https://wiki.zionetrix.net/ 2026-04-21T21:46:20+00:00 https://wiki.zionetrix.net/ https://wiki.zionetrix.net/_media/wiki:dokuwiki.svg text/html 2025-06-30T08:31:42+00:00 Anonymous (anonymous@undisclosed.example.com) https://wiki.zionetrix.net/informatique:reseau:ldap:accesslog?rev=1751272302&do=diff Module accesslog Ce module permet d'historiser les actions effecutés sur une base LDAP dans une autre base LDAP dédiée. Il est possible, via des paramètres de configuration de choisir quelles actions sont historisées (modification, recherche, bind, text/html 2026-04-01T14:35:50+00:00 Anonymous (anonymous@undisclosed.example.com) https://wiki.zionetrix.net/informatique:reseau:ldap:auth_kerberos?rev=1775054150&do=diff Authentification Kerberos (SASL GSSAPI) Installation On installe le paquet krb5-user pour avoir les commandes utiles : apt-get install krb5-user On crée ensuite le fichier /etc/krb5.conf : [libdefaults] default_realm = DOMAIN.TLD dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 24h renew_lifetime = 7d forwardable = true [realms] DOMAIN.TLD = { kdc = AD1.DOMAIN.TLD admin_server = AD1.DOMAIN.TLD } [domain_realm] .DOMAIN.TLD = DOMAIN.TLD DOMAIN.TLD = DOMAIN.TLD text/html 2022-01-20T18:48:22+00:00 Anonymous (anonymous@undisclosed.example.com) https://wiki.zionetrix.net/informatique:reseau:ldap:authentification_unix_via_sssd?rev=1642704502&do=diff Authentification UNIX via SSSd Installation apt install sssd sssd-ldap sssd-tools libpam-sss libnss-sss Configuration * Créer le fichier /etc/sssd/sssd.conf : [sssd] config_file_version = 2 reconnection_retries = 3 sbus_timeout = 30 domains = example debug_level = 2 [nss] filter_groups = root filter_users = root reconnection_retries = 3 fallback_homedir = /tmp shell_fallback = /bin/bash debug_level = 2 [pam] reconnection_retries = 3 debug_level = 2 [domain/example] timeout = 5 min_id =… text/html 2021-08-26T18:45:12+00:00 Anonymous (anonymous@undisclosed.example.com) https://wiki.zionetrix.net/informatique:reseau:ldap:authzproxy?rev=1630003512&do=diff Authz proxy FIXME: présentation Doc OpenLDAP : <https://www.openldap.org/doc/admin24/sasl.html#SASL%20Proxy%20Authorization> Activation Il faut commencer par définir la politique du serveur en éditant l'objet cn=config et en ajoutant/modifiant l'attribut olcAuthzPolicy avec une des valeurs suivantes : * to : possibilité d'autoriser l'authentification proxy via l'attribut text/html 2024-07-22T16:51:48+00:00 Anonymous (anonymous@undisclosed.example.com) https://wiki.zionetrix.net/informatique:reseau:ldap:backups?rev=1721667108&do=diff Sauvegardes & restaurations Sauvegardes slapcat -b o=example > /tmp/dump.ldif Restauration service slapd stop rm -fr /var/lib/ldap/*.mdb slapadd -b o=example -l /tmp/dump.ldif -q chown openldap: -R /var/lib/ldap service slapd start Dump/restore avec minimisation du temps d'interruption text/html 2022-09-26T13:14:03+00:00 Anonymous (anonymous@undisclosed.example.com) https://wiki.zionetrix.net/informatique:reseau:ldap:chain?rev=1664198043&do=diff Module Chain Cette overlay permet depuis un serveur esclave de proxifier, de manière transparente pour l'utilisateur, les requêtes en écriture sur le serveur maître. Installation Il faut d'abord charger le module back_ldap : ldapmodify -Y EXTERNAL -H ldapi:/// << EOF dn: cn=module{0},cn=config changetype: modify add: olcModuleLoad olcModuleLoad: back_ldap EOF text/html 2017-06-15T14:40:19+00:00 Anonymous (anonymous@undisclosed.example.com) https://wiki.zionetrix.net/informatique:reseau:ldap:configuration_des_limites_des_recherches?rev=1497537619&do=diff OpenLDAP : Configuration des limites de recherches OpenLDAP implémente des limites de recherches en fonction du nombre d'objet retournés par une recherche (500 par défaut) et également en terme de temps d'exécution