Configuration des objets LDAP

Une installation eDirectory crée un objet Serveur LDAP et un objet Groupe LDAP. La configuration par défaut des services LDAP est située dans le répertoire de ces deux objets. Vous pouvez modifier la configuration par défaut des services LDAP pour eDirectory en utilisant soit le snap-in LDAP de ConsoleOne, soit la tâche de gestion LDAP de Novell iManager.

L'objet Serveur LDAP représente des données de configuration propres au serveur.

L'objet Groupe LDAP contient des informations de configuration pouvant être partagées par plusieurs serveurs LDAP. Cet objet fournit des données de configuration communes et représente un groupe de serveurs LDAP. Les serveurs ont des données communes.

Vous pouvez associer plusieurs objets Serveur LDAP à un objet Groupe LDAP. Tous les serveurs LDAP associés obtiennent alors leur configuration de serveur de l'objet Serveur LDAP mais reçoivent les informations communes ou partagées de l'objet Groupe LDAP.

Par défaut, le programme d'installation de eDirectory installe un seul objet Groupe LDAP et un seul objet Serveur LDAP pour chaque fichier nldap.nlm ou nldap.dlm. Par la suite, vous pouvez associer plusieurs objets Serveur LDAP à l'objet Groupe LDAP unique.

IMPORTANT :  bien qu'il soit possible d'associer les dernières versions d'un objet Serveur LDAP à des versions moins récentes d'objets Groupe LDAP, Novell vous recommande de ne pas le faire. À titre d'exemple, évitez d'associer un objet Groupe LDAP de eDirectory 8.5 à un objet Serveur LDAP de eDirectory 8.6.

La quantité d'informations communes contenues dans un objet Groupe LDAP est limitée. LDAP n'a pas besoin de lire de nombreux attributs, du fait que les données que contiennent ces derniers sont extrêmement courantes. De nombreux serveurs LDAP doivent utiliser les mêmes données. En l'absence d'objet Groupe commun ou partagé, vous seriez obligé de reproduire ces données sur chaque serveur LDAP.

En revanche, l'objet Serveur LDAP offre plus d'options et de données de configuration propres au serveur que l'objet Groupe LDAP.

Les deux objets possèdent des attributs de syntaxe DN qui pointent les uns vers les autres.

Une autre association doit être effectuée afin que le serveur LDAP puisse trouver ses données de configuration. Cette association est effectuée via le serveur NCPTM, qui contient les données de configuration usuelles de eDirectory. Le programme d'installation de eDirectory fait automatiquement l'association.

Chaque serveur eDirectory possède un objet serveur NCP. Dans la figure suivante, le serveur Lundi illustre cet objet, tel qu'il s'affiche dans ConsoleOne :


Exemple d'icône d'objet Serveur NCP

Cet objet présente l'attribut Serveur LDAP, qui pointe sur l'objet Serveur LDAP d'un serveur hôte eDirectory en particulier. La figure suivante illustre cet attribut :


Attribut Serveur LDAP

En règle générale les objets Serveur LDAP, Groupe LDAP et Serveur NCP sont situés dans le même conteneur. Vous nommez ce conteneur pendant l'installation de eDirectory, lorsque vous affectez leur nom au serveur et au contexte Admin.

Si vous déplacez l'objet Serveur LDAP, vous devez le placer dans une réplique inscriptible.


Configuration d'objets Serveur LDAP et Groupe LDAP sur des systèmes Linux, Solaris ou AIX

L'utilitaire de configuration de LDAP est nommé ldapconfig. Vous pouvez l'utiliser sur des systèmes Linux, Solaris ou AIX pour modifier, afficher et rafraîchir les attributs des objets Serveur et Groupe LDAP.

Utilisez la syntaxe suivante pour afficher des valeurs d'attribut LDAP sur des systèmes Linux, Solaris et AIX.

ldapconfig get [...] | set liste-valeurs-attribut  [-t treename | -p hostname[:port]] [-w mot_de_passe] [-a FDN utilisateur] [-f]

ldapconfig [-t nom_arborescence | -p nom_hôte[:port]] [-w mot_de_passe] [-a FDN utilisateur] [-V] [-R] [-H] [-f] -v attribut,attribut2...

Utilisez la syntaxe suivante pour modifier des valeurs d'attribut LDAP sur des systèmes Linux, Solaris et AIX.

ldapconfig [-t nom_arborescence | -p nom_hôte[:port]] [-w mot_de_passe] [-a FDN_admin] -s attribut=valeur,... 


Tableau . Paramètres ldapconfig

Paramètre Description

-t nom_arborescence

Nom de l'arborescence eDirectory sur laquelle installer le composant.

-p nom_hôte

Nom de l'hôte. Vous pouvez également indiquer le nom DNS ou l'adresse IP.

-w

Mot de passe de l'utilisateur possédant des droits d'administrateur.

-a

Nom distinctif complet de l'utilisateur possédant des droits d'administrateur. Par exemple :

cn=user.o=org1

get | -V

Permet d'afficher tous les attributs de serveur/groupe LDAP.

get | -v liste_attributs

Affiche les valeurs actuelles des attributs dans la liste.

set | -s paires_attribut-valeur

Définit les attributs avec les valeurs spécifiées.

-v

Vous permet d'afficher la valeur de l'attribut LDAP.

-s

Définit une valeur pour un attribut des composants installés.

-R

Rafraîchit le serveur LDAP.

-V

Permet d'afficher les paramètres de configuration LDAP actuels.

-H

Permet d'afficher les chaînes de syntaxe et d'aide.

