Majorxtrem's Blogs

Nous avons récemment mis en place en serveur LDAP sous OpenLDAP.
On va maintenant configurer apache2 pour qu’il puisse s’authentifier dans le LDAP.

Voici le lien vers la documentation officielle d’apache2 à ce sujet

On va commencer par activer les modules nécessaires d’apache2

a2enmod ldap auth_basic authnz_ldap authz_user

Ensuite vous éditez vos vhosts et ajouter une des configurations suivante entre les balises <Directory>

L’utilisateur doit exister dans l’Organisation Unit Users

AuthType Basic
AuthName "Restricted Area"
AuthLDAPBindDN "uid=read_user,cn=Managers,dc=majorxtrem,dc=be"
AuthLDAPBindPassword "le_pass_de_read_user"
AuthBasicProvider ldap
AuthLDAPURL ldap://127.0.0.1/ou=Users,dc=majorxtrem,dc=be?uid
AuthzLDAPAuthoritative OFF
Require valid-user

L’utilisateur doit exister dans l’Organisation Unit Users et faire partie du groupe Admins

AuthType Basic
AuthName "Restricted Area"
AuthLDAPBindDN "uid=read_user,cn=Managers,dc=majorxtrem,dc=be"
AuthLDAPBindPassword "le_pass_de_read_user"
AuthBasicProvider ldap
AuthLDAPURL ldap://127.0.0.1/ou=Users,dc=majorxtrem,dc=be?uid
AuthzLDAPAuthoritative OFF
AuthLDAPGroupAttribute memberUid
AuthLDAPGroupAttributeIsDN on
Require ldap-group cn=Admins,ou=Groups,dc=comitetig,dc=be

L’utilisateur doit être majorxtrem

AuthType Basic
AuthName "Restricted Area"
AuthLDAPBindDN "uid=read_user,cn=Managers,dc=majorxtrem,dc=be"
AuthLDAPBindPassword "le_pass_de_read_user"
AuthBasicProvider ldap
AuthLDAPURL ldap://127.0.0.1/ou=Users,dc=majorxtrem,dc=be?uid
AuthzLDAPAuthoritative OFF
Require user majorxtrem

On termine en rédémrant apache2

/etc/init.d/apache2 restart

OpenLDAP est une implémentation libre du protocole LDAP développée par The OpenLDAP Project.
Lightweight Directory Access Protocol (LDAP) est à l’origine un protocole permettant l’interrogation et la modification des services d’annuaire.

Nous allons utiliser le serveur LDAP afin de centraliser les informations utilisateurs des sites et services du serveur. En effet la plus par des services telles que les serveur web, ftp, proxy peuvent s’authentifier sur un serveur LDAP, mais également les CMS les plus populaires.

Avant de commencer l’installation on va vérifier le hostname de la machine

# hostname -f
server.majorxtrem.be

Vous devez obtenir quelque chose de similaire, si ce n’était pas le cas éditer le fichier /etc/hostname afin d’avoir :  nomdelamchine.domaine.com

On commence l’installation par le traditionnel apt-get

apt-get install slapd ldap-utils

Durant l’installation on vous demande simplement le password admin du serveur .

Vous tapez ensuite la commande slappasswd, elle va vous permettre de générer un password SSHA

# slappasswd
New password: toto
Re-enter new password: toto
{SSHA}gHus2hriMC95mCcmPtXbK8Nv/oh2hZy5

Copiez-le on va en avoir besoin dans le fichier de configuration de slapd, il se trouve ici :

vi /etc/ldap/slapd.conf

Vous vérifiez que suffix est égale à :

suffix          "dc=majorxtrem,dc=be"

Et ajouter les lignes :

rootdn          "cn=admin,dc=majorxtrem,dc=be"
rootpw          {SSHA}gHus2hriMC95mCcmPtXbK8Nv/oh2hZy5

On édite également afin que l’annuaire ne soit pas lisible en anonyme

access to attrs=userPassword,shadowLastChange
        by dn="cn=admin,dc=majorxtrem,dc=be" write
        by anonymous auth
        by self write
        by * none

access to *
        by dn="cn=admin,dc=majorxtrem,dc=be" write
        by dn="uid=read_user,cn=Managers,dc=majorxtrem,dc=be" read

On redémarre slpad

/etc/init.d/slapd restart

On va maintenant créer la base de l’annuaire

vi racine.ldif

Et on ajoute les lignes suivantes dedans

# Racine
dn: dc=majorxtrem,dc=be
objectClass: top
objectClass: dcObject
objectClass: organization
o: majorxtrem.be
dc: majorxtrem

# OU Manager
dn: cn=Managers,dc=majorxtrem,dc=be
objectClass: organizationalRole
objectClass: top
cn: Managers

# OU Groups
dn: ou=Groups,dc=majorxtrem,dc=be
objectClass: organizationalUnit
objectClass: top
ou: Groups

# OU Users
dn: ou=Users,dc=majorxtrem,dc=be
objectClass: organizationalUnit
objectClass: top
ou: Users

Ensuite on l’ajoute au LDAP :

ldapadd -f racine.ldif -D "cn=admin,dc=majorxtrem,dc=be" -w toto

À ce stade votre serveur est fonctionnel, on va tous de même installer une interface de gestion en PHP
apt-get install phpldapadmin

L’interface sera accessible via l’url http://ipduserver/phpldapadmin

Loguez vous et ajoutez un utilisateur read_user dans le groupe Manager
Le login est cn=admin,dc=majorxtrem,dc=be, le pass est celui que vous avez généré tous à l’heure

Cliquez sur manager et ensuite sur Create a child

Choisissez : Simple Security Object

Ensuite remplissez le username, le password et spécifiez SSHA pour l’encryption

Ce user servira pour authentifier apache, phpbb & cie pour vérifier le login de vos utilisateurs

Dans un prochain article, on verra comment restrientre via apache l’accés à un dossier via authentification LDAP