d'une recherche (1h par défaut). text/html 2020-03-13T10:26:28+00:00 Anonymous (anonymous@undisclosed.example.com) https://wiki.zionetrix.net/informatique:reseau:ldap:configurer_le_niveau_de_logs?rev=1584095188&do=diff Configurer le niveau de logs sudo ldapmodify -Y EXTERNAL -H ldapi:/// <<EOF dn: cn=config changetype: modify replace: olcLogLevel olcLogLevel: stats EOF Les niveaux de logs possibles et combinables : * none : désactivation de tous les logs * text/html 2022-09-27T08:32:38+00:00 Anonymous (anonymous@undisclosed.example.com) https://wiki.zionetrix.net/informatique:reseau:ldap:constraint?rev=1664267558&do=diff Module constraint Ce module permet de configurer des contraintes sur les valeurs stockées par les attributs. Doc officielle Installation Il faut simplement charger le module constraint : ldapmodify -Y EXTERNAL -H ldapi:/// << EOF dn: cn=module{0},cn=config changetype: modify add: olcModuleLoad olcModuleLoad: constraint EOF text/html 2022-04-21T16:14:22+00:00 Anonymous (anonymous@undisclosed.example.com) https://wiki.zionetrix.net/informatique:reseau:ldap:delegation_auth_ad_via_sasl?rev=1650557662&do=diff Délégation d'authentification vers un AD via SASL Il est possible, utilisateur par utilisateur, de déléguer son authentification à un AD (ou un autre annuaire LDAP) via SASL en utilisant un mot de passe au format {SASL}username@domain. Dans ce cas, en cas de tentative de connexion de l'utilisateur, OpenLDAP interrogera le service SASL pour valider que le mot de passe fourni par l'utilisateur pour ce connecter correspond bien au compte SASL spécifié dans son attribut mot de passe ( text/html 2024-10-25T07:57:23+00:00 Anonymous (anonymous@undisclosed.example.com) https://wiki.zionetrix.net/informatique:reseau:ldap:detection_des_indexes_manquant?rev=1729843043&do=diff OpenLdap : Détection des indexes manquant zgrep -E 'slapd.*_candidates:' /var/log/syslog /var/log/syslog.*|sed 's/.*slapd\[[0-9]*\]: <= \(bdb\|hdb\|mdb\)_\(.*\)_candidates: (\([^)]*\)).*/\3 - \2/'|sort -u ou zgrep -E 'slapd.*_candidates:' /var/log/slapd.log /var/log/slapd.log.*|sed 's/.*slapd\[[0-9]*\]: <= \(bdb\|hdb\|mdb\)_\(.*\)_candidates: (\([^)]*\)).*/\3 - \2/'|sort -u text/html 2025-06-20T09:46:46+00:00 Anonymous (anonymous@undisclosed.example.com) https://wiki.zionetrix.net/informatique:reseau:ldap:dynlist?rev=1750412806&do=diff Module dynlist Ce module permet la gestion d'attributs dynamiques listant les groupes d'un utilisateur sur la base de sa présence dans de son DN dans un attribut listant les membres au niveau des groupes. Ce module peut-être utilisé à la place du module text/html 2022-12-05T11:12:51+00:00 Anonymous (anonymous@undisclosed.example.com) https://wiki.zionetrix.net/informatique:reseau:ldap:initialiser_le_mot_passe_de_la_branche_cn_config?rev=1670238771&do=diff Initialiser le mot passe de la branche cn=config * Hasher le password avec la commande : slappasswd * Exécuter la commande : ldapmodify -Y EXTERNAL -H ldapi:/// << EOF dn: olcDatabase={0}config,cn=config changetype: modify replace: olcRootPW olcRootPW: [votre pass hashé] EOF text/html 2022-09-26T11:40:49+00:00 Anonymous (anonymous@undisclosed.example.com) https://wiki.zionetrix.net/informatique:reseau:ldap:lastbind?rev=1664192449&do=diff Module LastBind Cette overlay permet de stocker la date de dernière connexion réussie d'un utilisateur dans l'attribut authTimestamp. slapd Installation Il faut d'abord charger le module lastbind : ldapmodify -Y EXTERNAL -H ldapi:/// << EOF dn: cn=module{0},cn=config changetype: modify add: olcModuleLoad olcModuleLoad: lastbind EOF text/html 2022-05-17T08:58:52+00:00 Anonymous (anonymous@undisclosed.example.com) https://wiki.zionetrix.net/informatique:reseau:ldap:ldaps_avec_mauvais_certificat?rev=1652777932&do=diff Se connecter