Une installation eDirectory crée un objet Serveur LDAP et un objet Groupe LDAP. La configuration par défaut des services LDAP est consignée dans ces deux objets. Vous pouvez modifier la configuration par défaut à l'aide de la tâche de gestion LDAP dans NetIQ iManager.
L'objet Serveur LDAP représente des données de configuration propres au serveur.
L'objet Groupe LDAP contient des informations de configuration pouvant aisément être partagées par plusieurs serveurs LDAP. Cet objet fournit des données de configuration communes et représente un groupe de serveurs LDAP. Les serveurs ont des données communes.
Vous pouvez associer plusieurs objets Serveur LDAP à un objet Groupe LDAP. Tous les serveurs LDAP associés obtiennent alors leur configuration de serveur de l'objet Serveur LDAP mais reçoivent les informations communes ou partagées de l'objet Groupe LDAP.
Par défaut, le programme d'installation d'eDirectory installe un seul objet Groupe LDAP et un seul objet Serveur LDAP pour chaque fichier nldap.nlm ou nldap.dlm. Par la suite, vous pouvez associer plusieurs objets Serveur LDAP à un objet Groupe LDAP unique.
IMPORTANT :bien qu'il soit possible d'associer les dernières versions d'un objet Serveur LDAP à des versions moins récentes d'objets Groupe LDAP, nous vous recommandons de ne pas le faire. Évitez par exemple d'associer un objet Groupe LDAP d'eDirectory 8.7.3 SP9 à un objet Serveur LDAP d'eDirectory 9.0.
La quantité d'informations communes contenues dans un objet Groupe LDAP est limitée. LDAP n'a pas besoin de lire de nombreux attributs, étant donné que les données que contiennent ces derniers sont extrêmement courantes. De nombreux serveurs LDAP devront utiliser les mêmes données. En l'absence d'objet Groupe commun ou partagé, vous serez obligé de répliquer ces données sur chaque serveur LDAP.
En revanche, l'objet Serveur LDAP prend en charge davantage d'options et de données de configuration propres au serveur que l'objet Groupe LDAP.
Les deux objets possèdent des attributs de syntaxe DN qui pointent les uns vers les autres.
Pour que le serveur LDAP puisse trouver ses données de configuration, une autre association est nécessaire. Elle est effectuée via le serveur NCP™, qui contient les données de configuration courantes d'eDirectory. Elle est effectuée automatiquement par le programme d'installation d'eDirectory.
Chaque serveur eDirectory possède un objet serveur NCP. Sur la figure suivante, le serveur Lundi illustre cet objet, tel qu'il s'affiche dans iManager :
Cet objet a un attribut Serveur LDAP qui pointe vers l'objet Serveur LDAP d'un serveur hôte eDirectory spécifique. La figure suivante illustre cet attribut :
En règle générale, les objets Serveur LDAP, Groupe LDAP et Serveur NCP sont situés dans le même conteneur. Vous nommez ce conteneur pendant l'installation d'eDirectory en même temps que le serveur et que le contexte Admin.
Si vous déplacez l'objet Serveur LDAP, vous devez le placer dans une réplique inscriptible.
L'utilitaire de configuration de LDAP est l'utilitaire ldapconfig. Vous pouvez utiliser ldapconfig sur des systèmes Linux pour modifier, afficher et rafraîchir les attributs des objets Serveur LDAP et Groupe LDAP.
Utilisez la syntaxe suivante pour afficher des valeurs d'attribut LDAP sur des systèmes Linux :
ldapconfig get [...] | set attribute-value-list [-t treename | -p hostname[:port]] [-w password] [-a user FDN] [-f]
ldapconfig [-t tree_name | -p host_name[:port]] [-w password] [-a user FDN] [-V] [-R] [-H] [-f] -v attribute,attribute2...
Pour modifier des valeurs d'attributs LDAP sous Linux, utilisez la syntaxe suivante :
ldapconfig [-t tree_name | -p host_name[:port]] [-w password] [-a admin_FDN] -s attribute=value,...
