[Dossier N°2] Services LDAP pour NDS

Certains sujets ont fait preuve d'un grand travail de la part de l'équipe de NovellMania. Cette section y rassemble tous les liens.
Locked
admin-forum
Site Admin
Posts: 115
Joined: Thu Aug 03, 2023 5:49 pm
Contact:
Contact admin-forum

[Dossier N°2] Services LDAP pour NDS

Post by admin-forum »

Les services LDAP pour NDS* de Novell* constituent une application serveur qui permet de définir et de configurer un service LDAP pour votre réseau. A l'aide de ConsoleOne*, vous pouvez configurer et gérer votre serveur LDAP Novell et déterminer l'accès que vous souhaitez accorder aux clients LDAP qui se relient à votre Annuaire.

Deux nouveaux objets sont ajoutés à votre arborescence Annuaire :
- Objet Serveur LDAP. Utilisez cet objet pour configurer et gérer les propriétés du serveur LDAP Novell.
- Objet Groupe LDAP. Utilisez cet objet pour définir l'accès des clients LDAP à l'information figurant sur le serveur LDAP Novell et l'utilisation qu'ils en font.

Les services LDAP pour NDS sont également intégrés au Catalogue des NDS afin d'améliorer les résultats des recherches effectuées par les clients LDAP.

Ce produit est conforme à LDAP version 3.
1- Objet Serveur LDAP
L'objet Serveur LDAP stocke les données de configuration d'un serveur LDAP qui fait tourner les services LDAP pour NDS*.
Durant l'installation, un objet Serveur LDAP appelé « LDAP Server - <servername> » (<servername> étant le nom du serveur sur lequel les services LDAP pour NDS sont installés) est créé. L'objet est créé dans le même conteneur que l'objet Serveur NetWare*.

Remarque : chaque objet Serveur LDAP configure un serveur LDAP. N'assignez pas le même objet Serveur LDAP à plus d'un serveur de services LDAP pour NDS. En effet, si vous assignez l'objet Serveur LDAP à un autre serveur, il ne sera plus attribué au serveur précédent.
L'objet Serveur LDAP renferme cinq pages de propriétés qui permettent de définir les options de configuration :

- Page de propriétés générales de serveur LDAP
- Page de propriétés des options de fichier journal du serveur LDAP
- Page de propriétés des options de l'écran du serveur LDAP
- Page de propriétés de planification du catalogue du serveur LDAP
- Page de propriétés d'utilisation du catalogue du serveur LDAP

1.1- Page de propriétés générales de l'objet Serveur LDAP
Servez-vous de cette page pour configurer ou activer les propriétés de serveur suivantes.

Serveur hôte
La zone de texte Serveur hôte renferme le nom du serveur qui héberge les services LDAP pour NDS*.

Groupe LDAP
La propriété de groupe LDAP précise l'objet Groupe LDAP qui contient les paramètres de configuration utilisés par le serveur LDAP. Vous pouvez entrer le nom complet de l'objet Groupe LDAP dans la zone de texte ou encore vous servir du bouton Parcourir pour repérer et sélectionner un objet Groupe LDAP. Tous les serveurs d'un groupe LDAP offrent la même
vue du répertoire et le même niveau de sécurité.

Une fois installé, chaque serveur LDAP est intégré à son propre groupe LDAP. Si vous souhaitez que plusieurs serveurs LDAP se partagent des assignations et des paramètres de configuration de sécurité communs, vous pouvez placer plus d'un serveur LDAP dans un groupe LDAP.

Limite d'entrées de recherche
Cette limite définit le nombre maximal d'objets pour lesquels le serveur LDAP retourne des données. Si les critères d'une recherche effectuée suite à une requête produisent un nombre d'objets supérieur à celui précisé, le serveur LDAP renvoie des données d'objet jusqu'à ce qu'il atteigne la valeur de la limite d'entrées de recherche. Une fois la limite atteinte, le serveur LDAP interrompt l'envoi de données d'objet et estime que la requête est terminée. Si cette limite est définie à zéro, le serveur LDAP retournera tous les objets trouvés, sans limite.
Par défaut : 0
Minimum : 0
Maximum : 2 147 483 647

