Configuration des objets LDAP

Une installation eDirectory crée un objet Serveur LDAP et un objet Groupe LDAP. La configuration par défaut des services LDAP est consignée dans ces deux objets. Vous pouvez la modifier en utilisant soit le snap-in LDAP de ConsoleOne, soit la tâche de gestion LDAP de Novell iManager.

L'objet Serveur LDAP renferme des données de configuration propres au serveur.

L'objet Groupe LDAP contient des informations de configuration pouvant aisément être partagées par plusieurs serveurs LDAP. Cet objet fournit des données de configuration communes et représente un groupe de serveurs LDAP. Les serveurs ont des données communes.

Vous pouvez associer plusieurs objets Serveur LDAP à un objet Groupe LDAP. Tous les serveurs LDAP associés obtiennent alors la configuration spécifique à leur serveur de l'objet Serveur LDAP, mais reçoivent les informations communes ou partagées de l'objet Groupe LDAP.

Par défaut, le programme d'installation de eDirectory installe un seul objet Groupe LDAP et un seul objet Serveur LDAP pour chaque fichier nldap.nlm ou nldap.dlm. Par la suite, vous pouvez associer plusieurs objets Serveur LDAP à un objet Groupe LDAP unique.

IMPORTANT:  bien qu'il soit possible de combiner les dernières versions d'un objet Serveur LDAP à des versions moins récentes d'objets Groupe LDAP, nous vous recommandons de ne pas le faire. Évitez par exemple d'associer un objet Groupe LDAP de eDirectory 8.5 à un objet Serveur LDAP de eDirectory 8.6.

La quantité d'informations communes contenues dans un objet Groupe LDAP est limitée. Les données des attributs étant extrêmement courantes, LDAP n'a pas besoin de lire de nombreux attributs. De nombreux serveurs LDAP devront utiliser les mêmes données. En l'absence d'objet Groupe commun ou partagé, vous serez obligé de répliquer ces données sur chaque serveur LDAP.

En revanche, l'objet Serveur LDAP prend en charge davantage d'options et de données de configuration propres au serveur que l'objet Groupe LDAP.

Les deux objets possèdent des attributs de syntaxe DN qui pointent les uns vers les autres.

Pour que le serveur LDAP puisse trouver ses données de configuration, une autre association est nécessaire. Elle est effectuée via le serveur NCPTM, qui contient les données de configuration courantes de eDirectory. Elle est effectuée automatiquement par le programme d'installation de eDirectory.

Chaque serveur eDirectory possède un objet serveur NCP. Dans la figure suivante, le serveur Lundi illustre cet objet, tel qu'il s'affiche dans iManager :


Icône d'exemple pour un objet Serveur NCP

Cet objet présente l'attribut Serveur LDAP, qui pointe vers l'objet Serveur LDAP d'un serveur hôte eDirectory en particulier. La figure suivante illustre cet attribut :


Attribut de serveur LDAP

En règle générale, les objets Serveur LDAP, Groupe LDAP et Serveur NCP sont situés dans le même conteneur. Vous nommez ce conteneur pendant l'installation de eDirectory en même temps que le serveur et que le contexte Admin.

Si vous déplacez l'objet Serveur LDAP, vous devez le placer dans une réplique accessible en écriture.


Configuration d'objets Serveur LDAP et Groupe LDAP sur des systèmes Linux, Solaris, AIX ou HP-UX

L'utilitaire de configuration de LDAP est l'utilitaire ldapconfig. Vous pouvez l'utiliser sur des systèmes Linux, Solaris, AIX ou HP-UX pour modifier, afficher et rafraîchir les attributs des objets Serveur LDAP et Groupe LDAP.

Utilisez la syntaxe suivante pour afficher des valeurs d'attribut LDAP sur des systèmes Linux, Solaris, AIX et HP-UX :

ldapconfig get [...] | set liste_valeurs_attribut  [-t nom_arborescence | -p nom_hôte[:port]] [-w mot_de_passe] [-a FDN_utilisateur] [-f]
ldapconfig [-t nom_arborescence | -p nom_hôte[:port]] [-w mot_de_passe] [-a FDN_utilisateur] [-V] [-R] [-H] [-f] -v attribut,attribut2...

Utilisez la syntaxe suivante pour modifier des valeurs d'attributs LDAP sur des systèmes Linux, Solaris, AIX et HP-UX :

ldapconfig [-t nom_arborescence | -p nom_hôte[:port]] [-w mot_de_passe] [-a FDN_admin] -s attribut=valeur,...
Paramètre Description

-t nom_arborescence

Nom de l'arborescence eDirectory sur laquelle installer le composant.

-p nom_hôte

Nom de l'hôte. Vous pouvez également indiquer le nom DNS ou l'adresse IP.

-w

Mot de passe de l'utilisateur disposant des droits d'administrateur.

-a

Nom distinctif complet de l'utilisateur disposant des droits d'administrateur. Par exemple :

cn=user.o=org1

get | -V

Permet d'afficher tous les attributs des objets Serveur/Groupe LDAP.

get | -v liste d'attributs

Affiche les valeurs actuelles des attributs dans la liste qui les contient.

set | -s paires attribut-valeur

Définit les attributs avec les valeurs spécifiées.

-v

Permet d'afficher la valeur de l'attribut LDAP.

-s

Définit une valeur pour un attribut des composants installés.

-R

Rafraîchit le serveur LDAP.

-V

Permet d'afficher les paramètres de configuration LDAP actuels.

-H

Permet d'afficher les chaînes de syntaxe et d'aide.

