Installation ou mise à jour de Novell eDirectory 8.8 sous Windows 2000 ou Windows Server 2003

Vous pouvez installer eDirectory 8.8 pour Windows sans le client Novell. Si vous installez eDirectory 8.8 sur une machine qui contient déjà le client Novell, eDirectory utilisera ce client ou le mettra à jour s'il ne s'agit pas de la dernière version.

1. Sur le serveur Windows, loguez-vous en tant qu'Administrateur ou en tant qu'utilisateur doté de droits d'administration.

2. En vue de la résolution des noms de l'arborescence, vérifiez que SLP est correctement configuré sur le réseau et que les agents Annuaire SLP sont stables.

   Pour plus d'informations, reportez-vous à :

   • Configuration de OpenSLP pour eDirectory
   • DHCP Options for Service Location Protocol (Options DHCP pour SLP)
   • Documentation sur OpenSLP

3. Si l'exécution automatique (Autorun) est désactivée, lancez setup.bat à partir du CD Novell eDirectory 8.8 ou à partir du fichier téléchargé.

   Le programme d'installation vérifie les composants suivants avant d'installer eDirectory. Si un composant est manquant ou si sa version est incorrecte, le programme d'installation lance automatiquement l'installation du composant.

   • NICI 2.7

     Pour plus d'informations sur NICI (Novell International Cryptographic Infrastructure), reportez-vous au manuel NICI Administration Guide (Guide d'administration NICI).

     Vous devez peut-être redémarrer le serveur une fois l'installation de NICI terminée. L'installation de eDirectory se poursuivra une fois le serveur redémarré.

   • Client Novell pour Windows 2000/XP

     IMPORTANT:  le client Novell est mis à jour automatiquement si une ancienne version de celui-ci est déjà installée sur la machine. Pour plus d'informations sur le client, reportez-vous à la documentation en ligne relative au Client Novell pour Windows.

4. Consultez l'accord de licence, puis cliquez sur J'accepte.

5. Sélectionnez la langue d'installation et cliquez sur Suivant.

6. Indiquez ou confirmez le chemin d'installation et cliquez sur Suivant.

7. Indiquez ou confirmez le chemin d'accès à la DIB, puis cliquez sur Suivant.

8. (Nouvelles installations uniquement) Sélectionnez un type d'installation de eDirectory et cliquez sur Suivant.

   • Installer eDirectory dans une arborescence existante intègre ce serveur dans votre réseau eDirectory. Le serveur peut être installé à n'importe quel niveau de votre arborescence.

   • Créer une nouvelle arborescence eDirectory crée une arborescence. Utilisez cette option s'il s'agit du premier serveur à placer dans l'arborescence ou si ce serveur requiert une arborescence distincte. Les ressources de la nouvelle arborescence ne seront pas accessibles aux utilisateurs logués à une autre arborescence.

9. Entrez les informations dans l'écran d'installation de eDirectory, puis cliquez sur Suivant.

   • Si vous installez un nouveau serveur eDirectory, indiquez un nom d'arborescence, le contexte de l'objet Serveur ainsi que le nom et le mot de passe Admin pour la nouvelle arborescence.
   • Si vous installez le serveur dans une arborescence existante, indiquez le nom de cette arborescence, le contexte de l'objet Serveur ainsi que le mot de passe et le nom Admin de l'arborescence.
   • Si vous effectuez la mise à niveau d'un serveur eDirectory, entrez le mot de passe Admin.

     NOTE:  eDirectory 8.8 (ou version ultérieure) autorise les mots de passe respectant la casse pour tous les utilitaires. Pour plus d'informations, consultez le manuel Novell eDirectory 8.8 What's New Guide (Guide des nouveautés de Novell eDirectory 8.8).

   Pour plus d'informations sur l'utilisation des points dans les noms de conteneurs, reportez-vous à Installation dans une arborescence comportant des conteneurs dont le nom utilise la notation à point.

10. (Nouvelles installations seulement) Sur la page Configuration du port du serveur HTTP, indiquez les ports à utiliser pour le serveur HTTP d'administration de eDirectory, puis cliquez sur Suivant.

    IMPORTANT:  veillez à ce que les ports de la pile HTTP que vous avez définis pendant l'installation de eDirectory soient différents de ceux que vous avez utilisés ou allez utiliser pour Novell iManager. Pour plus d'informations, consultez le manuel Novell iManager 2.5 Administration Guide (Guide d'administration de Novell iManager 2.5).

11. (Nouvelles installations uniquement) Sur la page Configuration du LDAP, indiquez les ports LDAP à utiliser et cliquez sur Suivant.

    Pour plus d'informations, reportez-vous à l'Communication avec eDirectory via LDAP.