Remarque : le client LDAP peut également définir une limite.
Limite de temps de recherche Cette limite définit la durée maximale, en secondes, pendant laquelle le serveur LDAP peut renvoyer des données. Une fois la limite atteinte, le serveur LDAP interrompt l'envoi de données d'objet et estime que la requête est terminée. Si cette limite est définie à zéro, le serveur LDAP retournera tous les objets trouvés, pendant le temps qu'il faudra.
Par défaut : 3 0 seconde
Minimum : 0 seconde
Maximum : 2 147 483 647 secondes

Limite de liaison
Cette limite définit le nombre maximal de liaisons LDAP (ou connexions) simultanées qu'un serveur LDAP peut prendre en charge. Si zéro est précisé comme limite de liaison, aucune limite n'est imposée quant au nombre de liaisons.
Si un nombre différent de zéro est indiqué comme limite de liaison, le serveur LDAP accepte les liaisons jusqu'à ce que la limite de liaison soit atteinte. Puis, il refuse les liaisons additionnelles jusqu'à ce que le nombre total de liaisons chute sous la limite précisée.
Par défaut : 0
Minimum : 0
Maximum : 2 147 483 647

Remarque : chaque requête d'utilisateur exige environ 160 Ko de mémoire sur le serveur. A la différence des NDS, auxquels un client ne peut présenter qu'une seule requête à la fois par connexion, les utilisateurs LDAP peuvent soumettre plusieurs requêtes. Si votre serveur
utilise la majeure partie de sa mémoire disponible avant l'installation des services LDAP pour NDS, vous allez devoir installer de la mémoire additionnelle ou définir la limite de liaison de sorte que la mémoire disponible ne soit pas dépassée. Lorsqu'il y a dépassement de
la mémoire, des erreurs d'exécution sont signalées aux clients LDAP. Si la limite de liaison est dépassée, des erreurs de refus de connexion sont communiquées aux clients LDAP.

Temps mort d'attente
Cette valeur définit la durée maximale, en secondes, pendant laquelle une connexion LDAP peut être inactive. Le temps mort d'attente doit être défini à zéro ou à un multiple de 10 (par exemple 10, 250 ou 900). Si zéro est précisé pour le temps mort d'attente, aucune limite n'est imposée aux connexions en attente.
Si un nombre différent de zéro est indiqué pour le temps mort d'attente, le serveur déconnecte les connexions inactives une fois que le délai précisé est dépassé.
Lorsqu'un client a été déconnecté, il doit rétablir la liaison pour se relier de nouveau au serveur.
Par défaut : 0 seconde
Minimum : 0 seconde
Maximum : 2 147 483 647 secondes

Port TCP
Le port TCP ne peut pas être configuré pour le moment.

Port SSL
Le port SSL ne peut pas être configuré pour le moment.

Certificat SSL
Cette valeur précise l'objet Matériel clé utilisé pour stocker le certificat SSL du serveur des services LDAP pour NDS. Les NDS stockent les certificats SSL dans un objet Matériel clé. Plusieurs objets Matériel clé peuvent comporter différents certificats SSL au sein des NDS, mais le serveur LDAP ne se sert que de celui défini par ce paramètre pour les connexions
SSL. Vous pouvez entrer le nom partiel de l'objet Matériel clé ou parcourir la liste des objets disponibles.
Pour demander, gérer et stocker les certificats dans les NDS, faites appel aux Services PKI de Novell* : il s'agit de l'utilitaire administrateur NetWare* d'enfichage (NWADMIN32.EXE). Pour plus de détails sur la définition d'un certificat sur un serveur, reportez-vous au système
d'aide des Services PKI de Novell.

Rafraîchir le serveur NLDAP maintenant
Cliquez sur ce bouton pour rafraîchir les paramètres LDAP.
Remarque : chaque fois que vous apportez des changements aux paramètres LDAP de Novell et que vous cliquez sur OK, les NDS se rafraîchissent automatiquement.

Fenêtre de l’onglet « Général » de l’objet LDAP Server
1.2- Page de propriétés des options de fichier journal pour l'objet Serveur LDAP

Servez-vous de cette page pour choisir les types d'événement qui sont consignés dans le fichier journal des services LDAP pour NDS* ainsi que pour configurer les paramètres du fichier journal.

