14.5 Configuration des objets LDAP

Une installation eDirectory crée un objet Serveur LDAP et un objet Groupe LDAP. La configuration par défaut des services LDAP est consignée dans ces deux objets. Vous pouvez modifier la configuration par défaut à l'aide de la tâche de gestion LDAP dans NetIQ iManager.

L'objet Serveur LDAP représente des données de configuration propres au serveur.

L'objet Groupe LDAP contient des informations de configuration pouvant aisément être partagées par plusieurs serveurs LDAP. Cet objet fournit des données de configuration communes et représente un groupe de serveurs LDAP. Les serveurs ont des données communes.

Vous pouvez associer plusieurs objets Serveur LDAP à un objet Groupe LDAP. Tous les serveurs LDAP associés obtiennent alors leur configuration de serveur de l'objet Serveur LDAP mais reçoivent les informations communes ou partagées de l'objet Groupe LDAP.

Par défaut, le programme d'installation d'eDirectory installe un seul objet Groupe LDAP et un seul objet Serveur LDAP pour chaque fichier nldap.nlm ou nldap.dlm. Par la suite, vous pouvez associer plusieurs objets Serveur LDAP à un objet Groupe LDAP unique.

IMPORTANT :bien qu'il soit possible d'associer les dernières versions d'un objet Serveur LDAP à des versions moins récentes d'objets Groupe LDAP, nous vous recommandons de ne pas le faire. Évitez par exemple d'associer un objet Groupe LDAP d'eDirectory 8.7.3 SP9 à un objet Serveur LDAP d'eDirectory 9.0.

La quantité d'informations communes contenues dans un objet Groupe LDAP est limitée. LDAP n'a pas besoin de lire de nombreux attributs, étant donné que les données que contiennent ces derniers sont extrêmement courantes. De nombreux serveurs LDAP devront utiliser les mêmes données. En l'absence d'objet Groupe commun ou partagé, vous serez obligé de répliquer ces données sur chaque serveur LDAP.

En revanche, l'objet Serveur LDAP prend en charge davantage d'options et de données de configuration propres au serveur que l'objet Groupe LDAP.

Les deux objets possèdent des attributs de syntaxe DN qui pointent les uns vers les autres.

Pour que le serveur LDAP puisse trouver ses données de configuration, une autre association est nécessaire. Elle est effectuée via le serveur NCP™, qui contient les données de configuration courantes d'eDirectory. Elle est effectuée automatiquement par le programme d'installation d'eDirectory.

Chaque serveur eDirectory possède un objet serveur NCP. Sur la figure suivante, le serveur Lundi illustre cet objet, tel qu'il s'affiche dans iManager :

Icône d'exemple pour un objet Serveur NCP

Cet objet a un attribut Serveur LDAP qui pointe vers l'objet Serveur LDAP d'un serveur hôte eDirectory spécifique. La figure suivante illustre cet attribut :

En règle générale, les objets Serveur LDAP, Groupe LDAP et Serveur NCP sont situés dans le même conteneur. Vous nommez ce conteneur pendant l'installation d'eDirectory en même temps que le serveur et que le contexte Admin.

Si vous déplacez l'objet Serveur LDAP, vous devez le placer dans une réplique inscriptible.

14.5.1 Configuration des objets Serveur LDAP et Groupe LDAP sous Linux

L'utilitaire de configuration de LDAP est l'utilitaire ldapconfig. Vous pouvez utiliser ldapconfig sur des systèmes Linux pour modifier, afficher et rafraîchir les attributs des objets Serveur LDAP et Groupe LDAP.

Utilisez la syntaxe suivante pour afficher des valeurs d'attribut LDAP sur des systèmes Linux :

ldapconfig get [...] | set attribute-value-list  [-t treename | -p hostname[:port]] [-w password] [-a user FDN] [-f]

ldapconfig [-t tree_name | -p host_name[:port]] [-w password] [-a user FDN] [-V] [-R] [-H] [-f] -v attribute,attribute2...

Pour modifier des valeurs d'attributs LDAP sous Linux, utilisez la syntaxe suivante :

ldapconfig [-t tree_name | -p host_name[:port]] [-w password] [-a admin_FDN] -s attribute=value,...

