Changes in fa7b24e: Fin de correction orthographique (et correction notation polonaise)

				Services/LDAP.md
			
          @@ -100,23 +100,23 @@ Classes définies :

           # Utilisation

          -### Interfaces admins

          +### Interfaces admin

          -Pour les lectures courantes (de la part d'administrateurs), il est conseillé d'utiliser [l'interface admin](https://admin.resel.fr). Vous ne risquez pas de faire trop de betises avec.

          +Pour les lectures courantes (de la part d'administrateurs), il est conseillé d'utiliser [l'interface admin](https://admin.resel.fr). Vous ne risquez pas de faire trop de bétises avec.

          -Dans certains cas, il est nécessaire de faire des requêtes personnalisés. Dans ce cas il est conseillé d'utiliser [phpLdapAdmin](https://admin.resel.fr/phpldapadmin/).

          +Dans certains cas, il est nécessaire de faire des requêtes personnalisées. Dans ce cas il est conseillé d'utiliser [phpLdapAdmin](https://admin.resel.fr/phpldapadmin/).

           ### Manuellement

           #### Lire dans le LDAP

          -**ldapvi** est un éditeur en ligne de commande qui ouvre l'ensemble du LDAP dans votre éditeur de texte préféré, défini dans la variable `$EDITOR`. Pour l'utiliser, voilà deux solutions : 

          +**ldapvi** est un éditeur en ligne de commande qui ouvre l'ensemble du LDAP dans votre éditeur de texte préféré, défini par la variable `$EDITOR`. Pour l'utiliser, voilà deux solutions : 

           * Se connecter sur [Beaune](/Serveurs/Beaune) et lancer `ldapvi` dessus : 

           ```

           ldapvi --discover

           ```

          -Si vous avez les droits nécessaire, vous pouvez faire les modifications que vous voulez. 

          +Si vous avez les droits nécessaires, vous pouvez faire les modifications que vous voulez. 

           * En local, éditer `~/.ldaprc`

           ```

           HOST ldap.adm.resel.fr

          @@ -145,16 +145,16 @@ ldapsearch -LLL -x -H ldap://lussac.adm.maisel.rennes.enst-bretagne.fr -b "dc=re

           ```

           #### Répliquer une branche du LDAP

          -Il arrive que l'on ait besoin de répliquer une ou plusieurs branches du LDAP, lors d'une update par exemple, ou une désynchronysation entre un LDAP de Brest et de Rennes.

          -Pour ce faire, on commence par récupérer la branche au format *LDIF*, soit en utilisant la commande précédente ou l'ensemble de la branche, soit en utilisant **slapcat**:

          +Il arrive que l'on ait besoin de répliquer une ou plusieurs branches du LDAP, lors d'une mise à jour, ou dans le cas d'une désynchronisation entre les LDAP de Brest et de Rennes par exemple.

          +Pour ce faire, on commence par récupérer la branche au format *LDIF*, soit en utilisant la commande précédente, soit en utilisant **slapcat**:

           ```

           slapcat -n dbnum > mon_fichier.ldif

          -    -n spécifie le numéro de la base de données. À l'heure où ces lignes sont écrites, la branche maisel est sur la base de données N°1, et la branche ResEl sur la N°2

          +    -n spécifie le numéro de la base de données. À l'heure où ces lignes sont écrites, la branche Maisel est sur la base de données N°1, et la branche ResEl sur la N°2

           ```

           **À vérifier** il peut être bon de supprimer la branche concernée avant de l'importer dans **/var/lib/ldap**

          -Pour ajouter la sauvegarde *après avoir coupé le service sldap*, on utilise **slapadd** **en utilisant screen ou tmux** , cette action étant très longue, une coupure de connexion peut lui être fatale.:

          +Pour ajouter la sauvegarde *après avoir coupé le service sldap*, on utilise **slapadd** **en utilisant screen ou tmux**. Cette action étant très longue, une coupure de connexion peut lui être fatale.

