bda5a01a0bdf8951665b454ea7c63fa47dd7cd85
Services/LDAP.md
... | ... | @@ -2,8 +2,8 @@ |
2 | 2 | |
3 | 3 | # Description |
4 | 4 | |
5 | -Le *LDAP* est la base de donnée centrale au ResEl. C'est dans cette base de |
|
6 | -donnée que sont enregistrés toutes les informations concernant les |
|
5 | +Le *LDAP* est la base de données centrale au ResEl. C'est dans cette base de |
|
6 | +données que sont enregistrées toutes les informations concernant les |
|
7 | 7 | utilisateurs et leurs machines, les clubs, ainsi que les serveurs du ResEl. |
8 | 8 | |
9 | 9 | Le *LDAP* pour *Lightweight Directory Access Protocol* est à l'origine un |
... | ... | @@ -17,7 +17,7 @@ de gérer un arbre *LDAP*. |
17 | 17 | Pour gérer le LDAP, le ResEl utilise la [suite](https://www.openldap.org/software/man.cgi?query=slapd) |
18 | 18 | **OpenLDAP**, dont le serveur est **slapd** (pour *stand alone LDAP daemon*). |
19 | 19 | |
20 | -Le serveur LDAP est hébergé sur la machine [Beaune](/Serveurs/Beaune) à Brest |
|
20 | +Le serveur LDAP est hébergé sur les machines [Beaune](/Serveurs/Beaune) à Brest |
|
21 | 21 | et [Lussac](/Serveurs/Lussac) à Rennes qui fait de la réplication LDAP. |
22 | 22 | |
23 | 23 | Le serveur LDAP écoute sur `ldap://ldap.adm.resel.fr:389` en clair ou sur `ldaps://ldap.adm.resel.fr:636` pour une connexion TLS. |
... | ... | @@ -33,14 +33,14 @@ Un script permet la vérification de l'intégrité du LDAP. Voir [intégrité]() |
33 | 33 | |
34 | 34 | Petits rappels sur le LDAP. |
35 | 35 | |
36 | -Un LDAP gère un annuaire sous forme d'un arbre. Les entrées de l'arbre (ou les derniers éléments de la hiérarchie) peuvent être des `commonName`, des `uid` (ou autres..) et sont censés représentés un utilisateurs. Tout utilisateurs qui utilise le LDAP est connecté via ce *commonName*. Les *commonName* font parties d'une *objectClass* qui les définit. Ils ont un ensemble d'`attributeType` contenant diverses infos. |
|
37 | -Les *commonName* sont regroupés au sein de la structure hiérarchique de l'arbre LDAP. Cette hiérarchie est appelée *DIT: Directory Information Tree*. Cette hiérarchie est définies par le format *X-500*. On utilise principalement cette hiérarchie là : |
|
38 | -- *DC: Domain Component* : élément séparés du domaine (DNS) du réseau. Par exemple la compagnie `society.com` aura une racine `dc=compagny,dc=com`. Si la compagnie a plusieurs sous domaine, ça formera autant de branche, `foo.society.com` et `bar.society.com` donneront les branches `dc=foo,dc=society,dc=com` et `dc=bar,dc=society,dc=com`. |
|
36 | +Un LDAP gère un annuaire sous forme d'un arbre. Les entrées de l'arbre (ou les derniers éléments de la hiérarchie) peuvent être des `commonName`, des `uid` (ou autres) et sont censés représenter un utilisateur. Tout utilisateur qui utilise le LDAP est connecté via ce *commonName*. Les *commonName* font partie d'une *objectClass* qui les définit. Ils ont un ensemble d'`attributeType` contenant diverses infos. |
|
37 | +Les *commonName* sont regroupés au sein de la structure hiérarchique de l'arbre LDAP. Cette hiérarchie est appelée *DIT: Directory Information Tree*. Cette hiérarchie est définie par le format *X-500*. On utilise principalement cette hiérarchie : |
|