Options de journal
Suivre les appels de fonction
Enregistre l'information sur les chemins d'accès du code des programmes internes, dont les programmeurs peuvent se servir pour résoudre les problèmes.

Information de requête LDAP
Enregistre l'information sur le contenu de la requête LDAP.

Informations sur la connexion
Enregistre l'information sur les connexions TCP et SSL entre le client LDAP et le serveur LDAP.

Déchiffrage de BER
Enregistre le déchiffrage du codage effectué suivant les règles BER (Basic Encoding Rules -règles de codage de base) utilisées pour les requêtes et les réponses LDAP.

Traitement du filtre de recherche
Enregistre l'information sur le filtre du serveur LDAP utilisé pour traiter les requêtes.

Traitement de la configuration
Enregistre l'information sur le traitement des données de configuration lors du chargement desservices LDAP pour NDS.

Résumé des requêtes client
Enregistre un résumé des requêtes client LDAP qui ont été traitées par le serveur.

Résumé des réponses de recherche
Enregistre un résumé de l'information de recherche qui est envoyée aux clients LDAP.

Messages d'erreur de toutes les options
Enregistre les messages d'erreur provenant de toutes les options de journal, sauf l'option
Erreurs de la console du serveur LDAP. Cette option ne consigne que les messages d'erreur ;elle ne consigne pas les messages d'état et d'information enregistrés par les autres options.
Remarque : les messages d'erreur peuvent signaler des conditions d'erreur découlant
d'erreurs de l'utilisateur, d'erreurs de configuration ou d'erreurs logicielles.

Messages de console du serveur pour LDAP
Enregistre toutes les erreurs des services LDAP pour NDS qui s'affichent à la console du
serveur.
Remarque : la journalisation fait appel aux ressources de traitement. Pour des performances
optimales, désactivez la journalisation.
Options de fichier journal
Fichier
Active la journalisation et précise le fichier du serveur qui servira à stocker les événements
consignés. Si aucun nom de fichier n'est entré, la journalisation n'est pas activée et les
événements à consigner ne sont pas enregistrés. Seul le nom de fichier est utilisé. Le fichier
journal est stocké dans le répertoire SYS:\ETC du serveur LDAP.
Taille maximale
Précise la taille maximale, en octets, du fichier journal désigné par le paramètre Fichier.
Lorsque le fichier journal atteint la taille maximale, son nom est changé en faveur de celui
précisé par le paramètre Fichier de sauvegarde. Les nouvelles données de journalisation sont
ensuite stockées dans un nouveau fichier journal dont le nom est celui précisé par le paramètre
Fichier.
Par défaut : 100 000
Minimum : 2 048
Maximum : 2 147 483 647
Fichier de sauvegarde
Affiche le chemin d'accès du fichier de sauvegarde.
Fenêtre de l’onglet « Options du fichier journal » de l’objet LDAP Server

1.3- Page des options de l'écran du serveur LDAP
Servez-vous de cette page pour choisir les types d'événement qui sont affichés à la console du serveur des services LDAP pour NDS*. Pour afficher un événement, cochez la case correspondante.

Options d'affichage
Suivre les appels de fonction
Enregistre l'information sur les chemins d'accès du code des programmes internes, dont les programmeurs peuvent se servir pour résoudre les problèmes.

Information de requête LDAP
Enregistre l'information sur le contenu de la requête LDAP.

Informations sur la connexion
Enregistre l'information sur les connexions TCP et SSL entre le client LDAP et le serveur LDAP.

Déchiffrage de BER
Enregistre le déchiffrage du codage effectué suivant les règles BER (Basic Encoding Rules - règles de codage de base) utilisées pour les requêtes et les réponses LDAP.

Traitement du filtre de recherche
Enregistre l'information sur le filtre du serveur LDAP utilisé pour traiter les requêtes.

Traitement de la configuration
Enregistre l'information sur le traitement des données de configuration lors du chargement des services LDAP pour NDS.

Résumé des requêtes client
Enregistre un résumé des requêtes client LDAP qui ont été traitées par le serveur.

Résumé des réponses de recherche
Enregistre un résumé de l'information de recherche qui est envoyée aux clients LDAP.

