bda5a01a0bdf8951665b454ea7c63fa47dd7cd85
Services/LDAP.md
| ... | ... | @@ -2,8 +2,8 @@ |
| 2 | 2 | |
| 3 | 3 | # Description |
| 4 | 4 | |
| 5 | -Le *LDAP* est la base de donnée centrale au ResEl. C'est dans cette base de |
|
| 6 | -donnée que sont enregistrés toutes les informations concernant les |
|
| 5 | +Le *LDAP* est la base de données centrale au ResEl. C'est dans cette base de |
|
| 6 | +données que sont enregistrées toutes les informations concernant les |
|
| 7 | 7 | utilisateurs et leurs machines, les clubs, ainsi que les serveurs du ResEl. |
| 8 | 8 | |
| 9 | 9 | Le *LDAP* pour *Lightweight Directory Access Protocol* est à l'origine un |
| ... | ... | @@ -17,7 +17,7 @@ de gérer un arbre *LDAP*. |
| 17 | 17 | Pour gérer le LDAP, le ResEl utilise la [suite](https://www.openldap.org/software/man.cgi?query=slapd) |
| 18 | 18 | **OpenLDAP**, dont le serveur est **slapd** (pour *stand alone LDAP daemon*). |
| 19 | 19 | |
| 20 | -Le serveur LDAP est hébergé sur la machine [Beaune](/Serveurs/Beaune) à Brest |
|
| 20 | +Le serveur LDAP est hébergé sur les machines [Beaune](/Serveurs/Beaune) à Brest |
|
| 21 | 21 | et [Lussac](/Serveurs/Lussac) à Rennes qui fait de la réplication LDAP. |
| 22 | 22 | |
| 23 | 23 | Le serveur LDAP écoute sur `ldap://ldap.adm.resel.fr:389` en clair ou sur `ldaps://ldap.adm.resel.fr:636` pour une connexion TLS. |
| ... | ... | @@ -33,14 +33,14 @@ Un script permet la vérification de l'intégrité du LDAP. Voir [intégrité]() |
| 33 | 33 | |
| 34 | 34 | Petits rappels sur le LDAP. |
| 35 | 35 | |
| 36 | -Un LDAP gère un annuaire sous forme d'un arbre. Les entrées de l'arbre (ou les derniers éléments de la hiérarchie) peuvent être des `commonName`, des `uid` (ou autres..) et sont censés représentés un utilisateurs. Tout utilisateurs qui utilise le LDAP est connecté via ce *commonName*. Les *commonName* font parties d'une *objectClass* qui les définit. Ils ont un ensemble d'`attributeType` contenant diverses infos. |
|
| 37 | -Les *commonName* sont regroupés au sein de la structure hiérarchique de l'arbre LDAP. Cette hiérarchie est appelée *DIT: Directory Information Tree*. Cette hiérarchie est définies par le format *X-500*. On utilise principalement cette hiérarchie là : |
|
| 38 | -- *DC: Domain Component* : élément séparés du domaine (DNS) du réseau. Par exemple la compagnie `society.com` aura une racine `dc=compagny,dc=com`. Si la compagnie a plusieurs sous domaine, ça formera autant de branche, `foo.society.com` et `bar.society.com` donneront les branches `dc=foo,dc=society,dc=com` et `dc=bar,dc=society,dc=com`. |
|
| 36 | +Un LDAP gère un annuaire sous forme d'un arbre. Les entrées de l'arbre (ou les derniers éléments de la hiérarchie) peuvent être des `commonName`, des `uid` (ou autres) et sont censés représenter un utilisateur. Tout utilisateur qui utilise le LDAP est connecté via ce *commonName*. Les *commonName* font partie d'une *objectClass* qui les définit. Ils ont un ensemble d'`attributeType` contenant diverses infos. |
|
| 37 | +Les *commonName* sont regroupés au sein de la structure hiérarchique de l'arbre LDAP. Cette hiérarchie est appelée *DIT: Directory Information Tree*. Cette hiérarchie est définie par le format *X-500*. On utilise principalement cette hiérarchie : |
|
| 38 | +- *DC: Domain Component* : élément séparés du domaine (DNS) du réseau. Par exemple la compagnie `society.com` aura une racine `dc=compagny,dc=com`. Si la compagnie a plusieurs sous domaine, ils formeront autant de branches : `foo.society.com` et `bar.society.com` donneront les branches `dc=foo,dc=society,dc=com` et `dc=bar,dc=society,dc=com`. |
|
| 39 | 39 | - *OU: organizationalUnit* : organisation qui contient des personnes, c'est un groupe. Elle peut contenir elle même des sous *OU*. |
| 40 | 40 | - *CN: commonName* : un type d'entrée final, contenant le nom d'une personne. |
| 41 | 41 | - *UID: user identifier* : un autre type d'entrée final, contenant l'identifiant d'une personne. |
| 42 | 42 | |
| 43 | -On désigne une entrée LDAP avec un *DN: Distinguished Name* et doit être lue de droite à gauche : par exemple `uid=tjacquin,ou=admins,dc=resel,dc=enst-bretagne,dc=fr`. |
|
| 43 | +On désigne une entrée LDAP avec un *DN: Distinguished Name* qui doit être lu de droite à gauche : par exemple `uid=tjacquin,ou=admins,dc=resel,dc=enst-bretagne,dc=fr`. |
|
| 44 | 44 | |
| 45 | 45 | On peut décrire une entrée LDAP avec la [notation LDIF](https://en.wikipedia.org/wiki/LDAP_Data_Interchange_Format) |
| 46 | 46 | ``` |
| ... | ... | @@ -53,9 +53,9 @@ Plus de détails sur les articles [ici](https://www.ldap.com/the-directory-infor |
| 53 | 53 | |
| 54 | 54 | ## Structure de l'arbre |
| 55 | 55 | |
| 56 | -Historiquement les noms de domaine du resel en `resel.enst-bretagne.fr` et de la maisel en `maisel.enst-bretagne.fr` ont donnés naissance a donc deux branches : `dc=maisel,dc=enst-bretagne,dc=fr` et `dc=maisel,dc=enst-bretagne,dc=fr`. |
|
| 57 | -La branche `dc=maisel,..` contient donc les informations relatives aux personnes physiques, aux clubs et assos, aux site de clubs et leur webmestres, c'est la branche plutôt *sociale*. |
|
| 58 | -La branche `dc=resel,..` contient les informations relatives aux personnes techniques et aux machines techniques du ResEl, les administrateurs, les machines, les switchs, ... |
|
| 56 | +Historiquement les noms de domaine du ResEl en `resel.enst-bretagne.fr` et de la Maisel en `maisel.enst-bretagne.fr` ont donné naissance à deux branches : `dc=maisel,dc=enst-bretagne,dc=fr` et `dc=maisel,dc=enst-bretagne,dc=fr`. |
|
| 57 | +La branche `dc=maisel,..` contient les informations relatives aux personnes physiques, aux clubs et assos, aux site de clubs et leur webmestres, c'est la branche plutôt *sociale*. |
|
| 58 | +La branche `dc=resel,..` contient les informations relatives aux personnes techniques et aux machines techniques du ResEl, les administrateurs, les machines, les switches,... |
|
| 59 | 59 | |
| 60 | 60 | (en gras, les branches les plus importantes) |
| 61 | 61 | |
| ... | ... | @@ -66,37 +66,37 @@ La branche `dc=resel,..` contient les informations relatives aux personnes techn |
| 66 | 66 | * *ou=divers* |
| 67 | 67 | * **ou=organisations** : associations et clubs du campus |
| 68 | 68 | * **ou=people** : personnes inscrites au ResEl |
| 69 | - * **ou=webmasters** : tous les webmasters |
|
| 69 | + * **ou=webmasters** : tous les webmestres |
|
| 70 | 70 | * **dc=resel,dc=enst-bretagne,dc=fr** |
| 71 | 71 | * *cn=replicator* |
| 72 | 72 | * **ou=admins** : admins ResEl |
| 73 | 73 | * **ou=machines** : machines inscrites au ResEl |
| 74 | 74 | * *ou=reseau* : switch du ResEl |