38 | +- *DC: Domain Component* : élément séparés du domaine (DNS) du réseau. Par exemple la compagnie `society.com` aura une racine `dc=compagny,dc=com`. Si la compagnie a plusieurs sous domaine, ils formeront autant de branches : `foo.society.com` et `bar.society.com` donneront les branches `dc=foo,dc=society,dc=com` et `dc=bar,dc=society,dc=com`. |
|
39 | 39 | - *OU: organizationalUnit* : organisation qui contient des personnes, c'est un groupe. Elle peut contenir elle même des sous *OU*. |
40 | 40 | - *CN: commonName* : un type d'entrée final, contenant le nom d'une personne. |
41 | 41 | - *UID: user identifier* : un autre type d'entrée final, contenant l'identifiant d'une personne. |
42 | 42 | |
43 | -On désigne une entrée LDAP avec un *DN: Distinguished Name* et doit être lue de droite à gauche : par exemple `uid=tjacquin,ou=admins,dc=resel,dc=enst-bretagne,dc=fr`. |
|
43 | +On désigne une entrée LDAP avec un *DN: Distinguished Name* qui doit être lu de droite à gauche : par exemple `uid=tjacquin,ou=admins,dc=resel,dc=enst-bretagne,dc=fr`. |
|
44 | 44 | |
45 | 45 | On peut décrire une entrée LDAP avec la [notation LDIF](https://en.wikipedia.org/wiki/LDAP_Data_Interchange_Format) |
46 | 46 | ``` |
... | ... | @@ -53,9 +53,9 @@ Plus de détails sur les articles [ici](https://www.ldap.com/the-directory-infor |
53 | 53 | |
54 | 54 | ## Structure de l'arbre |
55 | 55 | |
56 | -Historiquement les noms de domaine du resel en `resel.enst-bretagne.fr` et de la maisel en `maisel.enst-bretagne.fr` ont donnés naissance a donc deux branches : `dc=maisel,dc=enst-bretagne,dc=fr` et `dc=maisel,dc=enst-bretagne,dc=fr`. |
|
57 | -La branche `dc=maisel,..` contient donc les informations relatives aux personnes physiques, aux clubs et assos, aux site de clubs et leur webmestres, c'est la branche plutôt *sociale*. |
|
58 | -La branche `dc=resel,..` contient les informations relatives aux personnes techniques et aux machines techniques du ResEl, les administrateurs, les machines, les switchs, ... |
|
56 | +Historiquement les noms de domaine du ResEl en `resel.enst-bretagne.fr` et de la Maisel en `maisel.enst-bretagne.fr` ont donné naissance à deux branches : `dc=maisel,dc=enst-bretagne,dc=fr` et `dc=maisel,dc=enst-bretagne,dc=fr`. |
|
57 | +La branche `dc=maisel,..` contient les informations relatives aux personnes physiques, aux clubs et assos, aux site de clubs et leur webmestres, c'est la branche plutôt *sociale*. |
|
58 | +La branche `dc=resel,..` contient les informations relatives aux personnes techniques et aux machines techniques du ResEl, les administrateurs, les machines, les switches,... |
|
59 | 59 | |
60 | 60 | (en gras, les branches les plus importantes) |
61 | 61 | |
... | ... | @@ -66,37 +66,37 @@ La branche `dc=resel,..` contient les informations relatives aux personnes techn |
66 | 66 | * *ou=divers* |
67 | 67 | * **ou=organisations** : associations et clubs du campus |
68 | 68 | * **ou=people** : personnes inscrites au ResEl |
69 | - * **ou=webmasters** : tous les webmasters |
|
69 | + * **ou=webmasters** : tous les webmestres |
|
70 | 70 | * **dc=resel,dc=enst-bretagne,dc=fr** |
71 | 71 | * *cn=replicator* |
72 | 72 | * **ou=admins** : admins ResEl |
73 | 73 | * **ou=machines** : machines inscrites au ResEl |
74 | 74 | * *ou=reseau* : switch du ResEl |