12. Sélectionnez les méthodes de login NMAS^TM à installer, puis cliquez sur Suivant.

    Pour plus d'informations, reportez-vous à Installation du logiciel NMAS Server et à Installation du logiciel NMAS Client.

13. Cliquez sur Terminer pour terminer l'installation de eDirectory.

Vérifications de l'état de santé du serveur

eDirectory 8.8 exécute par défaut deux vérifications de l'état de santé du serveur pour s'assurer qu'il est sain avant la mise à niveau.

• État de santé général du serveur
• État de santé des partitions et répliques

En fonction des résultats obtenus, la mise à niveau se poursuivra ou sera abandonnée :

• si toutes les vérifications de l'état de santé ont été menées avec succès, la mise à niveau se poursuivra ;
• en cas d'erreurs mineures, vous serez invité à poursuivre ou à quitter la mise à niveau ;
• en cas d'erreurs critiques, la mise à niveau sera abandonnée.

Reportez-vous à l'Vérifications de l'état de santé du serveur pour consulter la liste de conditions des erreurs mineures et critiques.

Omission des vérifications de l'état de santé du serveur

Pour ignorer les vérifications de l'état de santé du serveur, désactivez-les à l'invite de l'Assistant d'installation.

Pour plus d'informations, reportez-vous à l'Vérifications de l'état de santé du serveur.

Communication avec eDirectory via LDAP

Lorsque vous installez eDirectory, vous devez sélectionner un port que le serveur LDAP surveille afin de traiter les demandes LDAP. Le tableau suivant liste les options pour différentes installations :

Port 389, le port LDAP standard non codé

La connexion via le port 389 n'est pas codée. Toutes les données envoyées lors d'une connexion établie via ce port se présentent en clair, ce qui constitue un risque en matière de sécurité. Ainsi, les mots de passe LDAP peuvent être affichés en cas de demande de liaison simple.

Une liaison simple LDAP nécessite seulement un DN et un mot de passe. Le mot de passe se présente en texte clair. Si vous employez le port 389, l'ensemble du paquet est en texte clair. Par défaut, cette option est désactivée pendant l'installation de eDirectory.

Du fait que le port 389 autorise le texte clair, les services du serveur LDAP lisent et écrivent les demandes adressées à l'annuaire via ce port. Cette ouverture est adaptée aux environnements de confiance où aucune simulation n'a lieu et dans lesquels aucun utilisateur ne peut intercepter les paquets qui ne lui sont pas destinés.

Pour interdire la transmission en clair de mots de passe et d'autres données, sélectionnez Exiger TLS en cas de liaison simple avec mot de passe pendant l'installation.

Comme l'illustre la figure suivante, les champs affichent 389, 636 et la case Exiger TLS en cas de liaison simple avec mot de passe est cochée.

Figure 2
Valeurs par défaut de l'écran Configuration de LDAP

Scénario : Exiger TLS en cas de liaison simple est activé : Olivia utilise un client qui demande un mot de passe. Une fois qu'elle a saisi le mot de passe, le client se connecte au serveur. Cependant, le serveur LDAP ne permet pas à la connexion d'établir la liaison avec le serveur via le port non codé. Tout le monde peut voir le mot de passe d'Olivia, mais cette dernière est dans l'impossibilité d'obtenir une connexion liée.

L'option Exiger TLS en cas de liaison simple décourage les utilisateurs d'envoyer des mots de passe lisibles. Si ce paramètre est désactivé (non coché), les utilisateurs ne savent pas que d'autres peuvent détecter leur mot de passe. Cette option, qui n'autorise pas la connexion, ne s'applique qu'au port non codé.

Si vous établissez une connexion sécurisée sur le port 636 et disposez d'une liaison simple, la connexion est déjà codée. Personne ne peut voir les mots de passe, les paquets de données ou les demandes de liaison.

Port 636, le port sécurisé standard

La connexion via le port 636 est codée. TLS (auparavant SSL) gère le codage. Par défaut, l'installation de eDirectory sélectionne ce port.

Le port sélectionné est illustré dans la figure suivante.

Figure 3
Page Connexions au serveur LDAP dans iManager

La connexion au port 636 lance automatiquement une procédure de reconnaissance mutuelle. Si celle-ci échoue, la connexion est refusée.

IMPORTANT:  cette sélection par défaut peut poser un problème pour votre serveur LDAP. Si un service déjà chargé sur le serveur hôte (avant l'installation de eDirectory) utilise le port 636, vous devez spécifier un autre port.

Les installations antérieures à eDirectory 8.7 traitaient ce conflit comme une erreur fatale et déchargeaient nldap.nlm. L'installation de eDirectory 8.7.3 (ou version ultérieure) charge nldap.nlm, place un message d'erreur dans le fichier dstrace.log et s'exécute sans le port sécurisé.