Paramètre |
Description |
---|---|
-t nom_arborescence |
Nom de l'arborescence eDirectory sur laquelle installer le composant. |
-p nom_hôte |
Nom de l'hôte. Vous pouvez également indiquer le nom DNS ou l'adresse IP. |
-w |
Mot de passe de l’utilisateur disposant des droits d’administrateur. |
-a |
Nom distinctif complet de l’utilisateur disposant des droits d’administrateur. Par exemple : cn=user.o=org1 |
get | -V |
Permet d'afficher tous les attributs des objets Serveur/Groupe LDAP. |
get | -v liste d'attributs |
Affiche les valeurs actuelles des attributs dans la liste qui les contient. |
set | -s paires attribut-valeur |
Définit les attributs avec les valeurs spécifiées. |
-v |
Permet d'afficher la valeur de l'attribut LDAP. |
-s |
Définit une valeur pour un attribut des composants installés. |
-R |
Rafraîchit le serveur LDAP. |
-V |
Permet d'afficher les paramètres de configuration LDAP actuels. |
-H |
Permet d'afficher les chaînes de syntaxe et d'aide. |
-f |
Autorise les opérations sur une réplique filtrée. |
attribut |
Nom configurable des attributs Serveur ou Groupe LDAP. Pour plus d'informations, reportez-vous aux sections Attributs de l'objet Serveur LDAP et Attributs de l'objet Groupe LDAP. |
Pour afficher la valeur de l'attribut dans la liste qui le contient, saisissez la commande suivante :
ldapconfig [-t tree_name | -p host_name[:port]] [-w password] [-a user_FDN] -v "Require TLS for simple binds with password","searchTimeLimit"
Pour configurer le numéro de port TCP LDAP et la limite de taille de recherche à 1000, entrez la commande suivante :
ldapconfig [-t tree_name | -p host_name[:port]] [-w password] [-a admin_FDN] -s "LDAP TCP Port=389","searchSizeLimit=1000”
Utilisez l'objet Serveur LDAP pour configurer et gérer les propriétés du serveur LDAP NetIQ.
Le tableau suivant décrit les attributs du serveur LDAP :
Attribut |
Description |
---|---|
Serveur LDAP |
Nom distinctif complet de l'objet Serveur LDAP dans eDirectory. |
Hôte du serveur LDAP |
Nom distinctif complet du serveur hôte eDirectory sur lequel le serveur LDAP est exécuté. |
Groupe LDAP |
Objet Groupe LDAP d'eDirectory auquel ce serveur LDAP appartient. |
Limite de liaison du serveur LDAP |
Nombre de clients qui peuvent établir simultanément une liaison avec le serveur LDAP. La valeur 0 (zéro) indique qu'il n'existe aucune limite. |
Timeout d'inactivité du serveur LDAP |
Période d'inactivité d'un client, à l'issue de laquelle le serveur LDAP interrompt la connexion avec ce client. La valeur 0 (zéro) indique qu'il n'existe aucune limite. |
Activer le protocole TCP pour le serveur LDAP |
Cette option a été abandonnée. Elle est accessible via ldapInterfaces. Pour plus d'informations, reportez-vous à la ldapInterfaces. |
LDAP Enable TLS |
Cette option a été abandonnée. Elle est toutefois accessible via ldapInterfaces. Pour plus d'informations, reportez-vous à la ldapInterfaces. |
Port TCP LDAP |
Cette option a été abandonnée. Elle est toutefois accessible via ldapInterfaces. Pour plus d'informations, reportez-vous à la ldapInterfaces. |
LDAP TLS Port |
Cette option a été abandonnée. Elle est toutefois accessible via ldapInterfaces. Pour plus d'informations, reportez-vous à la ldapInterfaces. |
keyMaterialName |
Nom de l'objet Certificat dans eDirectory associé à ce serveur LDAP et utilisé pour les connexions LDAP SSL. |
searchSizeLimit |
Nombre maximal d'entrées renvoyées par le serveur LDAP à un client LDAP en réponse à une recherche. La valeur 0 (zéro) indique qu'il n'existe aucune limite. Si l'utilisateur possède les droits d'administrateur sur l'objet Serveur LDAP, la valeur searchSizeLimit n'est pas prise en compte. |