           ```

           slapadd -l mon_fichier.ldif -c

          @@ -163,21 +163,21 @@ slapadd -l mon_fichier.ldif -c

               -q effectue moins de vérifications (plus rapide mais risque de corruption)

           ```

          -**Attention** si *slapadd* est exécuté en root, il fait donner les droits au LDAP sinon slapd ne démarre pas:

          +**Attention** si *slapadd* est exécuté en root, il faut donner les droits au LDAP sinon slapd ne démarre pas:

           ```

           chown -R openldap:openldap /var/lib/ldap

           ```

           ### Scripting

          -Si vous avez besoin d'accéder au ldap dans des scripts, ou depuis quelconque code d'un projet ResEl il existe quelques ressources sur internet :  

          +Si vous avez besoin d'accéder au ldap dans des scripts, ou depuis un quelconque code d'un projet ResEl, il existe quelques ressources sur internet :  

           * https://www.python-ldap.org/

           * https://github.com/pyldap/pyldap

           ### Les filtres LDAP

           Pour faire des recherches, on peut utiliser des filtres.

          -La syntaxe pour faire ces filtres suit la notation polonaise inversée :

          +La syntaxe pour faire ces filtres suit la notation polonaise :

           ```

           (OPERATEUR_BOOLÉEN(attribut OPERATEUR_BINAIRE valeur)(attribut OPERATEUR_BINAIRE valeur)...)

           ```

          @@ -224,7 +224,7 @@ Idem que le premier exemple en excluant la branche `ou=club-old,dc=maisel,dc=ens

           ### Les URL et URI LDAP

          -Afin d'accéder rapidement à une ressource, nous pouvons utiliser une url ldap de la forme suivante :

          +Afin d'accéder rapidement à une ressource, nous pouvons utiliser une URL LDAP de la forme suivante :

           ```

           ldap[s]://<hostname>:<port>/<base_dn>?<attributes>?<scope>?<filter>?<extensions>

           ```

          @@ -235,12 +235,10 @@ avec les paramètres suivants:

            * `base_dn` : DN de l'entrée qui est le point de départ de la recherche. 

            * `attributes` : Les attributs que l'on veut récupérer, séparés par des virgules. 

          -Si la valeur n'est pas remplie, ou si elle est rempli avec une `*`, tous les attributs d'usage `userApplication` doivent être retournés.

          +Si la valeur n'est pas remplie, ou si elle est remplie avec un `*`, tous les attributs d'usage `userApplication` doivent être retournés.

            * `scope` : La profondeur de la recherche dans l'arbre : base, one ou sub. 

            * `filter` : Le filtre de recherche, tel que nous venons de le définir. Le filtre par défaut est (objectClass=*). 

          - * `extensions` : Les extensions sont un moyen pour pouvoir ajouter des fonctionnalités aux URLs 

          -

          -LDAP tout en gardant la même syntaxe. On peut mettre inclure plusieurs extensions dans une URL, en les séparant par des `,`. 

          + * `extensions` : Les extensions sont un moyen pour pouvoir ajouter des fonctionnalités aux URL LDAP tout en gardant la même syntaxe. On peut inclure plusieurs extensions dans une URL, en les séparant par des `,`. 

           Les extensions ont le format suivant : `type=value`. La partie `=value` est optionnelle. Elle peuvent être préfixée par un ! pour signaler une extension critique. Une extension critique signifie que le client et le serveur doivent supporter tous les deux l'extension,  sinon une erreur sera levée.

          @@ -267,7 +265,7 @@ macAddress: 00:1c:57:4b:42:41

           ObjectClass: reselSwitch

           ```

          -Importer dans le LDAP en remplacant l'ou=C1 par l'emplacement du switch, le cn et host par le nom du switch. Il faut aussi incrémenter unite:

          +Importer dans le LDAP en remplacant l'ou=C1 par l'emplacement du switch, le cn et host par le nom du switch. Il faut aussi incrémenter unite :

           ```

           dn: cn=pessac,ou=C1,ou=reseau,dc=resel,dc=enst-bretagne,dc=fr

           objectClass: reselSwitch

          @@ -279,7 +277,7 @@ unite: 1

           # Configuration

          -:warning: La configuration du LDAP fait l'objet d'un versionnage sur le dépôt Git [confs/LDAP](https://git.resel.fr/confs/ldap/). N'oubliez pas de commitez vos modifications !

          +:warning: La configuration du LDAP fait l'objet d'un versionnage sur le dépôt Git [confs/LDAP](https://git.resel.fr/confs/ldap/). N'oubliez pas de commiter vos modifications !

           La configuration du serveur *slapd* se trouve sur [Beaune](/Serveurs/Beaune) et [Lussac](/Serveurs/Lussac) dans `/etc/ldap`.

