Un monde d'octets

Aller au contenu | Aller au menu | Aller à la recherche

InformatiqueLinux › Ldap

Fil des billets

lundi, juillet 11 2022

Changer un mot de passe ldap en ligne de commande

Par pepin le lundi, juillet 11 2022, 15:13

#!/bin/sh

LDAPSERVER="ldaps://ldapmaster"
BINDDN="cn=manager,o=pepiniere,c=fr"
USERDN="uid=charles,ou=users,o=pepiniere,c=fr"

ldappasswd -H "$LDAPSERVER" -x -D "$BINDDN" -W -S "$USERDN"

dimanche, avril 11 2021

LDAP : openldap2.4 et Size Limit

Par pepin le dimanche, avril 11 2021, 08:41

Dans la continuité du post précédent :

Appliquez ce ldif pour que le serveur puisse répondre jusqu'a 50000 entrées (au lieu des 500 par défaut).

dn: cn=config
changeType: modify
replace: olcSizeLimit
olcSizeLimit: 50000

Les clients ldap peuvent fonctionner par palliers :

ldapsearch -x -h lassie -b "ou=users,dc=pepiniere,dc=fr" -E pr=100/noprompt %%%

Mais cela occasionne plusieurs requêtes au serveur.

L'augmentation de limite elle permet de transférer beaucoup plus, voir tout d'un coup, mais se transforme en consommation mémoire, au profit d'une simplicité plus grande pour l'utilisateur.

jeudi, avril 8 2021

LDAP : openldap2.4 et Log Verbosity

Par pepin le jeudi, avril 8 2021, 15:32

Openldap stocke sa configuration sous forme de ldif internes, ce qui permet une modifications a chaud de ceux-ci, et nécessitant seulement de faire des requêtes ldap pour les lire/modifier :

Obtenir le niveau de logs actuel

Sur l'hôte qui exécute openldap, exécuter :

sudo ldapsearch -Y external -H ldapi:/// -b cn=config "(objectClass=olcGlobal)" olcLogLevel

Passer le logs au niveau "stats"

Créer le fichier log-stats.ldif content :

dn: cn=config
changeType: modify
replace: olcLogLevel
olcLogLevel: stats

et appliquez le comme suit :

sudo ldapmodify -Y external -H ldapi:/// -f log-stats.ldif

Et voila, vous pouvez maintenant tracer les requêtes faites à votre serveur ldap pour voir l'usage qu'il en est fait !

jeudi, décembre 27 2018

Ajouter un schema Ldap

Par pepin le jeudi, décembre 27 2018, 23:30

Un schema s'ajoute comme une nouvelle database, au niveau -Y external de la commande slapadd :

sudo ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/nis.ldif

L'insertion du schema est faite à chaud. Rien de bien neuf quand on connait openldap 2.4 mais c'est une choses que je devais noter pour mémoire depuis longtemps ;)

mercredi, octobre 6 2010

Activer TLS sur openldap 2.4

Par pepin le mercredi, octobre 6 2010, 09:06

Créer le fichier tls.ldif contenant :

dn: cn=config
changetype: modify
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ssl/certs/fullchain.pem
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/certs/server.crt.pem
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/private/serverkey.pem

Les chemis de fichiers sont ceux correspondant à la chaine de certification, au certiificat du serveur et à sa clef privée.

Appliquer avec la commande :

ldapmodify -H ldapi:// -Y EXTERNAL -f tls.ldif

Valider que TLS fonctionne :

ldapwhoami -H ldap://example.com -x -ZZ

lundi, octobre 4 2010

Paramétrer une base openldap 2.4

Par pepin le lundi, octobre 4 2010, 22:59

Rien de sorcier ici, juste un pense bete

Changer le suffix de base de notre annuaire

suffix.ldif :

dn: olcDatabase={1}mdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=pepiniere,dc=fr

 ldapmodify -Y EXTERNAL -H ldapi:/// -f suffix.ldif  %%%

Changer le rootDN et son mot de passe

rootdn.ldif :

dn: olcDatabase={1}mdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=admin,dc=pepiniere,dc=fr
-
replace: olcRootPW
olcRootPW: foobar123

dapmodify -Y EXTERNAL -H ldapi:/// -f rootdn.ldif

Nous avons maintenant notre suffixe fonctionel !

Ensuite nous allons initialiser nos blocs users et groups ave le ldif suivant :

# Subtree for Users
dn:                       ou=Users,dc=newdomain,dc=tld
ou:                       Users
description:           Parent Ldap Users
objectClass:           organizationalUnit
objectClass:           top
structuralObjectClass: organizationalUnit

# Subtree for Groups
dn:                    ou=Groups,dc=newdomain,dc=tld
ou:                    Groups
description:           Parent LDAP Groups
objectClass:           organizationalUnit
objectClass:           top
structuralObjectClass: organizationalUnit

Pensez à verifier les ownership, puis relancez slapd :

chown openldap.openldap /var/lib/ldap/*
service slapd start

Slapcat et ldapsearch montrent que notre arbre est bien installé !

Voila :)