| Prochaine révision | Révision précédente |
| informatique:reseau:ldap:chain [2021/03/01 10:46] – créée bn8 | informatique:reseau:ldap:chain [2022/09/26 13:14] (Version actuelle) – [Installation] bn8 |
|---|
| ===== Installation ===== | ===== Installation ===== |
| |
| Il faut d'abord charger le module //back_ldap// : | Il faut d'abord charger le module //back_ldap// :<code bash>ldapmodify -Y EXTERNAL -H ldapi:/// << EOF |
| * Créer le fichier ///tmp/load-module.ldif// : <code bash>cat << EOF > /tmp/load-module.ldif | |
| dn: cn=module{0},cn=config | dn: cn=module{0},cn=config |
| changetype: modify | changetype: modify |
| olcModuleLoad: back_ldap | olcModuleLoad: back_ldap |
| EOF</code> | EOF</code> |
| * Jouer ce LDIF via //ldapmodify// : <code bash>ldapmodify -x -D cn=admin,cn=config -W -f /tmp/load-module.ldif | |
| # Ou : | |
| ldapmodify -Y EXTERNAL -H ldapi:/// -f /tmp/load-module.ldif</code> | |
| |
| Il faut ensuite activer ce module pour votre //database// : | Il faut ensuite activer ce module au niveau de la database //frontend// : <code bash>ldapmodify -QY EXTERNAL -H ldapi:/// << EOF |
| * Créer le fichier ///tmp/config-module.ldif// : <code bash>cat << EOF > /tmp/config-module.ldif | dn: olcOverlay=chain,olcDatabase={-1}frontend,cn=config |
| dn: olcOverlay={0}chain,olcDatabase={1}mdb,cn=config | changetype: add |
| objectClass: olcOverlayConfig | objectClass: olcOverlayConfig |
| objectClass: olcChainConfig | objectClass: olcChainConfig |
| olcChainReturnError: TRUE | olcChainReturnError: TRUE |
| |
| dn: olcDatabase={0}ldap,olcOverlay={0}chain,olcDatabase={1}mdb,cn=config | dn: olcDatabase=ldap,olcOverlay={0}chain,olcDatabase={-1}frontend, |
| | cn=config |
| | changetype: add |
| objectClass: olcLDAPConfig | objectClass: olcLDAPConfig |
| objectClass: olcChainDatabase | objectClass: olcChainDatabase |
| olcDbURI: ldaps://ldap.example.org | olcDbURI: ldaps://ldap.example.org |
| olcDbRebindAsUser: TRUE | olcDbRebindAsUser: TRUE |
| olcDbIDAssertBind: bindmethod=simple binddn="uid=syncrepl,ou=sysaccounts,o=example" credentials="secret" mode=self | olcDbIDAssertBind: bindmethod=simple |
| | binddn="uid=syncrepl,ou=sysaccounts,o=example" |
| | credentials="secret" |
| | mode=self |
| EOF</code> | EOF</code> |
| * Jouer ce LDIF avec //ldapadd// : <code bash>ldapadd -x -D cn=admin,cn=config -W -f /tmp/config-module.ldif | |
| # Ou : | |
| ldapadd -Y EXTERNAL -H ldapi:/// -f /tmp/config-module.ldif</code> | |
| |
| <note tip>Ici on ajoute la configuration de l'overlay ''chain'' pour la database ''o=example'' avec la configuration de sa database ''ldap'' fournissant les informations de connexion à l'annuaire LDAP mâitre. Les identifiants de connexion renseignés dans le paramètre ''olcDbIDAssertBind'' sont utilisés pour se connecter à l'annuaire LDAP maître, mais les droits endossés lors de l'exécution de la requête sur le serveur maître sont bien ceux de l'utilisateur d'origine (=celui qui a fait la requête sur le serveur esclave).</note> | Ici on ajoute la configuration du //chaining// avec la configuration de sa database ''ldap'' fournissant les informations de connexion à l'annuaire LDAP maître. Les identifiants de connexion renseignés dans le paramètre ''olcDbIDAssertBind'' sont utilisés pour se connecter à l'annuaire LDAP maître, mais les droits endossés lors de l'exécution de la requête sur le serveur maître sont bien ceux de l'utilisateur d'origine (=celui qui a fait la requête sur le serveur esclave) si vous avez activé le paramètre ''olcDbRebindAsUser''. Attention cependant, dans le cas de modifications //systèmes//, tel que la mise à jour des attributs opérationnels des overlays [[ppolicy]] ou [[lastbind]], la modification sera faite sur le serveur maître en tant que l'utilisateur renseigné dans le paramètre ''olcDbIDAssertBind'' et il vous faut vous assurer que les ACLs l'y autorisent. |
| | |
| | <note important>Si vous activez le paramètre ''olcDbRebindAsUser'' **(fortement conseillé)**, lorsqu'une modification sera transmises au serveur maître, elle le sera faites en se reconnectant en tant que l'utilisateur ayant demandé la modification sur le serveur esclave. Pour que cela fonctionne, il faut avoir activé et configuré [[authzproxy|l'authentification proxyfiée]] et s'être assuré que l'utilisateur configuré dans le [[chain|chaining]] dispose bien des droits pour cela.</note> |
| | |
| | Pour finir, assurez-vous que le paramètre ''olcUpdateRef'' de votre database est bien renseigné et égal à l'attribut ''olcDbURI'' du LDIF précédent ( ''%%ldaps://ldap.example.org%%'' ). |
| |
| Pour finir, assurez-vous que le paramètre ''olcUpdateRef'' de votre database est bien renseigné et égal à l'attribut ''olcDbURI'' du LDIF précédent (''ldaps://ldap.example.org''). | |
| |
| |