searchTimeLimit |
Nombre maximal de secondes après lesquelles le serveur LDAP abandonne la recherche LDAP pour cause de dépassement de délai. La valeur 0 (zéro) indique qu'il n'existe aucune limite. Si l'utilisateur possède les droits d'administrateur sur l'objet Serveur LDAP, la valeur searchTimeLimit n'est pas prise en compte. |
filteredReplicaUsage |
Indique si le serveur LDAP doit utiliser une réplique filtrée pour une recherche LDAP. Valeurs = 1 (utiliser une réplique filtrée), 0 (ne pas utiliser de réplique filtrée) |
sslEnableMutualAuthentication |
Indique si l'authentification mutuelle SSL (authentification client basée sur un certificat) est activée sur le serveur LDAP.. |
ldapTLSVerifyClientCertificate |
Active ou désactive la vérification du certificat du client pour une opération TLS qui passe par LDAP. |
ldapNonStdAllUserAttrsMode |
Active ou désactive les attributs de type tous les utilisateurs et opérationnels non standard. |
ldapBindRestrictions |
Active les restrictions de liaison LDAP et le niveau de chiffrement sur les connexions client LDAP. Cet attribut peut être utilisé pour contrôler les connexions client. Vous pouvez définir l'une des quatre restrictions de liaison LDAP suivantes à l'aide :
Pour les algorithmes RSA et ECDSA (Elliptic Curve Digital Signature), eDirectory permet d'utiliser les valeurs suivantes pour restreindre l'utilisation du chiffrement :
eDirectory vous permet d'utiliser une combinaison de valeurs ldapbindrestrictions et de niveaux de chiffrement. Pour plus d'informations, reportez-vous au Tableau 14-1. |
ldapChainSecureRequired |
Attribut booléen. S'il est activé, le chaînage à d'autres instances eDirectory s'effectuera via NCP sécurisé. Par défaut, ldapChainSecureRequired est désactivé. |
ldapInterfaces |
Attribut SYN_CI_STRING à plusieurs valeurs pour stocker les URL LDAP sur lesquelles le serveur LDAP écoute (tant sur les ports sécurisés qu'en texte clair). Cet attribut permet de configurer plusieurs instances lorsque chaque instance du serveur eDirectory écoute sur une interface spécifique. Il peut être configuré avec les adresses IP et les numéros de port au format d'URL LDAP. Le serveur LDAP écoute sur ces ports et adresses IP. Voici des exemples de récepteurs IPv4 et IPv6. ldap://192.168.1.1:389 - To specify for IPv4 specific address on clear text port ldaps://192.168.2.1:636 - To specify for IPv4 specific address on secure port ldap://[2015::3]:389 - To specify for IPv6 specific address on clear text port ldaps://[2015::3]:636 - To specify for IPv6 specific address on secure port ldap://[::]:389 - To specify for IPv6 unspecified address on clear text port ldaps://[::]:636 - To specify for IPv6 unspecified address on secure port Les attributs LDAP Enable TCP, LDAP Enable TLS, LDAP TCP Port et LDAP TLS Port ne sont pas renseignés si un nouveau serveur est configuré à partir d'eDirectory 9.0. Les valeurs d'attribut ldapInterface correspondant aux ports sélectionnés pour ldap et ldaps pendant la configuration sont renseignés. Par exemple, ldap://:389, ldaps://:636. Par défaut, seules les valeurs d'interface IPv4 sont ajoutées à l'attribut ldapInterfaces. Au cours de la mise à niveau, eDirectory est programmé pour supprimer les attributs LDAP Enable TCP, LDAP Enable TLS, LDAP TCP Port et LDAP TLS Port. Il renseigne les valeurs correspondantes de ces attributs dans ldapInterface. La commande ldapconfig set prend les valeurs séparées par des virgules et remplace toutes les valeurs existantes par les nouvelles valeurs. |