          @@ -296,13 +294,14 @@ Le dépôt contient la configuration du maître (Beaune), et de l'esclave (Lussa

           L'utilitaire `slaptest` permet de tester la validité de la configuration du serveur.

           Le *daemon* est géré par un simple service SysVinit : ```service slapd (start|stop|restart|status)```

          +

           **Important : Ne jamais lancer slapd en tant que root**

           ### Général

           Voici des éléments importants de la configuration du LDAP :

          -Dans `master.cf`, on commence par définir divers paramètres de fonctionnement du serveur, on inclut les fichiers de configurations annexes, notemment les schémas LDAP.

          +Dans `master.cf`, on commence par définir divers paramètres de fonctionnement du serveur, on inclut les fichiers de configurations annexes, notamment les schémas LDAP.

           ```conf

           include		/etc/ldap/schema/resel-14628.schema

          @@ -311,7 +310,7 @@ include 	/etc/ldap/access-master.ldap

           La première ligne inclut les schémas spécifiques au ResEl, la seconde inclut les règles d'accès aux éléments du LDAP en configurant les droits. Voir les parties suivantes pour plus de détails.

          -Ensuite on configurer l'emplacement des certificats TLS.

          +Ensuite on configure l'emplacement des certificats TLS.

           ```conf

           TLSVerifyClient never

           TLSCertificateKeyFile	/etc/ldap/tls/ldap-key.pem.nopass

          @@ -319,36 +318,36 @@ TLSCertificateFile /etc/ldap/tls/ldap-crt.pem

           TLSCACertificateFile /etc/ldap/tls/cacert.pem

           ```

          -Divers configurations pour les pid files et log files, certains paramètres de lancement définis dans le fichier `/var/run/slapd/slapd.args`.

          -Puis des définitions des noms des modules noyaux qui vont être lancés par sladp. 

          +Diverses configurations pour les pid files et log files, certains paramètres de lancement définis dans le fichier `/var/run/slapd/slapd.args`.

          +Puis des définitions des noms des modules noyau qui vont être lancés par sladp. 

          -Enfin commence la configuration elle même des bases de données.

          +Enfin commence la configuration des bases de données.

           On commence par indiquer que le backend est *bdb* : `backend bdb`.

          -On déclare la branche ldap `maisel` avec :

          +On déclare la branche LDAP `maisel` avec :

           ```conf

           database        bdb

           suffix          "dc=maisel,dc=enst-bretagne,dc=fr"

           ```

          -Puis la configuration de cette branche suit, on commence par définir le *DN root* et le *mot de passe root* contenus dans le fichier `include 	/etc/ldap/rootdn-master.ldap`. Puis le chemin de sauvegarde physique de la BDD `directory       "/var/lib/ldap/maisel"` et finalement divers options d'*indexing* et d'activation de fonctionnalité comme `memberof`.

          +Puis la configuration de cette branche suit, on commence par définir le *DN root* et le *mot de passe root* contenus dans le fichier `include 	/etc/ldap/rootdn-master.ldap`. Puis le chemin de sauvegarde physique de la BDD `directory       "/var/lib/ldap/maisel"` et finalement diverses options d'*indexing* et d'activation de fonctionnalités comme `memberof`.

          -Les lignes suivantes active la synchronisation de la branche.

          +Les lignes suivantes activent la synchronisation de la branche.

           ```conf

           overlay syncprov

           syncprov-checkpoint 100 10

           syncprov-sessionlog 100

           ```

          -Puis la configuration de la branche `resel` suit, configurée de la même manière.

          +Puis la configuration de la branche `resel` suit.

           ### Schéma

           Plus de détails sur la [compréhension des schémas LDAP](https://www.ldap.com/understanding-ldap-schema).

          -La configuration de schémas est incluses dans tout les fichiers `schema/*.schema`. Elle configure tout les *objectClass* et *attributeType* décrits dans la section [Mise en place](#mise-en-place_structure-de-l-arbre_description-des-objets-resel).

          +La configuration de schémas est incluse dans tous les fichiers `schema/*.schema`. Elle configure tout les *objectClass* et *attributeType* décrits dans la section [Mise en place](#mise-en-place_structure-de-l-arbre_description-des-objets-resel).

           Voici la syntaxe des fichiers de schéma.