Messages d'erreur de toutes les options
Enregistre les messages d'erreur provenant de toutes les options d'affichage, sauf l'option Erreurs de la console du serveur LDAP. Cette option n'affiche que les messages d'erreur ; elle n'affiche pas les messages d'état et d'information enregistrés par les autres options.
Remarque : les messages d'erreur peuvent signaler des conditions d'erreur découlant d'erreurs de l'utilisateur, d'erreurs de configuration ou d'erreurs logicielles.

Messages de console du serveur pour LDAP
Enregistre toutes les erreurs des services LDAP pour NDS qui s'affichent à la console du serveur.

Fenêtre de l’onglet « Options de trace LDAP » de l’objet LDAP Server

1.4- Page de planification du catalogue du serveur LDAP
Servez-vous de cette page pour déterminer le moment de la mise à jour ou du rafraîchissement de l'objet Catalogue. Toute cette information est stockée dans l'objet Catalogue.

Catalogue LDAP
Affiche le nom de l'objet Catalogue LDAP que vous configurez.

Mettre à jour
Sélectionnez Manuel ou Automatique. Par défaut, la mise à jour est manuelle. Si vous choisissez Automatique, vous devez définir la fréquence ainsi que la date et l'heure de début.

Fréquence
Sélectionnez la fréquence de la mise à jour ou du rafraîchissement de l'objet Catalogue. La valeur par défaut est 24 heures.

Date/heure de début
Sélectionnez le moment du début de la mise à jour. L'heure par défaut est 11:00 p.m., le jour même.

Fenêtre de l’onglet « Catalogue - Planifier » de l’objet LDAP Server

1.5- Page d'utilisation du catalogue du serveur LDAP
Servez-vous de cette page pour définir les modes de recherche dans les catalogues, qui sont offerts aux clients LDAP.

Utilisation du Catalogue pour la recherche
Sélectionnez l'une des trois options suivantes :
- Recherche exclusive des NDS - Seuls les NDS* sont visés par la recherche précisée.
Si l'information n'est pas trouvée dans les NDS, la recherche se termine.
- Rechercher exclusivement le catalogue - Seul l'objet Catalogue est visé par la recherche précisée. Si l'information n'est pas trouvée dans le catalogue, la recherche se termine.
- Rechercher NDS si les attributs ne sont pas dans le catalogue. - La recherche s'effectue d'abord dans le catalogue. Si l'information n'est pas trouvée, la recherche se poursuit dans les NDS.

Fenêtre de l’onglet « Catalogue - Syntaxe » de l’objet LDAP Server
2- Objet Groupe LDAP
L'objet Groupe LDAP stocke les données de configuration qui peuvent s'appliquer à un serveur LDAP ou à un groupe de serveurs LDAP. Si vous prévoyez mettre en oeuvre la même configuration sur plusieurs serveurs LDAP, la meilleure méthode consiste à configurer un objet Groupe LDAP et à l'assigner à chacun des serveurs LDAP depuis la page de propriétés
Liste de serveurs du groupe LDAP.
Le groupe LDAP configure la classe, les assignations d'attributs et les règles de sécurité sur le serveur. Ainsi, les modifications à la configuration sont grandement simplifiées, car un changement à la configuration peut être appliqué sans délai à plusieurs serveurs LDAP.
Durant l'installation, un objet Groupe LDAP appelé « LDAP Group - <servername> » est créé dans le même conteneur qui contient l'objet Serveur NetWare*.
L'objet Groupe LDAP renferme quatre pages de propriétés qui permettent de définir les
options de configuration :
- Page de propriétés générales du groupe LDAP
- Page de propriétés liste des serveurs du groupe LDAP
- Page de propriétés d'assignation d'attribut du groupe LDAP
- Page de propriétés d'assignation de classes du groupe LDAP


2.1- Page générale du groupe LDAP
L'objet Groupe LDAP stocke les données de configuration d'un groupe LDAP défini dans votre arborescence Annuaire. Servez-vous de cette page pour configurer ou activer les éléments suivants :