en LDAPS à un serveur présentant un mauvais certificat SSL Certificat auto-signé Si vous chercher à vous connecter à un certificat auto-signé, éditez le fichier /etc/ldap/ldap.conf et ajouter la ligne suivante : TLS_REQCERT never text/html 2026-03-27T08:58:44+00:00 Anonymous (anonymous@undisclosed.example.com) https://wiki.zionetrix.net/informatique:reseau:ldap:ldapsearch?rev=1774601924&do=diff La commande ldapsearch Recherche paginée ldapsearch -E pr=1000/noprompt ~ Désactivation des retours à la ligne ldapsearch -o ldif-wrap=no ~ Connexion via la socket UNIX (LDAPI) ldapsearch -Y EXTERNAL -H ldapi:/// ~ Authentification Kerberos text/html 2021-09-17T14:05:25+00:00 Anonymous (anonymous@undisclosed.example.com) https://wiki.zionetrix.net/informatique:reseau:ldap:ldapvi_config?rev=1631887525&do=diff Configurer un profil d'accès à la configuration d'OpenLDAP via ldapvi Après avoir installer le paquet ldapvi, il suffit d'ajouter le bloc suivant à la fin du fichier /etc/ldapvi.conf : profile config host: ldapi:// sasl-mech: EXTERNAL base: cn=config text/html 2022-07-25T13:51:10+00:00 Anonymous (anonymous@undisclosed.example.com) https://wiki.zionetrix.net/informatique:reseau:ldap:memberof?rev=1658757070&do=diff Module MemberOf Ce module est incompatible avec une synchronisation syncrepl.dynlist syncrepl Installation Il faut d'abord charger les modules memberof et refint : ldapmodify -Y EXTERNAL -H ldapi:/// << EOF dn: cn=module{0},cn=config changetype: modify add: olcModuleLoad olcModuleLoad: memberof olcModuleLoad: refint EOF text/html 2022-11-16T11:57:24+00:00 Anonymous (anonymous@undisclosed.example.com) https://wiki.zionetrix.net/informatique:reseau:ldap:migration_bdb_hdb_mdb?rev=1668599844&do=diff Migration BDB/HDB vers MDB Postulat de départ : vous avez un database configurée en tant que olcDatabase={1}hdb,cn=config et utilisant le backend HDB (ou un database configurée en tant que olcDatabase={1}bdb,cn=config et utilisant le backend BDB) et vous voulez passez sur une base utilisant le backend text/html 2022-10-04T08:54:17+00:00 Anonymous (anonymous@undisclosed.example.com) https://wiki.zionetrix.net/informatique:reseau:ldap:monitor?rev=1664873657&do=diff Module Monitor Installation Il faut d'abord charger le module back_monitor : ldapmodify -Y EXTERNAL -H ldapi:/// << EOF dn: cn=module{0},cn=config changetype: modify add: olcModuleLoad olcModuleLoad: back_monitor EOF Il faut ensuite créer la database text/html 2021-02-23T13:52:10+00:00 Anonymous (anonymous@undisclosed.example.com) https://wiki.zionetrix.net/informatique:reseau:ldap:openldap_et_let_s_encrypt?rev=1614088330&do=diff OpenLDAP et Let's Encrypt Préparation adduser openldap ssl-cert chgrp ssl-cert /etc/letsencrypt/archive/ /etc/letsencrypt/live/ chmod g+rx /etc/letsencrypt/archive/ /etc/letsencrypt/live/ find /etc/letsencrypt/archive/ -name privkey*.pem -exec chown root:ssl-cert \{\} \; -exec chmod g+r \{\} \; service slapd stop ; service slapd start # Pour application de l'ajout du groupe text/html 2013-11-05T19:38:46+00:00 Anonymous (anonymous@undisclosed.example.com) https://wiki.zionetrix.net/informatique:reseau:ldap:plus_de_parametres_lors_d_un_dpkg-reconfigure?rev=1383680326&do=diff Après une installation de slapd, le rootdn est défini par rapport au fqdn de la machine. Il est possible de reconfigurer le paquet avec plus de questions de la part de DebConf dpkg-reconfigure -plow slapd Le nom de domaine sera demandé, le mot de passe, la compatibilité avec Ldapv2 text/html 2024-05-13T22:39:45+00:00 Anonymous (anonymous@undisclosed.example.com) https://wiki.zionetrix.net/informatique:reseau:ldap:ppolicy?rev=1715639985&do=diff Module PPolicy Installation Il faut d'abord charger le module ppolicy : ldapmodify -Y EXTERNAL -H ldapi:/// << EOF dn: cn=module{0},cn=config