberos et Openldap • Configuration SASL GSSApI OpenLDAP • Ajout d’un principal pour le serveur ldap Kadmin lquenec/admin Addprinc –rankey ldap/master.alphorm.local@ALPHORM.LOCAL Ktadd –k /etc/openldap/krb5.keytab ldap/master.alphorm.local@ALPHORM.LOCAL Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Ktadd –k /etc/openldap/krb5.keytab ldap/master.alphorm.local@ALPHORM.LOCAL • Permissions sur la clé Kadmin lquenec/admin • Installation de Cyrus-sasl-gssapai yum -y install cyrus-sasl-gssapi ldapsearch -LLLY EXTERNAL -H ldapi:/// -b cn=config -s base | grep -i sasl
  • 201. Mise en œuvre de kerberos et Openldap • Configuration de sasl dans OpenLDAP vi ~/ldap/sasl.ldif ldapsearch -LLLY EXTERNAL -H ldapi:/// -b cn=config -s base | grep -i sasl vi /etc/sysconfig/ldap /etc/init.d/nslcd stop Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© /etc/init.d/nslcd stop /etc/init.d/slapd restart /etc/init.d/nslcd start vi /etc/openldap/ldap.conf Klist , kinit –p lquenec@ALHPRM.LOCAL ldapwhoami
  • 202. Ce qu’on a couvert • Objectifs 391.2 Intégration de LDAP avec Active Directory et Kerberos • Comprendre le SSO • Comprendre Kerberos • Mise en œuvre de kerberos et Openldap Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 203. OpenLDAP en tant que base d'authentification Intégration OpenLDAP Active Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Intégration OpenLDAP Active Directory Ludovic Quenec'hdu Formateur et Consultant indépendant OpenSource et virtualisation
  • 204. Plan • Introduction • Client LDAP et Microsoft Active Directory • SASL avec Microsoft Active Directory • Intégration Openldap et Active Directory via SASL Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 205. Objectifs 391.2 Intégration de LDAP avec Active Directory et Kerberos • Les candidats doivent être en mesure d'intégrer LDAP avec les services Active Directory. • Domaines de connaissance les plus importants : Intégration de Kerberos avec LDAP. Authentification multi-plateformes. Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Concepts de l'authentification unique (Single Sign-On). Intégration et limites de compatibilité entre OpenLDAP et Active Directory.
  • 206. Introduction Microsoft AD DC=ad-alphorm,DC=local Bind ldap Cn=toto,ou=users,dc=alphorm,dc=local 1 Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© OpenLDAP SASL dc=alphorm,dc=local 2 Cn=toto userPassword: {SASL}toto@ad-alphorm.local 3 4 5
  • 207. OpenLDAP et Active Directory • Client LDAP et Microsoft Active Directory Simple ldapsearch pour vérifier • SASL avec Microsoft Active Directory Configuration SASL pour lier l’AD Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Configuration SASL pour lier l’AD • Intégration Openldap et Active Directory via SASL Configuration d’Openldap pour récupérer les mots de passe utilisateurs.
  • 208. Ce qu’on a couvert • Introduction • Client LDAP et Microsoft Active Directory • SASL avec Microsoft Active Directory • Intégration Openldap et Active Directory via SASL Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 209. Architecture et concepts Fondamentaux sur Samba Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Architecture et concepts de Samba Site : http://www.alphorm.com Blog : http://www.alphorm.com/blog Forum : http://www.alphorm.com/forum Ludovic Quenec'hdu Formateur et Consultant indépendant OpenSource et virtualisation
  • 210. Plan • Les objectifs 392.1 : Architecture et concepts de Samba • Le rôle des services et des composants de Samba • Les ports TCP et UDP clés utilisés par SMB/CIFS, NetBios, ADS • Samba 3 vs Samba 4 Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™©
  • 211. Les objectifs 392.1 : Architecture et concepts de Samba • Etre en mesure de comprendre les concepts essentiels de Samba. De plus, les candidats doivent connaître les différences principales entre Samba3 et Samba4 • Domaines de connaissance les plus importants : Compréhension du rôle des services et des composants de Samba. Compréhension des problèmes clés liés aux réseaux hétérogènes. Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© Compréhension des problèmes clés liés aux réseaux hétérogènes. Connaissance des ports TCP et UDP clés utilisés par SMB/CIFS. Connaissance des différences entre Samba3 et Samba4.
  • 212. Le rôle des services et des composants de Samba • Samba est une suite de logicielle développée depuis 1991 par un étudiant Australien Andrew Tridgell qui avait besoin de monter des partages SMB sur sa machine Unix. • Samba permet donc la communication entre les réseaux Microsoft LanManager (Windows NT) et les domaines Active Directory. Il peut être Contrôleur de domaine, Contrôleur de domaine secondaire, membre d’un domaine, serveur membre, serveur autonome… Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© domaine, serveur membre, serveur autonome… Permettre le partage d’arborescences de répertoires et d’imprimantes à la disposition de clients Linux, UNIX et Windows. Fournir la résolution du serveur de noms Windows Internet Name Service (WINS) Aider lors de la navigation du voisinage réseau (avec ou sans NetBIOS) •
  • 213. Le rôle des services et des composants de Samba • Samba mets en œuvre plusieurs services et protocoles : NetBios sur TCP/IP, SMB/CFIS, les RPC • NetBIOS over TCP/IP utilise les ports : 135 Service de localisation utilisé par les appels de procédure à distance. RPC 137 netbios-ns - NETBIOS Name Service Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© 137 netbios-ns - NETBIOS Name Service 138 netbios-dgm - NETBIOS Datagram Service 139 netbios-ssn - Directory
  • 214. Le rôle des services et des composants de Samba • Samba est composé de trois démons smbd, nmbd, winbind et deux services smb et winbind : • SMBD : Il fournit des services de partage de fichiers et d'impression aux clients Windows. Il est responsable de l'authentification des utilisateurs, du verrouillage des ressources et du partage des données par le biais du protocole SMB/CIFS. Prend en charge également le protocole SMB 3 Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© le protocole SMB 3 Le service écoute sur les ports : TCP 139 : TCP NetBIOS Session (TCP), Windows File and Printer Sharing TCP 445 : Microsoft-DS Active Directory, Windows shares
  • 215. Le rôle des services et des composants de Samba • NMBD : Le démon serveur nmbd comprend et répond à toutes les requêtes de service de nom NetBIOS telles que celles produites par SMB/CIFS dans des systèmes basés sur Windows. Parmi ces derniers figurent les clients Windows 95/98/ME, Windows NT, Windows 2000, Windows XP et LanManager. Ce démon joue également un rôle au niveau des protocoles de navigation qui constituent l'affichage du voisinage réseau (Network Neighborhood) de Windows Linux LPIC-3 (examen 300) : Environnement Mixte alphorm.com™© constituent l'affichage du voisinage réseau (Network Neighborhood) de Windows Le port par défaut sur lequel le serveur attend du trafic NMB est le port UDP 137 : NetBIOS name service