Option de renvoi
Permet à un client qui prend en charge les renvois de rechercher des objets sur un seul serveur auquel il est relié. Si l'objet recherché ne se trouve pas sur le serveur LDAP auquel le client est relié, le client reçoit un message URL, appelé renvoi LDAP, qui contient l'information nécessaire à la connexion à un serveur LDAP qui dispose de l'information sur l'objet.
On compte trois niveaux de renvoi de recherche :
- Toujours traverser - Les clients LDAP ne reçoivent jamais de références.
- Traverser s'il n'y a pas de renvois - Si le serveur local dispose de renvois, il envoie ceux-ci aux clients LDAP ou encore il traverse afin de se procurer les données
requises.
- Toujours référer - S'il n'existe aucun renvoi LDAP, une erreur est renvoyée.
Le champ Renvoi par défaut précise l'emplacement de la référence par défaut.
Autoriser les mots de passe sans texte
Permet la transmission de requêtes de liaison, qui comprennent des mots de passe, sur des connexions non codées. (Par défaut, seuls les mots de passe échangés sur des connexions SSL sont codés.) Les mots de passe non codés peuvent être capturés par le matériel de suivi du réseau. Selon votre environnement, cet aspect peut poser un risque sur le plan de la sécurité.

La configuration par défaut de l'option interdit les mots de passe sans texte, ce qui désactive les liaisons utilisateur aux NDS* sur les connexions non-SSL.
Si l'option Autoriser les mots de passe sans texte n'est pas cochée, le service LDAP refuse toutes les liaisons qui comprennent des mots de passe sur des connexions non-SSL. Ainsi, seules les liaisons anonymes ou les liaisons réalisées par des utilisateurs sans mot de passe (comme l'utilisateur mandataire) sont autorisées.
Remarque : l'interdiction des mots de passe sans texte décourage les utilisateurs d'envoyer des mots de passe, car dans ce cas la tentative d'établissement de liaison échoue. Le mot de passe est tout de même envoyé au serveur avant l'échec de l'établissement de la liaison. Il se peut qu'un nom d'utilisateur et un mot de passe NDS soient capturés durant une tentative échouée d'établissement de liaison.
Si l'option Autoriser les mots de passe sans texte est cochée, le service LDAP accepte les requêtes qui comprennent des mots de passe et il se sert du nom d'utilisateur et du mot de passe pour authentifier l'utilisateur à l'intention des NDS.
Utilisateur proxy
Permet aux administrateurs de configurer une identité distincte (autre que [Public]) pour les liaisons anonymes. (Une liaison anonyme est une connexion utilisateur à un service réseau qui ne contient pas de nom d'utilisateur.) L'utilisateur proxy, ou utilisateur mandataire, est le nom d'un objet Utilisateur NDS. L'utilisateur mandataire ne devrait pas avoir besoin d'un mot de passe et il est assigné à toutes les liaisons anonymes.
Si un nom d'utilisateur mandataire n'est pas assigné à l'objet Groupe LDAP, toutes les requêtes anonymes sont validées pour les NDS comme utilisateur [Public]. Les clients LDAP qui sont validés comme utilisateur [Public] sont limités par les droits que vous accordez à l'utilisateur [Public]. Etant donné que les droits d'accès à LDAP accordés à l'utilisateur
[Public] sont également accordés à tous les utilisateurs des NDS, l'emploi d'un nom
d'utilisateur mandataire permet de mieux contrôler l'accès à l'information des NDS.
Si un nom d'utilisateur mandataire est assigné à l'objet Groupe LDAP, toutes les requêtes
anonymes sont validées pour les NDS avec le nom d'utilisateur mandataire que vous sélectionnez. Ainsi, vous pouvez créer un utilisateur des NDS qui dispose exactement des mêmes droits que ceux que vous souhaitez accorder aux clients LDAP. En général, les droits de l'utilisateur mandataire offrent davantage de privilèges que les droits assignés à l'utilisateur [Public] et moins que ceux attribués aux autres utilisateurs des NDS.
Remarque : le nom d'utilisateur mandataire que vous créez sous les NDS ne doit pas disposer de mot de passe et il ne doit pas être configuré pour exiger un changement de mot de passe.
Par ailleurs, on ne doit pas autoriser l'utilisateur mandataire à créer ou à changer le mot de passe. Les liaisons LDAP anonymes ne disposent pas de mot de passe ; ainsi, une liaison qui comprend un nom d'utilisateur et un mot de passe est traitée comme une liaison utilisateur aux NDS. N'importe quel nom peut être défini en tant que nom d'utilisateur mandataire, mais on retrouve fréquemment LDAP PROXY.