changetype: modify add: olcModuleLoad olcModuleLoad: ppolicy EOF Il faut ensuite ajouter le schéma ppolicy text/html 2013-05-29T15:54:59+00:00 Anonymous (anonymous@undisclosed.example.com) https://wiki.zionetrix.net/informatique:reseau:ldap:purge_des_logs_binaires_des_backends_bdb_hdb?rev=1369842899&do=diff Purge des logs binaires des backends BDB/HDB * Repérer la version de la librairie Berkeley DB utilisé par votre OpenLDAP (4.8 sous Squeeze / 5.1 sous Wheezy) : ~$ ldd /usr/lib/ldap/back_bdb.so|grep libdb libdb-4.8.so => /usr/lib/libdb-4.8.so (0x00007f2d33bd3000) text/html 2024-04-22T12:26:51+00:00 Anonymous (anonymous@undisclosed.example.com) https://wiki.zionetrix.net/informatique:reseau:ldap:pw-argon2?rev=1713788811&do=diff Module pw-argon2 Ce module permet à OpenLDAP de supporter les types de hash de mot de passe ARGON2. slapd-contrib Installation Il faut simplement charger le module pw-argon2 : ldapmodify -Y EXTERNAL -H ldapi:/// << EOF dn: cn=module{0},cn=config changetype: modify add: olcModuleLoad olcModuleLoad: pw-argon2 EOF text/html 2022-07-25T13:56:16+00:00 Anonymous (anonymous@undisclosed.example.com) https://wiki.zionetrix.net/informatique:reseau:ldap:pw-sha2?rev=1658757376&do=diff Module pw-sha2 Ce module permet à OpenLDAP de supporter les types de hash de mot de passe SHA256 et SHA512 (et leurs dérivés avec salt). Installation Il faut simplement charger le module pw-sha2 : ldapmodify -Y EXTERNAL -H ldapi:/// << EOF dn: cn=module{0},cn=config changetype: modify add: olcModuleLoad olcModuleLoad: pw-sha2 EOF text/html 2024-05-15T16:25:15+00:00 Anonymous (anonymous@undisclosed.example.com) https://wiki.zionetrix.net/informatique:reseau:ldap:replication_avec_syncrepl?rev=1715790315&do=diff Réplication LDAP avec SyncRepl Sur le serveur maitre * Ajouter le chargement du module nécessaire en même temps que les autres moduleload syncprov * Ajouter les indexes pour syncrepl : index entryCSN,entryUUID eq * Ajouter a la suite : text/html 2019-03-11T16:05:24+00:00 Anonymous (anonymous@undisclosed.example.com) https://wiki.zionetrix.net/informatique:reseau:ldap:replication_multi-maitre?rev=1552320324&do=diff Réplication multi-maitre Installation Ce tuto va partir expliquer l'installation sur deux serveurs pré-installé en Debian Squeeze, d'OpenLDAP configuré en réplication multi-maitre. Installation du premier serveur * Installer le paquet slapd text/html 2021-08-23T11:07:56+00:00 Anonymous (anonymous@undisclosed.example.com) https://wiki.zionetrix.net/informatique:reseau:ldap:schema?rev=1629716876&do=diff Schéma d'annuaire LDAP Le schéma d'un annuaire LDAP permet de spécifier le type d'objet que pourra stocker l'annuaire. Les classes d'objet Un objet de l'annuaire est typé en lui attribuant une ou plusieurs classes d'objets. Il existe trois types de classes d'objet : text/html 2022-09-27T08:51:29+00:00 Anonymous (anonymous@undisclosed.example.com) https://wiki.zionetrix.net/informatique:reseau:ldap:unique?rev=1664268689&do=diff Module unique Ce module permet de configurer des contraintes d'unicité sur les valeurs stockées par les attributs. Doc officielle Installation Il faut simplement charger le module unique : ldapmodify -Y EXTERNAL -H ldapi:/// << EOF dn: cn=module{0},cn=config changetype: modify add: olcModuleLoad olcModuleLoad: unique EOF text/html 2025-06-10T08:47:46+00:00 Anonymous (anonymous@undisclosed.example.com) https://wiki.zionetrix.net/informatique:reseau:ldap:upgrade_2.4_vers_2.5?rev=1749545266&do=diff Mise à jour d'OpenLDAP 2.4 en 2.5 (passage à Debian Bookworm) Cette mise à jour est assez impactante et mieux vaut s'y préparer. Avant de commencer * Si ce n'est pas déjà fait, faites la migration vers le backend MDB * Installer check_slapdd_crc32 * Supprimer les anciennes sauvegardes automatique faites par