Paramètre	Description
-t nom_arborescence	Nom de l'arborescence eDirectory sur laquelle installer le composant.
-p nom_hôte	Nom de l'hôte. Vous pouvez également indiquer le nom DNS ou l'adresse IP.
-w	Mot de passe de l’utilisateur disposant des droits d’administrateur.
-a	Nom distinctif complet de l’utilisateur disposant des droits d’administrateur. Par exemple : cn=user.o=org1
get \| -V	Permet d'afficher tous les attributs des objets Serveur/Groupe LDAP.
get \| -v liste d'attributs	Affiche les valeurs actuelles des attributs dans la liste qui les contient.
set \| -s paires attribut-valeur	Définit les attributs avec les valeurs spécifiées.
-v	Permet d'afficher la valeur de l'attribut LDAP.
-s	Définit une valeur pour un attribut des composants installés.
-R	Rafraîchit le serveur LDAP.
-V	Permet d'afficher les paramètres de configuration LDAP actuels.
-H	Permet d'afficher les chaînes de syntaxe et d'aide.
-f	Autorise les opérations sur une réplique filtrée.
attribut	Nom configurable des attributs Serveur ou Groupe LDAP. Pour plus d'informations, reportez-vous aux sections Attributs de l'objet Serveur LDAP et Attributs de l'objet Groupe LDAP.

Exemples

Pour afficher la valeur de l'attribut dans la liste qui le contient, saisissez la commande suivante :

ldapconfig [-t tree_name | -p host_name[:port]] 
[-w password] [-a user_FDN] -v "Require TLS for simple binds with password","searchTimeLimit"

Pour configurer le numéro de port TCP LDAP et la limite de taille de recherche à 1000, entrez la commande suivante :

ldapconfig [-t tree_name | -p host_name[:port]] 
[-w password] [-a admin_FDN] -s "LDAP TCP Port=389","searchSizeLimit=1000”

Attributs de l'objet Serveur LDAP

Utilisez l'objet Serveur LDAP pour configurer et gérer les propriétés du serveur LDAP NetIQ.

Le tableau suivant décrit les attributs du serveur LDAP :