Scénario : le port 636 est déjà utilisé Votre serveur exécute Active Directory* et exécute un programme LDAP qui utilise le port 636. Vous installez eDirectory. Le programme d'installation détecte alors que le port 636 est en cours d'utilisation et n'affecte pas de numéro de port au serveur LDAP Novell. Le serveur LDAP se charge et semble s'exécuter. Toutefois, comme le serveur LDAP ne peut pas dupliquer un port ou en utiliser un qui est déjà ouvert, il ne traite pas les requêtes de services sur un port dupliqué.

En cas de doute sur le port affecté au serveur Novell LDAP (389 ou 636), lancez l'utilitaire ICE. Si le champ Version du fournisseur n'indique pas Novell, vous devez reconfigurer le serveur LDAP pour eDirectory et sélectionner un autre port. Pour plus d'informations, reportez-vous à la section « Verifying That the LDAP Server Is Running » (Vérification du fonctionnement du serveur LDAP) du manuel Novell eDirectory 8.8 Administration Guide (Guide d'administration de Novell eDirectory 8.8).

Scénario : Active Directory est en cours d'exécution : Active Directory est en cous d'exécution. Le port non codé 389 est ouvert. Vous exécutez la commande ICE sur le port 389 et demandez la version du fournisseur. Le résultat affiché est Microsoft. Vous reconfigurez alors le serveur Novell LDAP en sélectionnant un autre port, afin que le serveur LDAP eDirectory puisse répondre aux requêtes LDAP.

Novell iMonitor peut également signaler que le port 389 ou 636 est déjà ouvert. Si le serveur LDAP ne fonctionne pas, utilisez Novell iMonitor pour obtenir des informations. Pour plus d'informations, reportez-vous à la section « Verifying That the LDAP Server Is Running » (Vérification du fonctionnement du serveur LDAP) du manuel Novell eDirectory 8.8 Administration Guide (Guide d'administration de Novell eDirectory 8.8).

Installation du logiciel NMAS Server

Les composants du serveur NMAS (Novell Modular Authentication Service^TM) sont automatiquement installés lorsque vous lancez le programme d'installation de eDirectory. Vous devez sélectionner les méthodes de login à installer.

Pour sélectionner les méthodes de login à installer dans eDirectory, cochez les cases correspondantes. Lorsque vous sélectionnez une méthode de login, une description du composant apparaît dans la zone Description. Pour plus d'informations sur les méthodes de login, reportez-vous à la section « Managing Login and Post-Login Methods and Sequences (Gestion des méthodes et séquences de login et de post-login) » dans le manuel Novell Modular Authentication Service Administration Guide (Guide d'administration NMAS).

Cliquez sur Sélectionner tout pour installer toutes les méthodes de login dans eDirectory. Cliquez sur Effacer tout pour annuler toutes les sélections.

La méthode de login NDS est installée par défaut.

Installation du logiciel NMAS Client

Le logiciel NMAS Client doit être installé sur chacun des postes de travail clients à partir desquels vous souhaitez utiliser les méthodes de login NMAS.

1. Sur un poste de travail client Windows, insérez le CD Novell eDirectory 8.8.

2. À partir du répertoire NMAS, exécutez nmasinstall.exe.

3. Cochez la case Composants du client NMAS.

   Le cas échéant, vous pouvez cocher la case NICI pour installer ce composant.

4. Cliquez sur OK, puis suivez les instructions affichées.

5. Redémarrez le poste de travail client une fois l'installation terminée.

Installation dans une arborescence comportant des conteneurs dont le nom utilise la notation à point

Vous pouvez installer un serveur Windows dans une arborescence eDirectory qui comporte des conteneurs dont le nom utilise la notation à point (par exemple, O=novell.com ou C=e.u). Lors de l'utilisation de ce type de conteneurs, ces points exigent l'emploi d'une barre oblique inverse comme caractère d'échappement. Dès lors, insérez une barre oblique inverse devant chaque point du nom du conteneur. La Figure 4 ci-dessous fournit un exemple.

Un nom ne peut pas commencer par un point. Il est, par exemple, impossible de créer un conteneur nommé « .novell ».

IMPORTANT:  si votre arborescence comporte des conteneurs dont les noms utilisent des points, vous devez faire précéder ces points d'une barre oblique inverse lorsque vous vous loguez à des utilitaires comme iMonitor, iManager et DHost iConsole. Par exemple, si le nom du paramètre O dans votre arborescence correspond à « novell.com », entrez nom_utilisateur.novell\.com dans le champ Nom d'utilisateur pour vous loguer à iMonitor (voir Figure 1).