Fichiers OpenLDAP

Editer /etc/openldap/slapd.conf

Le fichier slapd.conf, qui se trouve dans /etc/openldap, contient les informations de configuration nécessaires à votre serveur LDAP slapd. Il vous faudra éditer ce fichier pour le rendre spécifique à vos domaine et serveur.

La ligne de suffixe nomme le domaine pour lequel le serveur LDAP fournira les informations. La ligne de suffixe devrait être changée depuis :

suffix          "dc=your-domain, dc=com"

il reflète votre nom de domaine. Par exemple :

suffix          "dc=acmewidgets, dc=com"

ou

suffix          "dc=acmeuniversity, dc=edu"

L'entrée rootdn est le nom de domaine pour un utilisateur non restreint par les paramètres de contrôle d'accès ou de limite administrative définis pour les opérations sur l'annuaire LDAP. On peut se représenter l'utilisateur rootdn comme l'utilisateur root pour l'annuaire LDAP. La ligne rootdn doit être modifiée de :

rootdn          "cn=root, dc=your-domain, dc=com"

en quelque chose comme :

rootdn          "cn=root, dc=redhat, dc=com"

ou

rootdn          "cn=ldapmanager, dc=my_organization, dc=org"

Modifiez la ligne rootpw de :

rootpw          secret

en quelque chose comme :

rootpw          {crypt}s4L9sOIJo4kBM

Dans l'exemple ci-dessus, vous utilisez un mot de passe root crypté, ce qui vaut beaucoup mieux que de laisser un mot de passe root en texte en clair dans le fichier slapd.conf. Vous pouvez utiliser Perl pour créer cette chaîne cryptée :

perl -e "print crypt('passwd','a_salt_string');"

Dans la ligne Perl précédente, salt_string est une chaîne salt de deux caractères, et passwd est la version en texte en clair du mot de passe.

Vous pourriez également copier une entrée passwd de /etc/passwd, mais ceci ne fonctionnera pas si l'entrée passwd est un mot de passe MD5 (valeur par défaut dans Red Hat Linux 7.1).

Le répertoire schema

Nouveauté de OpenLDAP version 2, le répertoire schema contient les différentes définitions LDAP, précédemment situées dans les fichiers slapd.at.conf et slapd.oc.conf. Toutes les définitions de syntaxe d'attribut et les définitions de classe d'objets se trouvent maintenant dans les différents fichiers schéma. Les différents fichiers schéma sont référencés dans /etc/openldap/slapd.conf en utilisant les lignes include, comme le montre l'exemple suivant :

include		/etc/openldap/schema/core.schema
include		/etc/openldap/schema/cosine.schema
include		/etc/openldap/schema/inetorgperson.schema
include		/etc/openldap/schema/nis.schema
include		/etc/openldap/schema/rfc822-MailMember.schema
include		/etc/openldap/schema/autofs.schema
include		/etc/openldap/schema/kerberosobject.schema

	Attention
	Ne modifiez aucun des éléments schéma définis dans les fichiers schéma installés par OpenLDAP.

Vous pouvez étendre le schéma utilisé par OpenLDAP pour prendre en charge des types d'attributs et classes d'objets supplémentaires, en utilisant comme guide les fichiers schéma de défaut. Pour ce faire, créez un fichier local.schema dans le répertoire /etc/openldap/schema. Référencez ce nouveau schéma dans slapd.conf, en ajoutant la ligne suivante sous vos lignes schéma de défaut :

include		/etc/openldap/schema/local.schema

Ensuite, définissez vos nouveaux types d'attributs et classes d'objets dans le fichier local.schema. De nombreuses organisations utilisent des types d'attributs et classes d'objets existants dans les fichiers schéma installés par défaut, et les modifient pour les utiliser dans le fichier local.schema. Ceci peut vous aider à apprendre la syntaxe de schéma tout en répondant aux besoins immédiats de votre organisation.

Ce chapitre a pour but de vous montrer comment étendre les schémas pour répondre à certaines nécessités spécifiques. Pour plus d'informations sur l'écriture de nouveaux fichiers schéma, consultez http://www.openldap.org/doc/admin/schema.html.