Novell Documentation: Novell eDirectory 8.7.3 - Configuration des objets LDAP

Configuration des objets LDAP

Une installation eDirectory crée un objet Serveur LDAP et un objet Groupe LDAP. Les données de configuration par défaut des services LDAP se trouvent dans l'annuaire, au niveau de ces deux objets. Vous pouvez modifier la configuration par défaut des services LDAP pour eDirectory en utilisant soit le snap-in LDAP de ConsoleOne, soit la tâche de gestion LDAP de Novell iManager.

L'objet Serveur LDAP représente des données de configuration propres au serveur.

L'objet Groupe LDAP contient des informations de configuration pouvant être partagées par plusieurs serveurs LDAP. Cet objet fournit des données de configuration communes et représente un groupe de serveurs LDAP. Les serveurs ont des données communes.

Vous pouvez associer plusieurs objets Serveur LDAP à un objet Groupe LDAP. Tous les serveurs LDAP associés obtiennent alors leur configuration de serveur de l'objet Serveur LDAP mais reçoivent les informations communes ou partagées de l'objet Groupe LDAP.

Par défaut, le programme d'installation de eDirectory installe un seul objet Groupe LDAP et un seul objet Serveur LDAP pour chaque fichier nldap.nlm ou nldap.dlm. Par la suite, vous pouvez associer plusieurs objets Serveur LDAP à l'objet Groupe LDAP unique.

IMPORTANT : bien qu'il soit possible d'associer les dernières versions d'un objet Serveur LDAP à des versions moins récentes d'objets Groupe LDAP, nous vous recommandons de ne pas le faire. À titre d'exemple, évitez d'associer un objet Groupe LDAP de eDirectory 8.5 à un objet Serveur LDAP de eDirectory 8.6.

La quantité d'informations communes contenues dans un objet Groupe LDAP est limitée. LDAP n'a pas besoin de lire de nombreux attributs, du fait que les données que contiennent ces derniers sont extrêmement courantes. De nombreux serveurs LDAP doivent utiliser les mêmes données. En l'absence d'objet Groupe commun ou partagé, vous seriez obligé de répliquer ces données sur chaque serveur LDAP.

En revanche, l'objet Serveur LDAP offre plus d'options et de données de configuration propres au serveur que l'objet Groupe LDAP.

Les deux objets possèdent des attributs de syntaxe DN qui pointent les uns vers les autres.

Une autre association doit être effectuée afin que le serveur LDAP puisse trouver ses données de configuration. Cette association est effectuée via le serveur NCP^TM, qui contient les données de configuration usuelles de eDirectory. Le programme d'installation de eDirectory fait automatiquement l'association.

Chaque serveur eDirectory possède un objet serveur NCP. Dans la figure suivante, le serveur Lundi illustre cet objet, tel qu'il s'affiche dans iManager :

Cet objet présente l'attribut Serveur LDAP, qui pointe sur l'objet Serveur LDAP d'un serveur hôte eDirectory en particulier. La figure suivante illustre cet attribut :

En règle générale, les objets Serveur LDAP, Groupe LDAP et Serveur NCP sont situés dans le même conteneur. Vous nommez ce conteneur pendant l'installation de eDirectory, lorsque vous affectez leur nom au serveur et au contexte Admin.

Si vous déplacez l'objet Serveur LDAP, vous devez le placer dans une réplique inscriptible.

Configuration d'objets Serveur LDAP et Groupe LDAP sur des systèmes Linux, Solaris, AIX ou HP-UX

L'utilitaire de configuration de LDAP est l'utilitaire ldapconfig. Vous pouvez l'utiliser sur des systèmes Linux, Solaris, AIX ou HP-UX pour modifier, afficher et rafraîchir les attributs des objets Serveur LDAP et Groupe LDAP.