Attribut	Description
Serveur LDAP	Nom distinctif complet de l'objet Serveur LDAP dans eDirectory.
Hôte du serveur LDAP	Nom distinctif complet du serveur hôte eDirectory sur lequel le serveur LDAP est exécuté.
Groupe LDAP	Objet Groupe LDAP d'eDirectory auquel ce serveur LDAP appartient.
Limite de liaison du serveur LDAP	Nombre de clients qui peuvent établir simultanément une liaison avec le serveur LDAP. La valeur 0 (zéro) indique qu'il n'existe aucune limite.
Timeout d'inactivité du serveur LDAP	Période d'inactivité d'un client, à l'issue de laquelle le serveur LDAP interrompt la connexion avec ce client. La valeur 0 (zéro) indique qu'il n'existe aucune limite.
Activer le protocole TCP pour le serveur LDAP	Cette option a été abandonnée. Elle est accessible via ldapInterfaces. Pour plus d'informations, reportez-vous à la ldapInterfaces.
LDAP Enable TLS	Cette option a été abandonnée. Elle est toutefois accessible via ldapInterfaces. Pour plus d'informations, reportez-vous à la ldapInterfaces.
Port TCP LDAP	Cette option a été abandonnée. Elle est toutefois accessible via ldapInterfaces. Pour plus d'informations, reportez-vous à la ldapInterfaces.
LDAP TLS Port	Cette option a été abandonnée. Elle est toutefois accessible via ldapInterfaces. Pour plus d'informations, reportez-vous à la ldapInterfaces.
keyMaterialName	Nom de l'objet Certificat dans eDirectory associé à ce serveur LDAP et utilisé pour les connexions LDAP SSL.
searchSizeLimit	Nombre maximal d'entrées renvoyées par le serveur LDAP à un client LDAP en réponse à une recherche. La valeur 0 (zéro) indique qu'il n'existe aucune limite. Si l'utilisateur possède les droits d'administrateur sur l'objet Serveur LDAP, la valeur searchSizeLimit n'est pas prise en compte.
searchTimeLimit	Nombre maximal de secondes après lesquelles le serveur LDAP abandonne la recherche LDAP pour cause de dépassement de délai. La valeur 0 (zéro) indique qu'il n'existe aucune limite. Si l'utilisateur possède les droits d'administrateur sur l'objet Serveur LDAP, la valeur searchTimeLimit n'est pas prise en compte.
filteredReplicaUsage	Indique si le serveur LDAP doit utiliser une réplique filtrée pour une recherche LDAP. Valeurs = 1 (utiliser une réplique filtrée), 0 (ne pas utiliser de réplique filtrée)
sslEnableMutualAuthentication	Indique si l'authentification mutuelle SSL (authentification client basée sur un certificat) est activée sur le serveur LDAP..
ldapTLSVerifyClientCertificate	Active ou désactive la vérification du certificat du client pour une opération TLS qui passe par LDAP.
ldapNonStdAllUserAttrsMode	Active ou désactive les attributs de type tous les utilisateurs et opérationnels non standard.
ldapBindRestrictions	Active les restrictions de liaison LDAP et le niveau de chiffrement sur les connexions client LDAP. Cet attribut peut être utilisé pour contrôler les connexions client. Vous pouvez définir l'une des quatre restrictions de liaison LDAP suivantes à l'aide : NONE: Cette est activée par défaut. Cette option activera à la fois les liaisons simples anonymes et les liaisons simples non anonymes. La valeur de cette option est 0. Refuser une liaison simple anonyme : cette valeur désactive la liaison simple anonyme. La liaison simple non anonyme sera activée. valeur1. Disallows non-anonymous simple bind (Refuser une liaison simple non anonyme) : Cette option désactive la liaison simple non anonyme. valeur2. Disallows anonymous simple bind and non-anonymous simple bind (Refuser une liaison simple anonyme et une liaison simple non anonyme) : cette option désactivera les liaisons simples anonymes et les liaisons simples non anonymes. valeur3. REMARQUE :la désactivation des liaisons simples non anonymes appliquera des limites de connexion gracieuse appropriées. Pour les algorithmes RSA et ECDSA (Elliptic Curve Digital Signature), eDirectory permet d'utiliser les valeurs suivantes pour restreindre l'utilisation du chiffrement : RSA: utilisez les valeurs suivantes : Cipher élevé (supérieur à 128 bits) : indique l'utilisation d'un niveau de chiffrement supérieur à 128 bits et de certaines suites de chiffrement avec des clés de 128 bits. valeur48 Cipher moyennement élevé : indique l'utilisation d'un niveau de chiffrement de 128 bits. valeur32. Cipher peu élevé : indique l'utilisation d'un chiffrement de 56 ou 64 bits, en excluant les suites de chiffrement d'exportation. valeur16. Exporter : spécifie l'utilisation d'un niveau de chiffrement, y compris un chiffrement de 40 et 56 bits. Valeur 0. La valeur par défaut est Cipher élevé avec un niveau de chiffrement supérieur à 128 bits. REMARQUE :si le mode FIPS est activé pour TLS, eDirectory ignore la configuration du chiffrement et n'autorise que les chiffrements élevés. Mode SuiteB : utilisez les valeurs suivantes : Cipher SuiteB (128 bits) : Active un fonctionnement en mode SuiteB en utilisant un niveau de sécurité de 128 bits. Lorsque vous sélectionnez cette option, eDirectory autorise l'utilisation d'un niveau de sécurité de 128 bits et 192 bits par des homologues (tout client LDAP). Cette option permet d'utiliser des certificats ECDSA 256 ou ECDSA 384. Cipher SuiteB (128 bits uniquement) : Active un fonctionnement en mode SuiteB en utilisant un niveau de sécurité de 128 bits. Lorsque vous sélectionnez cette option, eDirectory n'autorise pas l'utilisation du niveau de sécurité de 192 bits par des homologues (tout client LDAP). Vous ne pouvez utiliser que des certificats ECDSA 256 avec cette option. Cipher SuiteB (192 bits) : Active un fonctionnement en mode SuiteB en utilisant un niveau de sécurité de 192 bits. Lorsque vous sélectionnez cette option, eDirectory autorise uniquement l'utilisation du niveau de sécurité de 192 bits par des homologues (tout client LDAP). Vous ne pouvez utiliser que des certificats ECDSA 384 avec cette option. eDirectory vous permet d'utiliser une combinaison de valeurs ldapbindrestrictions et de niveaux de chiffrement. Pour plus d'informations, reportez-vous au Tableau 14-1.
ldapChainSecureRequired	Attribut booléen. S'il est activé, le chaînage à d'autres instances eDirectory s'effectuera via NCP sécurisé. Par défaut, ldapChainSecureRequired est désactivé.
ldapInterfaces	Attribut SYN_CI_STRING à plusieurs valeurs pour stocker les URL LDAP sur lesquelles le serveur LDAP écoute (tant sur les ports sécurisés qu'en texte clair). Cet attribut permet de configurer plusieurs instances lorsque chaque instance du serveur eDirectory écoute sur une interface spécifique. Il peut être configuré avec les adresses IP et les numéros de port au format d'URL LDAP. Le serveur LDAP écoute sur ces ports et adresses IP. Voici des exemples de récepteurs IPv4 et IPv6. ldap://192.168.1.1:389 - To specify for IPv4 specific address on clear text port ldaps://192.168.2.1:636 - To specify for IPv4 specific address on secure port ldap://[2015::3]:389 - To specify for IPv6 specific address on clear text port ldaps://[2015::3]:636 - To specify for IPv6 specific address on secure port ldap://[::]:389 - To specify for IPv6 unspecified address on clear text port ldaps://[::]:636 - To specify for IPv6 unspecified address on secure port Les attributs LDAP Enable TCP, LDAP Enable TLS, LDAP TCP Port et LDAP TLS Port ne sont pas renseignés si un nouveau serveur est configuré à partir d'eDirectory 9.0. Les valeurs d'attribut ldapInterface correspondant aux ports sélectionnés pour ldap et ldaps pendant la configuration sont renseignés. Par exemple, ldap://:389, ldaps://:636. Par défaut, seules les valeurs d'interface IPv4 sont ajoutées à l'attribut ldapInterfaces. Au cours de la mise à niveau, eDirectory est programmé pour supprimer les attributs LDAP Enable TCP, LDAP Enable TLS, LDAP TCP Port et LDAP TLS Port. Il renseigne les valeurs correspondantes de ces attributs dans ldapInterface. La commande ldapconfig set prend les valeurs séparées par des virgules et remplace toutes les valeurs existantes par les nouvelles valeurs.
ldapStdCompliance	Le serveur LDAP d'eDirectory par défaut ne retourne pas les renvois subordonnés pour les recherches à UN SEUL niveau. Pour activer cette fonctionnalité, vous devez renseigner la valeur 1 dans le champ ldapStdCompliance. Le serveur LDAP retournera alors les renvois subordonnés pour les recherches à UN SEUL niveau.
ldapChainSecureRequired	Attribut booléen. S'il est activé, le chaînage à d'autres instances eDirectory s'effectuera via NCP sécurisé. Par défaut, l'attribut est désactivé.
ldapEnablePSearch	Indique si la fonction de recherche persistante est activée ou non sur le serveur LDAP. Valeurs = yes, no
ldapMaximumPSearchOperations	Nombre entier qui limite le nombre d'opérations de recherche persistante simultanées. La valeur zéro autorise un nombre illimité d'opérations de recherche persistante.
ldapIgnorePSearchLimitsForEvents	Indique si les limites de taille et de durée doivent être ignorées après que la requête de recherche persistante a envoyé le jeu de résultats initial. Valeurs = yes, no Si la valeur False est sélectionnée pour cet attribut, l'ensemble des opérations de recherche persistante est soumis aux limites de recherche. Si l'une des limites est atteinte, la recherche échoue et le message d'erreur approprié apparaît.
ldapGeneralizedTime	Activez l'heure au format généralisé pour l'afficher au format AAAAMMJJHHmmSS.0z. Valeurs = yes, no
ldapPermissiveModify	Activez le contrôle permissif des modifications pour étendre l'opération de modification LDAP. Si vous tentez de supprimer un attribut qui n'existe pas ou d'ajouter une valeur à un attribut existant, l'opération s'effectue sans afficher de message d'erreur Valeurs = yes, no