-f

Autorise les opérations sur une réplique filtrée.

attribut

Nom configurable des attributs Serveur ou Groupe LDAP. Pour plus d'informations, reportez-vous au Attributs de l'objet Serveur LDAP et à l'Attributs de l'objet Groupe LDAP.


Exemples

Pour afficher la valeur de l'attribut dans la liste qui le contient, saisissez la commande suivante :

ldapconfig [-t nom_arborescence | -p nom_hôte[:port]]
[-w mot_de_passe] [-a FDN_utilisateur] -v "Exiger TLS en cas de liaison simple avec mot de passe","searchTimeLimit"

Pour configurer le numéro de port TCP LDAP et la limite de taille de recherche à 1000, entrez la commande suivante :

ldapconfig [-t nom_arborescence | -p nom_hôte[:port]]
[-w mot_de_passe] [-a FDN_admin] -s "Port TCP LDAP=389","searchSizeLimit=1000"


Attributs de l'objet Serveur LDAP

L'objet Serveur LDAP permet de configurer et de gérer les propriétés du serveur LDAP Novell.

Le tableau suivant décrit les attributs du serveur LDAP :

Attribut Description

LDAP Server

Nom distinctif complet de l'objet Serveur LDAP de eDirectory.

LDAP Host Server

Nom distinctif complet du serveur hôte eDirectory sur lequel le serveur LDAP est exécuté.

LDAP Group

Objet Groupe LDAP de eDirectory auquel ce serveur LDAP appartient.

LDAP Server Bind Limit

Nombre de clients qui peuvent établir simultanément une liaison avec le serveur LDAP. La valeur 0 (zéro) indique qu'il n'existe aucune limite.

LDAP Server Idle Timeout

Période d'inactivité d'un client, à l'issue de laquelle le serveur LDAP interrompt la connexion avec ce client. La valeur 0 (zéro) indique qu'il n'existe aucune limite.

LDAP Enable TCP

Indique si les connexions TCP (non TLS) sont activées pour ce serveur LDAP.

Valeur = 1 (oui), 0 (non)

LDAP Enable TLS

Indique si les connexions TLS sont activées pour ce serveur LDAP.

Valeur = 1 (oui), 0 (non)

LDAP TCP Port

Numéro de port sur lequel le serveur LDAP reste à l'écoute de connexions TCP (non SSL).

Plage = de 0 à 65 535

LDAP TLS Port

Numéro de port sur lequel le serveur LDAP reste à l'écoute de connexions TLS.

Plage = de 0 à 65 535, nombre maximal de connexions autorisées sur le serveur LDAP.

keyMaterialName

Nom de l'objet Certificat de eDirectory associé à ce serveur LDAP et utilisé pour les connexions LDAP SSL.

searchSizeLimit

Nombre maximal d'entrées renvoyées par le serveur LDAP à un client LDAP en réponse à une recherche. La valeur 0 (zéro) indique qu'il n'existe aucune limite.

searchTimeLimit

Nombre maximal de secondes après lesquelles le serveur LDAP abandonne la recherche LDAP pour cause de dépassement de délai. La valeur 0 (zéro) indique qu'il n'existe aucune limite.

filteredReplicaUsage

Indique si le serveur LDAP doit utiliser une réplique filtrée pour une recherche LDAP.

Valeurs = 1 (utiliser une réplique filtrée), 0 (ne pas utiliser de réplique filtrée)

sslEnableMutualAuthentication

Indique si l'authentification mutuelle SSL (authentification client basée sur un certificat) est activée sur le serveur LDAP.

ldapTLSVerifyClientCertificate

Active ou désactive la vérification du certificat du client pour une opération TLS qui passe par LDAP.

ldapNonStdAllUserAttrsMode

Active ou désactive les attributs opérationnels, non standard et de type Tous les utilisateurs.

ldapBindRestrictions

Applique les restrictions de liaison LDAP aux connexions client LDAP. Vous pouvez autoriser ou interdire les liaisons anonymes des clients LDAP.

Valeurs = 0, 1

0 autorise les liaisons anonymes des clients. 1 empêche les clients d'établir des liaisons anonymes.

ldapEnablePSearch

Indique si la fonction de recherche persistante est activée ou non sur le serveur LDAP.

Valeurs = true, false

ldapMaximumPSearchOperations

Nombre entier qui limite le nombre d'opérations de recherche persistante simultanées. La valeur zéro autorise un nombre illimité d'opérations de recherche persistante.

ldapIgnorePSearchLimitsForEvents

Indique si les limites de taille et de durée doivent être ignorées après que la requête de recherche persistante a envoyé le jeu de résultats initial.

Valeurs = true, false

Si la valeur False est sélectionnée pour cet attribut, l'ensemble des opérations de recherche persistante est soumis aux limites de recherche. Si l'une des limites est atteinte, la recherche échoue et le message d'erreur approprié apparaît.


Attributs de l'objet Groupe LDAP

L'objet Groupe LDAP permet de définir et de gérer le type d'accès autorisé pour les clients LDAP aux informations figurant sur le serveur LDAP Novell et l'utilisation qu'ils en font.

Pour exiger TLS en vue d'effectuer des liaisons simples, reportez-vous à la section Utilisation de TLS en cas de liaison simple avec mot de passe. Cet attribut indique si le serveur LDAP autorise la transmission de mots de passe en texte clair de la part d'un client LDAP. Valeurs = 0 (non) ou 1 (oui).

Pour spécifier un renvoi par défaut ainsi que la méthode de traitement des renvois LDAP par les serveurs LDAP, reportez-vous à la section Utilisation des renvois.