Utilisez la syntaxe suivante pour afficher des valeurs d'attribut LDAP sur des systèmes Linux, Solaris, AIX et HP-UX :

ldapconfig get [...] | set liste_valeurs_attribut  [-t nom_arborescence | -p nom_hôte[:port]] [-w mot_de_passe] [-a FDN_utilisateur] [-f]

ldapconfig [-t nom_arborescence | -p nom_hôte[:port]] [-w mot_de_passe] [-a FDN_utilisateur] [-V] [-R] [-H] [-f] -v attribut,attribut2...

Utilisez la syntaxe suivante pour modifier des valeurs d'attributs LDAP sur des systèmes Linux, Solaris, AIX et HP-UX :

ldapconfig [-t nom_arborescence | -p nom_hôte[:port]] [-w mot_de_passe] [-a FDN_admin] -s attribut=valeur,...

Paramètre	Description
-t nom_arborescence	Nom de l'arborescence eDirectory sur laquelle installer le composant.
-p nom_hôte	Nom de l'hôte. Vous pouvez également indiquer le nom DNS ou l'adresse IP.
-w	Mot de passe de l'utilisateur possédant des droits d'administrateur.
-a	Nom distinctif complet de l'utilisateur possédant des droits d'administrateur. Par exemple : cn=user.o=org1
get \| -V	Permet d'afficher tous les attributs de serveur/groupe LDAP.
get \| -v liste d'attributs	Affiche la valeur actuelle des attributs dans la liste des attributs.
set \| -s paires attribut-valeur	Définit les attributs avec les valeurs spécifiées.
-v	Vous permet d'afficher la valeur de l'attribut LDAP.
-s	Définit une valeur pour un attribut des composants installés.
-R	Actualise le serveur LDAP.
-V	Permet d'afficher les paramètres de configuration LDAP actuels.
-H	Permet d'afficher les chaînes de syntaxe et d'aide.
-f	Autorise les opérations sur une réplique filtrée.
attribut	Nom configurable d'attribut de groupe ou de serveur LDAP. Pour plus d'informations, reportez-vous à Attributs de l'objet Serveur LDAP et à Attributs de l'objet Groupe LDAP.

Exemples

Pour afficher la valeur de l'attribut dans la liste des attributs, saisissez la commande suivante :

ldapconfig [-t nom_arborescence | -p nom_hôte[:port]] [-w mot_de_passe] [-a FDN_utilisateur] -v "Exiger TLS en cas de liaison simple avec mot de passe","searchTimeLimit"

Pour configurer le numéro de port TCP LDAP et la limite de taille de recherche à 1000, entrez la commande suivante :

ldapconfig [-t nom_arborescence | -p nom_hôte[:port]] [-w mot_de_passe] [-a FDN_admin] -s "Port TCP LDAP=389","searchSizeLimit=1000"

Attributs de l'objet Serveur LDAP

Utilisez l'objet Serveur LDAP pour configurer et gérer les propriétés du serveur LDAP Novell.

Le tableau suivant décrit les attributs du serveur LDAP :

