Utilisation des services de noms et d'annuaire Oracle® Solaris 11.2 : LDAP

Quitter la vue de l'impression

 
Mis à jour : Juillet 2014
 
 

Initialisation d'un client LDAP

Il existe deux façon d'initialiser le client LDAP à l'aide de la commande ldapclient :

  • Utilisation d'un profil

    Lorsque vous exécutez la commande ldapclient, vous devez spécifier au minimum l'adresse de serveur du profil et le domaine. Si vous ne spécifiez pas de profil, le profil par défaut est utilisé. Le serveur fournit le reste des informations nécessaires du profil, à l'exception de celles relatives à la base de données de certificats et au proxy.

    Si le niveau d'identification du client est proxy ou proxy anonymous, vous devez fournir le mot de passe et le DN de liaison du proxy. Pour plus d'informations, reportez-vous à la section Niveaux d'identification client. Pour activer les mises à jour des données shadow, vous devez fournir les informations d'identification administrateur (adminDN et adminPassword).

    L'utilisation d'un profil facilite la configuration LDAP, en particulier dans les environnements d'entreprise.

  • Définition de tous les paramètres sur une seule ligne de commande

    Il n'existe aucun profil. Par conséquent, vous créez le profil sur le client lui-même. Grâce à cette méthode, les informations de profil sont stockées dans des fichiers en mémoire cache et ne sont jamais actualisées par le serveur.

Pour initialiser le client, vous pouvez employer différentes syntaxes de commandes qui utilisent la commande ldapclient.

  • Initialiser un client à l'aide d'un profil qui a été configuré avec les valeurs par défaut. Par exemple :

    # ldapclient init -a profilename=new -a domainname=west.example.com 192.168.0.1
System successfully configured

  • Initialiser un client dont le profil est configuré avec les informations d'identification par utilisateur et qui utilise la méthode d'authentification sasl/GSSAPI.

    Cet exemple suppose que, lorsque vous avez créé l'arborescence DIT à l'aide de la commande idsconfig, vous avez spécifié la méthode d'authentification et le niveau d'identification appropriés, comme par exemple le niveau d'identification self et la méthode d'authentification sasl/GSSAPI. Observez la sortie partielle suivante de la commande idsconfig dans laquelle les informations d'identification et de connexion par utilisateur sont créées sur le serveur.

    # /usr/lib/ldap/idsconfig
Do you wish to continue with server setup (y/n/h)? [n] y
Enter the Directory Server's hostname to setup: kdc.example.com
Enter the port number for DSEE (h=help): [389] <Enter your port>
Enter the directory manager DN: [cn=Directory Manager] <Enter your DN>
Enter passwd for cn=Directory Manager: <Enter your password>
Enter the domainname to be served (h=help): [example.com] <Enter your domain>
Enter LDAP Base DN (h=help): [dc=example,dc=com] <Enter your DN>
GSSAPI is supported. Do you want to set up gssapi:(y/n) [n] y
Enter Kerberos Realm: [EXAMPLE.COM] EXAMPLE.COM

    Le nom du profil est gssapi_EXAMPLE.COM. Une fois que vous avez créé le profil comme illustré dans l'exemple, vous pouvez exécuter la commande ldapclient pour initialiser le client à l'aide du profil par utilisateur.

    # ldapclient init -a profilename=gssapi_EXAMPLE.COM -a \
domainname=example.com 9.9.9.50
    Remarque -  Plusieurs conditions doivent être satisfaites lorsque vous initialisez un client configuré avec les informations d'identification et de connexion par utilisateur. Par exemple, la configuration Kerberos et la configuration du serveur DNS doivent fonctionner avec LDAP. Pour plus d'informations sur Kerberos, reportez-vous au manuel Gestion de Kerberos et d’autres services d’authentification dans Oracle Solaris 11.2 . Pour plus d'informations sur la configuration DNS, reportez-vous au Chapitre 3, Gestion du système de noms de domaine (DNS) du manuel Utilisation des services de noms et d’annuaire Oracle Solaris 11.2 : DNS et NIS . Reportez-vous au Chapter 2, LDAP et service d'authentification pour plus d'informations sur l'authentification et au Chapter 3, Exigences de planification pour les services de noms LDAP pour plus d'informations sur la création de l'arborescence DIT.

  • Initialiser un client qui utilise les informations d'identification du proxy. Par exemple :

    # ldapclient init \
-a proxyDN=cn=proxyagent,ou=profile,dc=west,dc=example,dc=com \
-a domainname=west.example.com \
-a profilename=pit1 \
-a proxypassword=test1234 192.168.0.1

    Les options –a proxyDN et –a proxyPassword sont obligatoires si le profil à utiliser est configuré pour proxy. Dans la mesure où les informations d'identification ne sont pas stockées dans le profil enregistré sur le serveur, vous devez les fournir lorsque vous initialisez le client. Cette méthode est plus sûre que l'ancienne qui consistait à stocker les informations d'identification proxy sur le serveur.

    Les informations de proxy sont stockées dans le service svc:/network/ldap/client au sein des groupes de propriété config et cred.

  • Initialiser un client pour activer la mise à jour des données shadow. Par exemple :

    # ldapclient init \
-a adminDN=cn=admin,ou=profile,dc=west,dc=example,dc=com \
-a adminPassword=admin-password \
-a domainName=west.example.com \
-a profileName=WestUserProfile \
-a proxyDN=cn=proxyagent,ou=profile,dc=west,dc=example,dc=com \
-a proxyPassword=proxy-password \
-a enableShadowUpdate=TRUE \
192.168.0.1
System successfully configured
Copyright © 2002, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant