Attribut Description
serviceAuthenticationMethod à l'aide de TLS, cet attribut est utilisé. La valeur par défaut est /var/ldap.
Remarque - Si le BaseDN dans un SSD contient une virgule en fin de ligne, il est considéré comme une valeur relative de defaultSearchBase. Les valeurs de la defaultSearchBase sont ajoutées à la BaseDN avant qu'une recherche soit effectuée.
Administration des clients LDAP
Cette section décrit l'utilisation de la commande ldapclient pour initialiser et réviser la configuration du client LDAP.
Remarque - Etant donné que LDAP et NIS utilisent le même composant de nom de domaine qui est défini dans le service network/nis/domain, la version actuelle d'Oracle Solaris ne prend pas en charge une configuration où un client NIS et un client LDAP coexistent sur le même système client.
Initialisation d'un client LDAP
Il existe deux façon d'initialiser le client LDAP à l'aide de la commande ldapclient :
■ Utilisation d'un profil
Lorsque vous exécutez la commande ldapclient, vous devez spécifier au minimum l'adresse de serveur du profil et le domaine. Si vous ne spécifiez pas de profil, le profil par défaut est utilisé. Le serveur fournit le reste des informations nécessaires du profil, à l'exception de celles relatives à la base de données de certificats et au proxy.
Si le niveau d'identification du client est proxy ou proxy anonymous, vous devez fournir le mot de passe et le DN de liaison du proxy. Pour plus d'informations, reportez-vous à la section “Niveaux d'identification client” à la page 19. Pour activer les mises à jour des données shadow, vous devez fournir les informations d'identification administrateur (adminDN et adminPassword).
L'utilisation d'un profil facilite la configuration LDAP, en particulier dans les environnements d'entreprise.
■ Définition de tous les paramètres sur une seule ligne de commande
Il n'existe aucun profil. Par conséquent, vous créez le profil sur le client lui-même. Grâce à cette méthode, les informations de profil sont stockées dans des fichiers en mémoire cache et ne sont jamais actualisées par le serveur.
Administration des clients LDAP
Pour initialiser le client, vous pouvez employer différentes syntaxes de commandes qui utilisent la commande ldapclient.
■ Initialiser un client à l'aide d'un profil qui a été configuré avec les valeurs par défaut. Par exemple :
# ldapclient init -a profilename=new -a domainname=west.example.com 192.168.0.1 System successfully configured
■ Initialiser un client dont le profil est configuré avec les informations d'identification par utilisateur et qui utilise la méthode d'authentification sasl/GSSAPI.
Cet exemple suppose que, lorsque vous avez créé l'arborescence DIT à l'aide de la commande idsconfig, vous avez spécifié la méthode d'authentification et le niveau
d'identification appropriés, comme par exemple le niveau d'identification self et la méthode d'authentification sasl/GSSAPI. Observez la sortie partielle suivante de la commande idsconfig dans laquelle les informations d'identification et de connexion par utilisateur sont créées sur le serveur.
# /usr/lib/ldap/idsconfig
Do you wish to continue with server setup (y/n/h)? [n] y Enter the Directory Server's hostname to setup: kdc.example.com Enter the port number for DSEE (h=help): [389] <Enter your port>
Enter the directory manager DN: [cn=Directory Manager] <Enter your DN>
Enter passwd for cn=Directory Manager: <Enter your password>
Enter the domainname to be served (h=help): [example.com] <Enter your domain>
Enter LDAP Base DN (h=help): [dc=example,dc=com] <Enter your DN>
GSSAPI is supported. Do you want to set up gssapi:(y/n) [n] y Enter Kerberos Realm: [EXAMPLE.COM] EXAMPLE.COM
Le nom du profil est gssapi_EXAMPLE.COM. Une fois que vous avez créé le profil comme illustré dans l'exemple, vous pouvez exécuter la commande ldapclient pour initialiser le client à l'aide du profil par utilisateur.
# ldapclient init -a profilename=gssapi_EXAMPLE.COM -a \ domainname=example.com 9.9.9.50
Administration des clients LDAP
Remarque - Plusieurs conditions doivent être satisfaites lorsque vous initialisez un client configuré avec les informations d'identification et de connexion par utilisateur. Par exemple, la configuration Kerberos et la configuration du serveur DNS doivent fonctionner avec LDAP.
Pour plus d'informations sur Kerberos, reportez-vous au manuel “ Gestion de Kerberos et d’autres services d’authentification dans Oracle Solaris 11.2 ”. Pour plus d'informations sur la configuration DNS, reportez-vous au Chapitre 3, “ Gestion du système de noms de domaine (DNS) ” du manuel “ Utilisation des services de noms et d’annuaire Oracle Solaris 11.2 : DNS et NIS ”. Reportez-vous au Chapitre 2, LDAP et service d'authentification pour plus d'informations sur l'authentification et au Chapitre 3, Exigences de planification pour les services de noms LDAP pour plus d'informations sur la création de l'arborescence DIT.
■ Initialiser un client qui utilise les informations d'identification du proxy. Par exemple :
# ldapclient init \
-a proxyDN=cn=proxyagent,ou=profile,dc=west,dc=example,dc=com \ -a domainname=west.example.com \
-a profilename=pit1 \
-a proxypassword=test1234 192.168.0.1
Les options -a proxyDN et -a proxyPassword sont obligatoires si le profil à utiliser est configuré pour proxy. Dans la mesure où les informations d'identification ne sont pas stockées dans le profil enregistré sur le serveur, vous devez les fournir lorsque vous initialisez le client. Cette méthode est plus sûre que l'ancienne qui consistait à stocker les informations d'identification proxy sur le serveur.
Les informations de proxy sont stockées dans le service svc:/network/ldap/client au sein des groupes de propriété config et cred.
■ Initialiser un client pour activer la mise à jour des données shadow. Par exemple :
# ldapclient init \
-a adminDN=cn=admin,ou=profile,dc=west,dc=example,dc=com \ -a adminPassword=admin-password \
-a domainName=west.example.com \ -a profileName=WestUserProfile \
-a proxyDN=cn=proxyagent,ou=profile,dc=west,dc=example,dc=com \ -a proxyPassword=proxy-password \
-a enableShadowUpdate=TRUE \ 192.168.0.1
System successfully configured
Utilisation de LDAP pour l'authentification des clients