ldapStdCompliance |
Le serveur LDAP d'eDirectory par défaut ne retourne pas les renvois subordonnés pour les recherches à UN SEUL niveau. Pour activer cette fonctionnalité, vous devez renseigner la valeur 1 dans le champ ldapStdCompliance. Le serveur LDAP retournera alors les renvois subordonnés pour les recherches à UN SEUL niveau. |
ldapChainSecureRequired |
Attribut booléen. S'il est activé, le chaînage à d'autres instances eDirectory s'effectuera via NCP sécurisé. Par défaut, l'attribut est désactivé. |
ldapEnablePSearch |
Indique si la fonction de recherche persistante est activée ou non sur le serveur LDAP. Valeurs = yes, no |
ldapMaximumPSearchOperations |
Nombre entier qui limite le nombre d'opérations de recherche persistante simultanées. La valeur zéro autorise un nombre illimité d'opérations de recherche persistante. |
ldapIgnorePSearchLimitsForEvents |
Indique si les limites de taille et de durée doivent être ignorées après que la requête de recherche persistante a envoyé le jeu de résultats initial. Valeurs = yes, no Si la valeur False est sélectionnée pour cet attribut, l'ensemble des opérations de recherche persistante est soumis aux limites de recherche. Si l'une des limites est atteinte, la recherche échoue et le message d'erreur approprié apparaît. |
ldapGeneralizedTime |
Activez l'heure au format généralisé pour l'afficher au format AAAAMMJJHHmmSS.0z. Valeurs = yes, no |
ldapPermissiveModify |
Activez le contrôle permissif des modifications pour étendre l'opération de modification LDAP. Si vous tentez de supprimer un attribut qui n'existe pas ou d'ajouter une valeur à un attribut existant, l'opération s'effectue sans afficher de message d'erreur Valeurs = yes, no |
Tableau 14-1 Valeurs de combinaison de ldapbindrestrictions et des niveaux de chiffrement
ldapbindrestriction |
Certificat |
Niveau de chiffrement |
Valeur de combinaison |
---|---|---|---|
Aucun |
RSA |
Export (Exporter) |
0 |
RSA |
Élevé |
48 |
|
RSA |
Moyen |
32 |
|
RSA |
Faible |
16 |
|
ECDSA 256/384 |
SUITEB128 |
64 |
|
ECDSA 56 |
SUITEB128ONLY |
80 |
|
ECDSA 384 |
SUITEB192 |
96 |
|
Refuser une liaison simple anonyme |
RSA |
Export (Exporter) |
1 |
RSA |
Élevé |
49 |
|
RSA |
Moyen |
33 |
|
RSA |
Faible |
17 |
|
ECDSA 256/384 |
SUITEB128 |
65 |
|
ECDSA 56 |
SUITEB128ONLY |
81 |
|
ECDSA 384 |
SUITEB192 |
97 |
|
Interdire la liaison locale |
RSA |
Export (Exporter) |
2 |
RSA |
Élevé |
50 |
|
RSA |
Moyen |
34 |
|
RSA |
Faible |
18 |
|
ECDSA 256/384 |
SUITEB128 |
66 |
|
ECDSA 56 |
SUITEB128ONLY |
82 |
|
ECDSA 384 |
SUITEB192 |
98 |
|
Refuser une liaison simple anonyme et annuler la liaison |
RSA |
Export (Exporter) |
3 |
RSA |
Élevé |
51 |
|
RSA |
Moyen |
35 |
|
RSA |
Faible |
19 |
|
ECDSA 256/384 |
SUITEB128 |
67 |
|
ECDSA 56 |
SUITEB128ONLY |
83 |
|
ECDSA 384 |
SUITEB192 |
99 |
L'objet Groupe LDAP permet de définir et de gérer le type d'accès autorisé pour les clients LDAP aux informations figurant sur le serveur LDAP NetIQ et l'utilisation qu'ils en font.
Pour exiger TLS en vue d'effectuer des liaisons simples, reportez-vous à la section Utilisation de TLS en cas de liaison simple avec mot de passe. Cet attribut indique si le serveur LDAP autorise la transmission de mots de passe en texte clair de la part d'un client LDAP. Valeurs = 0 (non) ou 1 (oui).
Pour spécifier un renvoi par défaut, referralIncludeFilter, referralExludeFilter, ainsi que la méthode de traitement des renvois LDAP par les serveurs LDAP, reportez-vous à la section Utilisation des renvois.