          @@ -366,7 +365,7 @@ attributetype ( 1.3.6.1.4.1.14628.3.0 NAME 'firstName'

           ```

           Le numéro `1.3.6.1.4.1.14628.3.0` définit l'*OID: Object Identifier*, c'est un champ très peu lisible utile pour le LDAP.

          -A noter que le dernier numéro doit incrémenter à chaque fois.

          +A noter que le dernier numéro doit être incrémenté à chaque fois.

           #### Création d'un ObjectClass

          @@ -388,9 +387,9 @@ La configuration des droits est définie dans `acces-(slave|master).conf`

           - Accès au CN *Monitor* par l'utilisateur `admin` (pas les admins en général).

           - Accès au CN *accesslog* par un *ldapadmin* (cn ayant le champ droit `ldapadmin`), l'admin et le *replicator*.

           - Accès au CN à divers élements (et le droit associé) aux admins ayant le droit en question. (Voir l'article [gestion des droits des admins](/)

          -- Accès au mot de passe par l'utilisateur lui même, par un *ladpadmin*, par le *replicator* en lecture, par tout le monde en comparaison.

          -- Accès à la clé privé d'un admin par lui même, ansible et le replicator en lecture

          -- Accès au branche *organisation* et au *sites* par les membres qui sont dans le *memberUid* du site, ou les *reseladmin*. 

          +- Accès au mot de passe par l'utilisateur lui même, par un *ldapadmin*, par le *replicator* en lecture, par tout le monde en comparaison.

          +- Accès à la clé privée d'un admin par lui même, ansible et le replicator en lecture

          +- Accès aux branches *organisation* et *sites* par les membres qui sont dans le *memberUid* du site, ou les *reseladmin*. 

           - Acces à tout par tout le monde en lecture.

          @@ -401,51 +400,51 @@ Voir la [documentation officielle](http://www.openldap.org/doc/admin24/access-co

           La syntaxe est la suivante :

           ```

           access to <champ>

          -       by <regle dacces> <droit>

          +       by <règle d'accès> <droit>

           ```

          -Globalement, on configure l'accès à un endroit précis du LDAP via le *champ*, cela peut être sous la forme d'un DN : `dn.subtree="cn=Monitor"`, ce DN va préciser le CN précise, ou tout une branche ou un groupe ; ou plus généralement avec des wildcars comme `*`.

          -On peut un attribut avec `attrs=droit` ou plus spécifiquement l'attribut d'un objet précis avec `attrs=<attr> dn.subtree=<dn_voulu>`.

          +Globalement, on configure l'accès à un endroit précis du LDAP via le *champ*, cela peut être sous la forme d'un DN : `dn.subtree="cn=Monitor"`, ce DN va préciser le CN précis ou tout une branche ou un groupe ; ou plus généralement avec des wildcards comme `*`.

          +On peut préciser un attribut avec `attrs=droit` ou plus spécifiquement l'attribut d'un objet précis avec `attrs=<attr> dn.subtree=<dn_voulu>`.

          -Puis les règles d'accès consiste à vérifier comparer le CN de l'utilisateur qui accède (car tout les utilisateurs qui accèdent au LDAP se connectent avec un CN du LDAP). On peut donc vérifier que le cn vaut exactement quelque chose `by dn.exact="cn=admin,dc=maisel,dc=enst-bretagne,dc=fr"` ou être plus précis en vérifiant un attribut du CN : `set.exact="user/droit* & [ldapadmin]" write`.  

          -Dans cette règle d'accès, `this` pointe sur l'élément auquel on tente d'accéder, et `user` pointe sur l'utilisateur qui veut y accéder. On accède aux valeurs des attributs par le `/`.  On précise une chaîne telle quelle entre `[ ]`

          -Pour vérifier une égalité de champs, on peut utilise `set.exact="this/attr1 & user/attr2", ou `set.exact="user/attr & [foo]"

          +Puis les règles d'accès consistent à comparer le CN de l'utilisateur qui accède (car tous les utilisateurs qui accèdent au LDAP se connectent avec un CN du LDAP). On peut donc vérifier que le CN vaut exactement quelque chose `by dn.exact="cn=admin,dc=maisel,dc=enst-bretagne,dc=fr"` ou être plus précis en vérifiant un attribut du CN : `set.exact="user/droit* & [ldapadmin]" write`.  

          +Dans cette règle d'accès, `this` pointe sur l'élément auquel on tente d'accéder, et `user` pointe sur l'utilisateur qui veut y accéder. On accède aux valeurs des attributs par le `/`.  On précise une chaîne telle quelle entre `[ ]`.