Fenêtre de l’onglet « Général » de l’objet LDAP Group
2.2- Page liste des serveurs du groupe LDAP
Permet d'afficher, d'ajouter et de supprimer les serveurs qui se servent des données de configuration stockées dans cet objet. L'accès LDAP aux serveurs de la liste équivaut, logiquement, aux mêmes restrictions de sécurité ainsi qu'aux assignations de classes et d'attributs.
Ajouter un serveur à la liste
Pour ajouter un serveur à la liste, cliquez sur Ajouter puis entrez le nom complet du serveur ou utilisez le bouton Parcourir pour repérer et sélectionner le serveur à ajouter.
Supprimer un serveur de la liste
Pour retirer un serveur de la liste, sélectionnez celui-ci dans la liste des serveurs LDAP puis cliquez sur Supprimer.


Fenêtre de l’onglet « Liste des serveurs » de l’objet LDAP Group

2.3- Aide sur la page d'assignation d'attributs du groupe LDAP
Servez-vous de cette page pour définir une relation entre un attribut LDAP et un attribut NDS* supporté. Lorsqu'un client LDAP demande de l'information sur les attributs LDAP au serveur LDAP, le serveur renvoie l'information sur les attributs NDS correspondants.
La configuration par défaut des services LDAP pour NDS comprend un ensemble prédéfini d'assignations de classes et d'attributs. Celles-ci assignent un sous-ensemble d'attributs LDAP à un sous-ensemble d'attributs NDS. En raison des différences entre les schémas LDAP et NDS, bon nombre de classes et d'attributs LDAP et NDS pris en charge ne sont pas assignés dans la configuration par défaut.
Dans la colonne de gauche, le nom de l'attribut LDAP est précisé. Dans la colonne de droite, l'attribut NDS correspondant est affiché. Vous pouvez déplacer les attributs vers le haut ou le bas, ainsi qu'ajouter, supprimer ou modifier les attributs.
Etant donné que certains attributs LDAP peuvent disposer de noms de remplacement (comme NC pour nom commun), vous devrez peut-être assigner plus d'un attribut LDAP à un nom d'attribut NDS correspondant. Lorsque les services LDAP pour NDS produisent l'information sur les attributs LDAP, ils renvoient le premier attribut correspondant repéré dans la liste. Si vous assignez plusieurs attributs LDAP à un seul attribut NDS, vous devez réorganiser la liste
afin de préciser quel attribut doit avoir la priorité, car l'ordre est important.
Fenêtre de l’onglet « Assignation d’attibut » de l’objet LDAP Group

2.4- Page d'assignation de classe du groupe LDAP
Servez-vous de cette page pour définir une relation entre une classe LDAP et une classe NDS*. Lorsqu'un client LDAP demande l'information sur les classes LDAP du serveur LDAP, le serveur renvoie l'information sur les classes NDS correspondantes. La configuration par défaut des services LDAP pour NDS comprend un ensemble prédéfini d'assignations de classes et d'attributs.
Dans la colonne de gauche, le nom de la classe LDAP est précisé. Dans la colonne de droite, la classe NDS correspondante est indiquée. Vous pouvez déplacer les classes vers le haut ou le bas, ainsi qu'ajouter, supprimer ou modifier les classes.
Les services LDAP pour NDS sont préconfigurés pour assigner un sous-ensemble de classes et d'attributs LDAP à un sous-ensemble de classes et d'attributs NDS. En raison des différences entre les schémas LDAP et NDS, bon nombre de classes et d'attributs LDAP et NDS pris en charge ne sont pas assignés dans la configuration par défaut. Passez en revue les assignations de classes et d'attributs et reconfigurez au besoin.
Fenêtre de l’onglet « Assignation de classe » de l’objet LDAP Group
_________________
---------------------------------------
L'information doit être partagé
Top
Locked

Return to “Les Dossiers Techniques NovellMania”

Who is online

Users browsing this forum: No registered users and 0 guests