Ignorer les liens de navigation | |
Quitter l'aperu | |
Utilisation des services de noms et d'annuaire dans Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Français) |
Partie I A propos des services d'annuaire et de noms
1. Services d'annuaire et de noms (présentation)
2. Commutateur du service de noms (présentation)
4. Configuration des clients Active Directory Oracle Solaris (tâches)
Partie II Configuration et administration NIS
5. Service d'information réseau (présentation)
6. Définition et configuration du service NIS (tâches)
7. Administration de NIS (tâches)
Partie III Service de noms LDAP
9. Introduction aux services de noms LDAP (présentation)
Documents de référence conseillés
Services de noms LDAP comparés à d'autres services de noms
Avantages des services de noms LDAP
Restrictions en matière de services de noms LDAP
Configuration des services de noms LDAP (liste des tâches)
Format d'échange de données LDAP
Utilisation des noms de domaine complets avec LDAP
Arborescence des informations d'annuaire par défaut
Attributs de profil client LDAP
Modèle de sécurité des services de noms LDAP
Sécurité de la couche de transport
Affectation de niveaux d'identification client
Niveau d'identification anonymous LDAP
Niveau d'identification proxy LDAP
Niveau d'identification proxy anonymous LDAP
Authentification per-user LDAP
Commutateur enableShadowUpdate
Stockage des informations d'identification des clients LDAP
Choix des méthodes d'authentification du service de noms LDAP
Spécification des méthodes d'authentification pour des services spécifiques dans LDAP
Méthodes d'authentification enfichables
PAM et modification des mots de passe
Gestion des comptes LDAP avec les modules pam_unix_*
10. Exigences de planification pour les services de noms LDAP (tâches)
11. Configuration de Oracle Directory Server Enterprise Edition avec les clients LDAP (tâches)
12. Configuration des clients LDAP (tâches)
13. Dépannage LDAP (référence)
14. Service de noms LDAP (référence)
Remarque - Si vous utilisez le mappage de schémas, faites preuve de prudence et de cohérence. Assurez-vous que la syntaxe de l'attribut mappé est cohérente avec l'attribut de référence pour le mappage. En d'autres termes, assurez-vous que les attributs à valeur unique correspondent à des attributs à valeur unique, que les syntaxes d'attribut sont cohérentes et que les classes d'objet mappées ont les bons attributs obligatoires (éventuellement mappés).
Comme mentionné plus haut, les services de noms LDAP exigent, par défaut, que l'arborescence DIT soit structurée d'une certaine manière. Si vous le souhaitez, vous pouvez demander au service de noms LDAP d'effectuer des recherches dans d'autres emplacements que les emplacements par défaut dans l'arborescence DIT en utilisant les descripteurs de recherche de service (SSD). En outre, vous pouvez spécifier que les différents attributs et classes d'objet soient utilisés à la place de ceux spécifiés par le schéma par défaut. Pour obtenir la liste des filtres par défaut, reportez-vous à la section Filtres par défaut utilisés par les services de noms LDAP.
L'attribut serviceSearchDescriptor définit où et comment un client de service de noms LDAP doit rechercher des informations pour un service particulier. servicesearchdescriptor contient le nom d'un service, suivi d'un ou de plusieurs valeurs base-étendue-filtre séparés par des points-virgules. Ces triples sont utilisés pour définir des recherches uniquement pour le service spécifié et sont recherchés dans l'ordre. Si plusieurs triples sont spécifiés pour un service donné, lorsque ce service recherche une entrée particulière, il recherche dans chaque base ayant l'étendue et le filtre spécifiés.
Remarque - L'emplacement par défaut n'est pas inclus dans la recherche d'un service (base de données) à l'aide d'un SSD sauf s'il est inclus dans le SSD. Un comportement imprévisible se produira si plusieurs SSD sont fournis pour un service.
Dans l'exemple suivant, le client du service de noms LDAP effectue une recherche à un niveau dans ou=ouest,dc=example,dc=com suivie d'une recherche à un niveau dans ou=east,dc=example,dc=com pour le service passwd. Pour rechercher les données passwd d'un utilisateur username, le filtre LDAP par défaut (&(objectClass=posixAccount)(uid=username)) est appliqué pour chaque BaseDN.
serviceSearchDescriptor: passwd:ou=west,dc=example,dc=com;ou=east, dc=example,dc=com
Dans l'exemple suivant, le client du service de noms LDAP doit effectuer une recherche de sous-arborescence dans ou=west,dc=example,dc=com pour le service passwd. Pour rechercher les données passwd de l'utilisateur username, la recherche dans la sous-arborescence ou=west,dc=example,dc=com s'effectue à l'aide du filtre LDAP (&(fulltimeEmployee=TRUE)(uid=username)).
serviceSearchDescriptor: passwd:ou=west,dc=example, dc=com?sub?fulltimeEmployee=TRUE
Il est également possible d'associer plusieurs conteneurs à un type de service précis. Dans l'exemple ci-après, le descripteur de recherche de service indique la recherche d'entrées de mot de passe dans trois conteneurs.
|
Notez qu'une virgule (,) en fin de ligne dans l'exemple implique que la base defaultSearchBase est ajouté à la base relative dans le SSD.
defaultSearchBase: dc=example,dc=com serviceSearchDescriptor: \ passwd:ou=myuser,;ou=newuser,;ou=extuser,dc=example,dc=com
Le service de noms LDAP autorise le remappage d'un ou de plusieurs noms d'attributs pour n'importe lequel de ses services (Le client LDAP utilise les attributs connus documentés dans le Chapitre 14, Service de noms LDAP (référence)). Si vous mappez un attribut, vous devez vous assurer que l'attribut a la même signification et la même syntaxe que l'attribut d'origine. Notez que le mappage de l'attribut userPassword peut causer des problèmes.
Il existe deux raisons pour lesquelles vous voudrez utiliser des mappages de schéma.
Vous souhaitez mapper des attributs dans un serveur d'annuaire existant.
Si vous avez des noms d'utilisateur dont seule la casse diffère, vous devez mapper l'attribut uid, qui ignore la casse, sur un attribut qui n'ignore pas la casse.
Le format de cet attribut est service:attribute-name=mapped-attribute-name.
Si vous souhaitez mapper plusieurs attributs pour un service donné, vous pouvez définir plusieurs attributs attributeMap.
Dans l'exemple suivant, les attributs employeeName et home seront utilisés à chaque fois que les attributs uid et homeDirectory sont utilisés pour le service passwd.
attributeMap: passwd:uid=employeeName attributeMap: passwd:homeDirectory=home
Il existe un cas particulier pour lequel vous pouvez mapper l'attribut gecos du service passwd sur plusieurs attributs. En voici un exemple.
attributeMap: gecos=cn sn title
Cette opération permet de mapper les valeurs gecos sur une liste des valeurs d'attribut cn, sn et title séparées par des espaces.
Le service de noms LDAP permet aux classes d'objet d'être remappées pour l'un de ses services. Si vous souhaitez mapper plusieurs classes d'objet pour un service donné, vous pouvez définir plusieurs attributs objectclassMap. Dans l'exemple suivant, la classe d'objet myUnixAccount est utilisée à chaque fois que la classe d'objet posixAccount est utilisée.
objectclassMap: passwd:posixAccount=myUnixAccount