Pour utiliser un serveur LDAP existant avec Configuration Manager, vous devez :
étendre le schéma du serveur afin de prendre en charge les classes d'objet et les attributs personnalisés utilisés par Configuration Manager pour stocker les données de configuration.
personnaliser et enregistrer sur le serveur les informations de mappage des entrées dans le référentiel, ainsi que les entités prises en charge par Configuration Manager.
Les outils de déploiement suivants disponibles sur le CD-ROM d'installation sont requis pour utiliser un serveur LDAP existant avec Configuration Manager :
88apoc-registry.ldif : fichier de schéma présentant les classes d'objet et les attributs requis pour stocker les données de configuration.
OrganizationMapping : fichier de propriétés par défaut décrivant le mappage entre les entrées LDAP et les entités de Configuration Manager.
UserProfileMapping : fichier de propriétés par défaut décrivant le mappage entre les attributs d'entrée d'utilisateur LDAP et les attributs de profils utilisateur de Configuration Manager.
createServiceTree : script stockant les fichiers de mappage dans le référentiel LDAP.
deployApoc : script qui étend le schéma du serveur LDAP et qui stocke les fichiers de mappage dans le référentiel LDAP.
Les données de configuration sont stockées dans des arborescences d'entrées qui sont liées aux entrées auxquelles les données sont associées. Avant de pouvoir stocker sur un serveur LDAP les classes d'objet et les attributs utilisés par ces arborescences, vous devez ajouter les objets et les classes au schéma du serveur LDAP. Par exemple, le fichier d'extension de schéma fourni utilise le format LDIF pour ajouter ces objets et classes au serveur d'annuaire Sun JavaTM System. Pour ajouter ces objets et classes à d'autres serveurs LDAP, vous devez utiliser un format reconnu par les serveurs.
Pour définir le mappage entre les entrées LDAP et les entités de Configuration Manager, vous devez modifier le fichier de mappage nommé Organization. Il est nécessaire de fournir des valeurs correspondant au format du référentiel LDAP pour les différentes clés.
Les entités d'utilisateur sont identifiées par une classe d'objet que toutes les entités utilisent ainsi que par un attribut dont la valeur doit être unique dans tout le référentiel. Il est possible de fournir un format de nom d'affichage qui détermine la façon dont les utilisateurs seront affichés dans l'application de gestion. Le cas échéant, une entrée de container peut également être définie si une telle entrée est utilisée par les entrées d'utilisateur d'une organisation. Le nom des clés et leurs valeurs par défaut sont les suivants :
# Classe d'objet utilisée par toutes les entrées d'utilisateur User/ObjectClass=inetorgperson # Attribut dont la valeur dans les entrées d'utilisateur est unique dans le référentiel User/UniqueIdAttribute=uid # Container facultatif dans les entrées d'organisation des entrées d'utilisateur # ligne à supprimer s'il n'est pas utilisé User/Container=ou=People # Format de nom d'affichage dans l'application de gestion User/DisplayNameFormat=sn, givenname
Les entités de rôle sont identifiées par une liste de classes d'objet possibles qu'elles utilisent et par les attributs d'affectation de nom correspondants. Ces listes utilisent le format <item1>,<item2>,...,<itemN> et doivent être alignées. Elles doivent en effet comporter le même nombre d'éléments et l'énième classe d'objet doit être utilisée avec l'énième attribut d'affectation de nom. Deux clés définissent le lien entre les rôles et les utilisateurs ainsi qu'entre les rôles et les hôtes. La clé VirtualMemberAttribute doit spécifier un attribut dont les valeurs peuvent être obtenues à partir d'une entrée d'utilisateur ou d'hôte. Elle doit également contenir les DN complets des rôles auxquels l'entrée appartient. La clé MemberAttribute doit spécifier un attribut d'une entrée d'hôte ou d'utilisateur pour le filtre de recherche. Elle doit également contenir les DN complets des rôles auxquels l'utilisateur ou l'hôte appartient. La clé VirtualMemberAttribute peut être un attribut virtuel de classe de service, tandis que la clé MemberAttribute doit être un attribut physique pouvant être utilisé dans un filtre. Le nom des clés et leurs valeurs par défaut sont les suivants :
# Liste des classes d'objet pour les rôles Role/ObjectClass=nsRoleDefinition # Liste alignée des attributs d'affectation de nom correspondants Role/NamingAttribute=cn # Attribut physique (utilisable dans un filtre) contenant les DN # des rôles d'un utilisateur ou d'un hôte Role/MemberAttribute=nsRoleDN # Attribut dont l'interrogation sur un utilisateur ou un hôte renvoie #aux DN des rôles auxquels il appartient Role/VirtualMemberAttribute=nsRole
Les entités d'organisation sont identifiées d'une manière similaire aux rôles, avec deux listes alignées de classes d'objet et d'attributs d'affectation de nom correspondants. Le nom des clés et leurs valeurs par défaut sont les suivants :
# Liste des classes d'objet pour les organisations Organization/ObjectClass=organization # Liste alignée des attributs d'affectation de nom correspondants Organization/NamingAttribute=o
Les entités de domaine sont identifiées d'une manière similaire aux entités d'organisation. Le nom des clés et leurs valeurs par défaut sont les suivants :
# Liste des classes d'objet pour les domaines Domain/ObjectClass=ipNetwork # Liste alignée des attributs d'affectation de nom correspondants Domain/NamingAttribute=cn
Les entités d'hôte sont identifiées d'une manière similaire aux entités d'utilisateur. Le nom des clés et leurs valeurs par défaut sont les suivants :