          +Pour vérifier une égalité de champs, on peut utiliser `set.exact="this/attr1 & user/attr2"`, ou `set.exact="user/attr & [foo]"`

          -Finalement le droit est soit `read` soit `write` ou `compare`. Le droit *compare* est par exemple utile pour vérifier si un mot de passe est le bon sans avoir à le lire.

          +Finalement le droit est soit `read` soit `write` soit `compare`. Le droit *compare* est par exemple utile pour vérifier si un mot de passe est le bon sans avoir à le lire.

           ### Réplication Brest-Rennes

          -On utilise pour la réplication **SyncRepl**, la configuration dans le fichier `replication-resel.ldap` et `replication-maisel.ldap`, un fichier par branche.

          +On utilise pour la réplication **SyncRepl**, configuré dans les fichiers `replication-resel.ldap` et `replication-maisel.ldap`, un fichier par branche.

          -Le LDAP de Rennes établi une connexion persistante vers l’annuaire maître et synchronise l’annuaire en temps réel. Il est possible de vérifier que la connexion est bien établie avec la commande netstat :

          +Le LDAP de Rennes établit une connexion persistante vers l’annuaire maître et synchronise l’annuaire en temps réel. Il est possible de vérifier que la connexion est bien établie avec la commande netstat :

           ```

           sudo netstat -naptu | grep "ESTABLISHED.*slapd"

           ```

           Le résultat de cette commande doit montrer une connexion TCP établie entre l’adresse IP de l’esclave et l’adresse IP du maître sur le port 389 ou 636 (TLS) suivant ce qui est défini dans les fichiers [replication-resel.ldap](https://git.resel.fr/confs/ldap/blob/master/replication-resel.ldap) et [replication-maisel.ldap](https://git.resel.fr/confs/ldap/blob/master/replication-maisel.ldap). 

          -Documentation sur la réplication LDAP:

          +Documentation sur la réplication LDAP :

           * [Documentation officielle](http://www.openldap.org/doc/admin24/replication.html)

           * [Article plus pratique](http://www.vogelweith.com/debian_server/050_openldap.php#x1-210005)

           ### Synchro avec le LDAP école

          -(TODO: Le nouveau site ne le gérant pas encore, ça serait pas très utile de le documenter maintenant)

          +(TODO: Le nouveau site ne le gérant pas encore, ça ne serait pas très utile de le documenter maintenant)

           Sur l'ancien site admin RA2 : 

          -Lorsqu'un personne enregistré auprès de l'école, souhaite un accès au resel, il est possible de récupèrer son compte depuis le ldap de l'école.

          -Il suffit d'aller dans RA2, dans synchro ldap, https://admin.resel.fr/ldap/synchro.php , puis de remplir le champ de recherche avec un filtre de recherche ldap. 

          +Lorsqu'une personne enregistrée auprès de l'école souhaite un accès au ResEl, il est possible de récupèrer son compte depuis le LDAP de l'école.

          +Il suffit d'aller dans RA2, dans [synchro LDAP](https://admin.resel.fr/ldap/synchro.php), puis de remplir le champ de recherche avec un filtre de recherche LDAP. 

           #### Script

          -Il existe un script permettant d'importer une promo [code source](https://git.resel.fr/resel/scripts/blob/master/ldap/import_promo.py).

          +Il existe un script permettant d'importer une promo : [code source](https://git.resel.fr/resel/scripts/blob/master/ldap/import_promo.py).

           ### Scripts

           #### Désactivation des machines

          -Les machines du ResEl (machines utilisateurs et serveur) sont enregistrées dans le ldap avec un type `reselmachine` qui contient un champ `lastdate`. Ce champ `lastdate` permet de mettre les machines en zone inactive lorsqu'elle ne sont pas vues sur le réseau depuis un certains temps.

          +Les machines du ResEl (machines utilisateurs et serveurs) sont enregistrées dans le LDAP avec un type `reselmachine` qui contient un champ `lastdate`. Ce champ `lastdate` permet de mettre les machines en zone inactive lorsqu'elle ne sont pas vues sur le réseau depuis un certain temps.

           Le script `/srv/ldap/desactivation_machines.pl` sur Beaune permet de désactiver les machines absentes du réseau depuis longtemps.

           Il est lancé par un cron à une fréquence `37 13 * * 1`