Attribut	Description
LDAP Server (Serveur LDAP)	Nom distinctif complet de l'objet Serveur LDAP dans eDirectory.
LDAP Host Server (Serveur hôte LDAP)	Nom distinctif complet du serveur hôte eDirectory sur lequel s'exécute le serveur.
LDAP Group (Groupe LDAP)	Objet Groupe LDAP de eDirectory auquel ce serveur LDAP appartient.
LDAP Server Bind Limit (Limite de liaison du serveur LDAP)	Nombre de clients qui peuvent établir simultanément une liaison avec le serveur LDAP. La valeur 0 (zéro) indique qu'il n'existe aucune limite.
LDAP Server Idle Timeout (Timeout d'inactivité du serveur LDAP)	Période d'inactivité d'un client, à l'issue de laquelle le serveur LDAP interrompt la connexion avec ce client. La valeur 0 (zéro) indique qu'il n'existe aucune limite.
LDAP Enable TCP (Activer le protocole TCP pour le serveur LDAP)	Indique si les connexions TCP (non TLS) sont activées pour ce serveur LDAP. Valeur = 1 (oui), 0 (non)
LDAP Enable TLS (Activer le protocole TLS pour le serveur LDAP)	Indique si les connexions TLS sont activées pour ce serveur LDAP. Valeur = 1 (oui), 0 (non)
LDAP TCP Port (Port TCP LDAP)	Numéro de port sur lequel le serveur LDAP reste à l'écoute de connexions TCP (non SSL). Plage = de 0 à 65 535
LDAP TLS Port (Port TLS LDAP)	Numéro de port sur lequel le serveur LDAP reste à l'écoute de connexions TLS. Plage = de 0 à 65 535, nombre maximal de connexions autorisées sur le serveur LDAP.
keyMaterialName	Nom de l'objet Certificat de eDirectory associé à ce serveur LDAP et utilisé pour les connexions LDAP SSL.
searchSizeLimit	Nombre maximal d'entrées renvoyées par le serveur LDAP à un client LDAP en réponse à une recherche. La valeur 0 (zéro) indique qu'il n'existe aucune limite.
searchTimeLimit	Nombre maximal de secondes après lesquelles le serveur LDAP abandonne la recherche LDAP pour cause de dépassement de délai. La valeur 0 (zéro) indique qu'il n'existe aucune limite.
filteredReplicaUsage	Indique si le serveur LDAP doit utiliser une réplique filtrée pour une recherche LDAP. Valeurs = 1 (utiliser une réplique filtrée), 0 (ne pas utiliser de réplique filtrée)
sslEnableMutualAuthentication	Indique si l'authentification mutuelle SSL (authentification client basée sur un certificat) est activée sur le serveur LDAP.
ldapTLSVerifyClientCertificate	Active ou désactive la vérification du certificat du client pour une opération TLS qui passe par LDAP.
ldapNonStdAllUserAttrsMode	Active ou désactive les attributs de type tous les utilisateurs et opérationnels non standard.
ldapBindRestrictions	Applique les restrictions de liaison LDAP aux connexions client LDAP. Vous pouvez autoriser ou interdire les liaisons anonymes depuis les clients LDAP. Valeurs = 0, 1 0 autorise les liaisons anonymes depuis les clients. 1 empêche les clients d'établir des liaisons anonymes.
ldapEnablePSearch	Indique si la fonction de recherche persistante est activée ou non sur le serveur LDAP. Valeurs = true (vrai), false (faux)
ldapMaximumPSearchOperations	Nombre entier qui limite le nombre d'opérations de recherche persistante possibles simultanément. La valeur zéro autorise un nombre illimité d'opérations de recherche persistante.
ldapIgnorePSearchLimitsForEvents	Indique si les limites de taille et de durée doivent être ignorées après que la requête de recherche persistante a envoyé le jeu de résultats initial. Valeurs = true (vrai), false (faux) Si la valeur false est sélectionnée pour cet attribut, l'ensemble des opérations de recherche persistante est soumis aux limites de recherche. Si l'une des limites est atteinte, la recherche échoue et le message d'erreur approprié apparaît.

Attributs de l'objet Groupe LDAP

Utilisez l'objet Groupe LDAP pour définir l'accès des clients LDAP aux informations figurant sur le serveur LDAP Novell et l'utilisation qu'ils en font.

Pour demander TLS pour des liaisons simples, reportez-vous à Exiger TLS en cas de liaison simple avec mot de passe. Cet attribut indique si le serveur LDAP autorise la transmission de mots de passe en texte clair à partir d'un client LDAP. Valeurs = 0 (non) ou 1 (oui).

Pour spécifier un renvoi par défaut et déterminer la manière dont les serveurs LDAP traitent les renvois LDAP, reportez-vous à Utilisation des renvois.