# Classe d'objet utilisée par toutes les entrées d'hôte Host/ObjectClass=ipHost # Attribut dont la valeur dans les entrées d'hôte est unique dans le référentiel Host/UniqueIdAttribute=cn # Container facultatif dans les entrées de domaine des entrées d'hôte, # ligne à supprimer s'il n'est pas utilisé Host/Container=ou=Hosts
Pour définir le mappage entre les attributs d'entrées d'utilisateur LDAP et les attributs d'entités d'utilisateur de Configuration Manager, vous devez modifier le fichier de mappage de profils utilisateur. Chaque clé correspond à un attribut d'utilisateur de Configuration Manager. Une clé peut être assignée en tant que valeur au nom d'un attribut dans une entrée d'utilisateur, comme identifié par le mappage organisationnel. Les attributs utilisés dans le paramètre User/DisplayNameFormat doivent être assignés dans le mappage de Profils utilisateur. Le nom des clés et leurs valeurs par défaut sont les suivants :
# inetOrgPerson.givenName org.openoffice.UserProfile/Data/givenname = givenname # person.sn org.openoffice.UserProfile/Data/sn = sn # inetOrgPerson.initials org.openoffice.UserProfile/Data/initials = initials # organizationalPerson.street org.openoffice.UserProfile/Data/street = street,postalAddress,streetAddress # organizationalPerson.l (city) org.openoffice.UserProfile/Data/l = l # organizationalPerson.st (state) org.openoffice.UserProfile/Data/st = st # organizationalPerson.postalCode org.openoffice.UserProfile/Data/postalcode = postalcode # country.c (country) org.openoffice.UserProfile/Data/c = # organizationalPerson.o (company) org.openoffice.UserProfile/Data/o = o,organizationName # deprecated -- no LDAP corollary org.openoffice.UserProfile/Data/position = # organizationalPerson.title org.openoffice.UserProfile/Data/title = title # inetOrgPerson.homePhone org.openoffice.UserProfile/Data/homephone = homephone # organizationalPerson.telephoneNumber org.openoffice.UserProfile/Data/telephonenumber = telephonenumber # organizationalPerson.facsimileTelephoneNumber org.openoffice.UserProfile/Data/facsimiletelephonenumber = facsimiletelephonenumber,officeFax # inetOrgPerson.mail org.openoffice.UserProfile/Data/mail = mail
Une fois que les fichiers de mappage ont été personnalisés pour refléter l'état du référentiel LDAP, ils peuvent être déployés. Si le schéma du serveur LDAP contient déjà les classes d'objet et attributs requis, le script createServiceTree, peut directement être exécuté ; sinon, le script deployApoc doit être exécuté.
Le script deployApoc est destiné à être utilisé avec les Serveurs d'annuaire Sun JavaTM System. Il copie dans le répertoire adéquat le fichier d'extension de schéma fourni et procède à une itération du serveur LDAP, puis appelle le script createServiceTree. Le script doit être exécuté par un utilisateur disposant des autorisations pour copier les fichiers dans le référentiel de schéma et redémarrer le serveur ; il est appelé avec la commande suivante :
./deployApoc <répertoire du serveur d'annuaire>
Le paramètre <répertoire du serveur d'annuaire> doit correspondre au chemin d'accès au sous-répertoire slapd-<nom du serveur> d'une installation de Serveur d'annuaire. Si les répertoires par défaut ont été utilisés pour l'installation et que le serveur se nomme monserveur.mondomaine, ce répertoire correspond à /var/Sun/mps/slapd-monserveur.mondomaine.
Le script createServiceTree, qu'il soit appelé directement ou à partir du script deployApoc, demande à l'utilisateur d'indiquer l'emplacement du serveur LDAP (nom d'hôte, numéro de port et DN de base) et la définition d'un utilisateur disposant de droits d'accès administratifs (DN complet et mot de passe). Le script crée ensuite une arborescence de service d'initialisation sur le serveur LDAP afin d'y stocker les fichiers de mappage. Il peut être exécuté par n'importe quel utilisateur et est appelé avec la commande suivante :
./createServiceTree
L'utilisateur est ensuite invité à indiquer les éléments suivants :
Nom d'hôte (valeur par défaut : localhost) : nom d'hôte du serveur LDAP ;
Numéro de port (valeur par défaut : \389) : numéro de port du serveur LDAP ;
DN de base : DN de base du référentiel LDAP ;
DN de l'utilisateur (valeur par défaut : cn=Directory Manager) : DN complet d'un utilisateur disposant des autorisations suffisantes pour créer de nouvelles entrées sous le DN de base ;
Mot de passe : mot de passe de l'utilisateur en question ;
Une entrée avec le DN :
ou=ApocRegistry,ou=default,ou=OrganizationConfig,ou=1.0,ou=ApocService,ou=services, <baseDN>
est créée et remplie avec le contenu des deux fichiers de mappage.
Comme mentionné précédemment, les opérations réalisées par le script deployApoc partent du principe que vous utilisez un serveur LDAP dont les répertoires d'installation, la disposition et la procédure d'extension de schéma correspondent étroitement à ceux du serveur d'annuaire Sun Java System. D'autres répertoires nécessitent une extension manuelle du schéma afin de pouvoir exécuter le script createServiceTree. Pour en savoir plus sur l'utilisation d'OpenLDAP et d'ActiveDirectory, reportez-vous à l'Annexe C, Utilisation d'OpenLDAP et d'Active Directory avec Configuration Manager.
L'arborescence créée, qui correspond à celle qui contiendra les données de configuration associées aux entités, est alignée avec la structure des arborescences utilisées pour la gestion des services sur le Serveur d'identité Sun Java System.