À propos du service LDAP

ILOM prend en charge l'authentification LDAP (Lightweight Directory Access Protocol) des utilisateurs grâce au logiciel OpenLDAP. LDAP est un service d'annuaire non spécifique. Un service d'annuaire correspond à une base de données centralisée utilisée par des applications distribuées conçues pour gérer des entrées d'annuaire. Plusieurs applications peuvent dès lors partager une seule base de données d'utilisateurs. Pour plus d'informations sur le service LDAP, consultez le site http://www.openldap.org/.

Fonctionnement du service LDAP

Le service LDAP se base sur un modèle client-serveur. Le serveur fournit l'annuaire tandis que les clients utilisent le service pour accéder aux entrées. Les données stockées dans un annuaire peuvent être réparties sur plusieurs serveurs LDAP.

Organisation des annuaires sur les serveurs LDAP

Dans le service LDAP, les données s'organisent de manière hiérarchique, avec à la base de l'arborescence, une racine, qui se développe ensuite vers les différentes entrées. Les entrées situées au niveau supérieur de la hiérarchie correspondent aux organisations les plus importantes. L'autre extrémité de la hiérarchie contient les entrées correspondant aux individus ou aux ressources isolées.

Chaque entrée est définie de manière unique par un nom distinctif (dn). Les noms distinctifs sont composés d'un nom permettant d'identifier une entrée de manière unique à un niveau hiérarchique donné et d'un chemin permettant de situer l'entrée par rapport à la racine de l'arborescence.

Par exemple, le nom distinctif de fmaillet serait :

dn: uid=fmaillet, ou=personnel, dc=sun.com

Dans cet exemple, uid représente l'ID utilisateur de l'entrée, ou correspond à l'unité organisationnelle à laquelle l'entrée appartient et dc désigne l'organisation de niveau supérieur. Le diagramme ci-dessous décrit l'utilisation des noms distinctifs pour l'identification unique des entrées dans la hiérarchie de l'annuaire.

Fonctionnement des clients et serveurs LDAP

Dans le modèle client-serveur LDAP, les serveurs LDAP permettent aux clients d'accéder aux informations concernant le personnel, les organisations et les ressources. Les clients apportent des modifications à la base de données LDAP via un utilitaire généralement livré avec le serveur LDAP. Lorsque la base de données LDAP est modifiée, le changement se répercute immédiatement à l'échelle de l'ensemble des applications, évitant ainsi toute mise à jour manuelle. Les clients LDAP peuvent effectuer de nombreuses opérations, parmi lesquelles :

  • recherche et récupération d'entrée dans l'annuaire ;

  • ajout d'entrées à l'annuaire ;

  • mise à jour des entrées de l'annuaire ;

  • suppression des entrées de l'annuaire ;

  • modification du nom des entrées de l'annuaire.

Par exemple, pour mettre à jour une entrée de l'annuaire, un client LDAP envoie le nom distinctif de cette entrée accompagné de l'attribut mis à jour au serveur LDAP. Ce dernier recherche l'entrée à mettre à jour à l'aide du nom distinctif et applique les modifications requises au niveau de l'annuaire. Les informations mises à jour sont alors immédiatement accessibles aux applications distribuées.

Pour effectuer ce type d'opération, les clients LDAP doivent établir une connexion au serveur LDAP. Le service LDAP s'exécute par défaut sur le numéro de port TCP/IP 389. Toutefois, vous avez la possibilité de modifier le port utilisé par les serveurs.

ILOM peut être configuré en tant que client de serveur LDAP. Pour utiliser l'authentification LDAP, vous devez créer un utilisateur sur le serveur LDAP. Cet utilisateur doit pouvoir être authentifié sur ILOM ou posséder les autorisations de liaison nécessaires pour effectuer les recherches d'annuaire appropriées sur le serveur LDAP.

Pour plus d'informations, consultez la rubrique Configuration des paramètres LDAP.