-f

Permet d'effectuer des opérations sur une réplique filtrée.

attribut

Nom configurable d'attribut de groupe ou de serveur LDAP. Pour plus d'informations, reportez-vous à Tableau , Attributs de serveur LDAP et Attributs de l'objet Groupe LDAP .

Exemples

Pour afficher la valeur de l'attribut dans la liste des attributs, saisissez la commande suivante :

ldapconfig [-t nom_arborescence | -p nom_hôte[:port]]
[-w mot_de_passe] [-a FDN_utilisateur] -v "Exiger TLS en cas de liaison simple avec mot de passe","searchTimeLimit"

Pour configurer le numéro de port TCP LDAP et la limite de taille de recherche à 1000, entrez la commande suivante :

ldapconfig [-t nom_arborescence | -p nom_hôte[:port]]
[-w mot_de_passe] [-a FDN_admin] -s "Port TCP LDAP=389","searchSizeLimit=1000"


Attributs de l'objet Serveur LDAP

Utilisez l'objet Serveur LDAP pour configurer et gérer les propriétés du serveur LDAP Novell.

Le Tableau fournit une description des attributs de serveur LDAP :


Tableau . Attributs de serveur LDAP

Attribut Description

Serveur LDAP

Nom distinctif complet de l'objet Serveur LDAP dans eDirectory.

Serveur hôte LDAP

Nom distinctif complet du serveur hôte eDirectory sur lequel tourne le serveur LDAP.

Groupe LDAP

Objet Groupe LDAP de eDirectory auquel ce serveur LDAP appartient.

Limite de liaison au serveur LDAP

Nombre de clients pouvant se relier simultanément au serveur LDAP. La valeur 0 (zéro) indique qu'aucune limite n'a été définie.

Timeout d'inactivité du serveur LDAP

Période d'inactivité d'un client, au terme de laquelle le serveur LDAP met fin à la connexion avec ce client. La valeur 0 (zéro) indique qu'aucune limite n'a été définie.

Activer le protocole TCP pour le serveur LDAP

Indique si les connexions TCP (non-SSL) sont activées pour ce serveur LDAP.

Valeur=1 (oui), 0 (non)

Activer le protocole TLS pour le serveur LDAP

Indique si des connexions TLS sont activées pour ce serveur LDAP.

Valeur=1 (oui), 0 (non)

Port TCP LDAP

Numéro de port sur lequel le serveur LDAP reste à l'écoute de connexions TCP (non-SSL).

Valeurs acceptables=de 0 à 65535

Port TLS LDAP

Numéro de port sur lequel le serveur LDAP reste à l'écoute de connexions TLS.

Valeurs acceptables=de 0 à 65535, le nombre maximal de connexions autorisées sur le serveur LDAP.

keyMaterialName

Nom de l'objet Certificat dans eDirectory qui est associé à ce serveur LDAP et utilisé pour les connexions LDAP SSL.

searchSizeLimit

Nombre maximal d'entrées renvoyées par le serveur LDAP à un client LDAP en réponse à une recherche. La valeur zéro (0) signifie que ce nombre est illimité.

searchTimeLimit

Nombre maximal de secondes de délai accordé pour une recherche LDAP par le serveur LDAP. La valeur zéro (0) signifie que ce nombre est illimité.

filteredReplicaUsage

Indique si le serveur LDAP doit utiliser une réplique filtrée pour une recherche LDAP.

Valeurs=1 (utiliser réplique filtrée), 0 (ne pas utiliser de réplique filtrée)

sslEnableMutualAuthentication

Indique si l'authentification mutuelle SSL (authentification client basée sur un certificat) est activée sur le serveur LDAP.

ldapTLSVerifyClientCertificate

Active ou désactive la vérification du certificat du client pour une opération TLS qui passe par LDAP.

ldapNonStdAllUserAttrsMode

Active ou désactive les attributs non standard, tous utilisateurs et opérationnels.

ldapBindRestrictions

Définit les restrictions de liaison LDAP sur les connexions client LDAP. Vous pouvez autoriser ou interdire les liaisons anonymes pour le compte des clients LDAP.

Valeurs=0, 1

0 autorise les liaisons anonymes depuis les clients. 1 empêche les clients d'effectuer des liaisons anonymes.

ldapEnablePSearch

Spécifie si la fonction de recherche persistante est activée ou non sur le serveur LDAP.

Valeurs= vrai, faux

ldapMaximumPSearchOperations

Entier qui limite le nombre d'opérations de recherche persistante possibles simultanément. La valeur 0 spécifie des opérations de recherche illimitées.

ldapIgnorePSearchLimitsForEvents

Indique si les limites de taille et de durée doivent être ignorée après que la requête de recherche persistante a envoyé le jeu de résultats initial.

Values= true, false

Si la valeur de l'attribut est False, l'ensemble de la recherche persistante est soumis aux limites de recherche. Si l'une des limites est atteinte, la recherche échoue et le message d'erreur approprié apparaît.

Attributs de l'objet Groupe LDAP

Utilisez l'objet Groupe LDAP pour définir l'accès des clients LDAP aux informations figurant sur le serveur LDAP Novell et l'utilisation qu'ils en font.

Pour demander TLS pour des liaisons simples, reportez-vous à Exiger TLS en cas de liaison simple avec mot de passe . Cet attribut indique si le serveur LDAP autorise la transmission de mots de passe en texte clair à partir d'un client LDAP. Valeurs=0 (non) ou 1 (oui).

Pour spécifier un renvoi par défaut et déterminer la manière dont les serveurs LDAP traitent les renvois LDAP, reportez-vous à Utilisation des renvois .