75 | 75 | * *ou=sites* : sites web (voir [sites des clubs](/Utilisateurs/SiteClubs#fonctionnement_sch%C3%A9ma-ldap-sp%C3%A9cifique) pour des détails précis sur cette branche) |
76 | - * *ou=snmp* : alias snmp pour les différents switchs |
|
76 | + * *ou=snmp* : alias snmp pour les différents switches |
|
77 | 77 | |
78 | 78 | ### Description des objets ResEl |
79 | 79 | |
80 | -Un annuaire LDAP contiennent des branches, dans ces branches, on peut avoir des groupes `organizationalUnit`, puis finalement à la fin de la hiérarchie, on trouve des éléments `commonName`. Chaque élément est une instance d'une classe (`objectClass`) et ces objets contiennent des attributs. |
|
80 | +Un annuaire LDAP contient des branches, dans lesquelles on peut avoir des groupes `organizationalUnit`, puis à la fin de la hiérarchie, on trouve des éléments `commonName`. Chaque élément est une instance d'une classe (`objectClass`) et ces objets contiennent des attributs. |
|
81 | 81 | |
82 | 82 | Pour son utilisation, le ResEl a défini quelques objets LDAP spécifiques, [vous pouvez les retrouver dans la configuration](https://git.resel.fr/confs/ldap/blob/master/schema/resel-14628.schema), voici une description : |
83 | 83 | |
84 | 84 | Classes définies : |
85 | -- *enstbPerson* : pesonne ayant un compte ecole (tout le monde sur l'annuaire) |
|
86 | -- *maiselPerson* : personne ayant une chambre a la maisel |
|
87 | -- *reselPerson* : personne ayant au moins une machine au resel |
|
88 | -- *mailPerson* : personne ayant un compte mail sur le resel |
|
89 | -- *aePerson* : personne membre de l'Association des Eleves |
|
85 | +- *enstbPerson* : pesonne ayant un compte école (tout le monde sur l'annuaire) |
|
86 | +- *maiselPerson* : personne ayant une chambre à la Maisel |
|
87 | +- *reselPerson* : personne ayant au moins une machine au ResEl |
|
88 | +- *mailPerson* : personne ayant un compte mail au ResEl |
|
89 | +- *aePerson* : personne membre de l'Association des Élèves |
|
90 | 90 | - *club* : un club |
91 | 91 | - *poste* : un poste dans un club |
92 | -- *machine* : une machine ayant une ip sur le resel |
|
93 | -- *administrateur* : personne ayant des droits d'administration sur le resel |
|
92 | +- *machine* : une machine ayant une IP au ResEl |
|
93 | +- *administrateur* : personne ayant des droits d'administration au ResEl |
|
94 | 94 | - *reselSwitch* : switch (contenant des ports comme fils) |
95 | -- *switchPort* : association port/(No de chambre ou autre switch ou rien) |
|
96 | -- *snmpType* : type de switch, ses fils d?crivent comment manipuler un switch |
|
97 | -- *mib* : reference vers une valeur lisible (voire modifiable) du switch |
|
98 | -- *mibValue* : valeur possible pour un mib donn? |
|
99 | -- *guestPerson* : personne residant a la MaisEl temporairement mais ne disposant pas de compte ecole |
|
95 | +- *switchPort* : association port/(numéro de chambre ou autre switch ou rien) |
|
96 | +- *snmpType* : type de switch, ses fils décrivent comment manipuler un switch |
|
97 | +- *mib* : référence vers une valeur lisible (voire modifiable) du switch |
|
98 | +- *mibValue* : valeur possible pour un MIB donné |
|
99 | +- *guestPerson* : personne résidant a la Maisel temporairement mais ne disposant pas de compte école |
|
100 | 100 | |
101 | 101 | # Utilisation |
102 | 102 |