Tableau 14-1 Valeurs de combinaison de ldapbindrestrictions et des niveaux de chiffrement

ldapbindrestriction	Certificat	Niveau de chiffrement	Valeur de combinaison
Aucun	RSA	Export (Exporter)	0
	RSA	Élevé	48
	RSA	Moyen	32
	RSA	Faible	16
	ECDSA 256/384	SUITEB128	64
	ECDSA 56	SUITEB128ONLY	80
	ECDSA 384	SUITEB192	96
Refuser une liaison simple anonyme	RSA	Export (Exporter)	1
	RSA	Élevé	49
	RSA	Moyen	33
	RSA	Faible	17
	ECDSA 256/384	SUITEB128	65
	ECDSA 56	SUITEB128ONLY	81
	ECDSA 384	SUITEB192	97
Interdire la liaison locale	RSA	Export (Exporter)	2
	RSA	Élevé	50
	RSA	Moyen	34
	RSA	Faible	18
	ECDSA 256/384	SUITEB128	66
	ECDSA 56	SUITEB128ONLY	82
	ECDSA 384	SUITEB192	98
Refuser une liaison simple anonyme et annuler la liaison	RSA	Export (Exporter)	3
	RSA	Élevé	51
	RSA	Moyen	35
	RSA	Faible	19
	ECDSA 256/384	SUITEB128	67
	ECDSA 56	SUITEB128ONLY	83
	ECDSA 384	SUITEB192	99

Attributs de l'objet Groupe LDAP

L'objet Groupe LDAP permet de définir et de gérer le type d'accès autorisé pour les clients LDAP aux informations figurant sur le serveur LDAP NetIQ et l'utilisation qu'ils en font.

Pour exiger TLS en vue d'effectuer des liaisons simples, reportez-vous à la section Utilisation de TLS en cas de liaison simple avec mot de passe. Cet attribut indique si le serveur LDAP autorise la transmission de mots de passe en texte clair de la part d'un client LDAP. Valeurs = 0 (non) ou 1 (oui).

Pour spécifier un renvoi par défaut, referralIncludeFilter, referralExludeFilter, ainsi que la méthode de traitement des renvois LDAP par les serveurs LDAP, reportez-vous à la section Utilisation des renvois.