| 75 | 75 | * *ou=sites* : sites web (voir [sites des clubs](/Utilisateurs/SiteClubs#fonctionnement_sch%C3%A9ma-ldap-sp%C3%A9cifique) pour des détails précis sur cette branche) |
| 76 | - * *ou=snmp* : alias snmp pour les différents switchs |
|
| 76 | + * *ou=snmp* : alias snmp pour les différents switches |
|
| 77 | 77 | |
| 78 | 78 | ### Description des objets ResEl |
| 79 | 79 | |
| 80 | -Un annuaire LDAP contiennent des branches, dans ces branches, on peut avoir des groupes `organizationalUnit`, puis finalement à la fin de la hiérarchie, on trouve des éléments `commonName`. Chaque élément est une instance d'une classe (`objectClass`) et ces objets contiennent des attributs. |
|
| 80 | +Un annuaire LDAP contient des branches, dans lesquelles on peut avoir des groupes `organizationalUnit`, puis à la fin de la hiérarchie, on trouve des éléments `commonName`. Chaque élément est une instance d'une classe (`objectClass`) et ces objets contiennent des attributs. |
|
| 81 | 81 | |
| 82 | 82 | Pour son utilisation, le ResEl a défini quelques objets LDAP spécifiques, [vous pouvez les retrouver dans la configuration](https://git.resel.fr/confs/ldap/blob/master/schema/resel-14628.schema), voici une description : |
| 83 | 83 | |
| 84 | 84 | Classes définies : |
| 85 | -- *enstbPerson* : pesonne ayant un compte ecole (tout le monde sur l'annuaire) |
|
| 86 | -- *maiselPerson* : personne ayant une chambre a la maisel |
|
| 87 | -- *reselPerson* : personne ayant au moins une machine au resel |
|
| 88 | -- *mailPerson* : personne ayant un compte mail sur le resel |
|
| 89 | -- *aePerson* : personne membre de l'Association des Eleves |
|
| 85 | +- *enstbPerson* : pesonne ayant un compte école (tout le monde sur l'annuaire) |
|
| 86 | +- *maiselPerson* : personne ayant une chambre à la Maisel |
|
| 87 | +- *reselPerson* : personne ayant au moins une machine au ResEl |
|
| 88 | +- *mailPerson* : personne ayant un compte mail au ResEl |
|
| 89 | +- *aePerson* : personne membre de l'Association des Élèves |
|
| 90 | 90 | - *club* : un club |
| 91 | 91 | - *poste* : un poste dans un club |
| 92 | -- *machine* : une machine ayant une ip sur le resel |
|
| 93 | -- *administrateur* : personne ayant des droits d'administration sur le resel |
|
| 92 | +- *machine* : une machine ayant une IP au ResEl |
|
| 93 | +- *administrateur* : personne ayant des droits d'administration au ResEl |
|
| 94 | 94 | - *reselSwitch* : switch (contenant des ports comme fils) |
| 95 | -- *switchPort* : association port/(No de chambre ou autre switch ou rien) |
|
| 96 | -- *snmpType* : type de switch, ses fils d?crivent comment manipuler un switch |
|
| 97 | -- *mib* : reference vers une valeur lisible (voire modifiable) du switch |
|
| 98 | -- *mibValue* : valeur possible pour un mib donn? |
|
| 99 | -- *guestPerson* : personne residant a la MaisEl temporairement mais ne disposant pas de compte ecole |
|
| 95 | +- *switchPort* : association port/(numéro de chambre ou autre switch ou rien) |
|
| 96 | +- *snmpType* : type de switch, ses fils décrivent comment manipuler un switch |
|
| 97 | +- *mib* : référence vers une valeur lisible (voire modifiable) du switch |
|
| 98 | +- *mibValue* : valeur possible pour un MIB donné |
|
| 99 | +- *guestPerson* : personne résidant a la Maisel temporairement mais ne disposant pas de compte école |
|
| 100 | 100 | |
| 101 | 101 | # Utilisation |
| 102 | 102 |