Introduction à LDAP

LDAP est un protocole permettant d’interroger un service d’annuaire sur un réseau. Si vous avez déjà joué avec l’environnement Active Directory eh bien sachez qu’en background, c’est le protocole LDAP que vous utilisez (avec une interface graphique).

Alors à quoi ça sert un annuaire ? Tout simplement à stocker toutes les informations relatives à un domaine : les utilisateurs, leurs attributs, les groupes, les imprimantes, les machines… L’idée étant de centraliser absolument toutes les informations liées à un domaine afin d’en faciliter la gestion.

Un annuaire LDAP, c’est une structure de type DIT (Directory Information Tree) qui, pour un domain donné (ici whiteflag.fr) va contenir l’ensemble des informations sous la forme d’un arbre avec plusieurs branches/feuilles. Dans sa forme la plus basique un annuaire LDAP pourrait ressembler à ça :

Capture d’écran du 2019-06-08 11-13-46.png

Tout annuaire est constitué d’une racine. Cette racine c’est tout simplement le nom du domaine que l’on va formater de cette manière :

dc=domain,dc=tld

Sois ici :

dc=whiteflag,dc=fr

Mais qu’est ce que sont les DC, CN et OU ? Et les DN dans l’histoire ?

Les DC (pour Domain Components) sont tout simplement les branches les plus hautes de notre annuaire soit ici notre racine. Les OU (Organizational Units) sont des unités organisationnelles. Voyez cela comme des groupes dans lesquels on va stocker d’autres objets (des utilisateurs, des ordinateurs etc…). Par exemple sur le schéma ci-dessus j’ai créé une OU crypto dans laquelle sont stockés deux utilisateurs Alice et Bob. Les CN (Common Name) sont les noms de nos objets (nom d’utilisateur, nom d’ordinateur etc…).

Quant au DN (Distinguished Name) c’est tout simplement le nom absolu d’un objet dans l’annuaire. Par exemple le DN de l’utilisateur Alice est :

cn=Alice,ou=crypto,ou=groupes,dc=whiteflag,dc=fr

II/ Installer LDAP

Pour installer LDAP il suffit d’entrer cette commande :

sudo apt install slapd ldap-utils

Une fois l’installation terminée, et si vous lancez un scan nmap, vous verrez que le port 389 est ouvert :

Capture d’écran du 2019-06-08 11-31-09.png

Ensuite viens l’étape de la configuration que l’on pourra initier via cette commande :

sudo dpkg-reconfigure slapd

La première information à entrer c’est le nom du domaine que l’on utilisera qui constituera la racine de notre annuaire :

Capture d’écran du 2019-06-07 18-23-18.png

Puis il faudra entrer le nom de l’entité (votre domaine sans le TLD) :

Capture d’écran du 2019-06-07 18-41-17.png

Ainsi qu’un mot de passe administrateur du LDAP :

Capture d’écran du 2019-06-07 18-26-02.png

Une fois l’installation terminée vous devriez pouvoir requêter votre serveur LDAP en utilisant cette commande :

ldapsearch -LLL -Y EXTERNAL -H ldapi:/// -b dc=whiteflag,dc=fr

Capture d’écran du 2019-06-08 10-48-23.png

Arguments :
-LLL : limite l’output à la réponse du serveur LDAP en supprimant l’ensemble des commentaires.
-Y : authentification de type EXTERNAL
-H : indique que l’on effectue une requête LDAP
-b : indique à partie de quelle base on doit effectuer la recherche. Ici on indique à LDAP qu’il doit lister le contenu de l’arbre depuis la racine (dc=whiteflag,dc=fr)


Voilà pour cette introduction à LDAP et aux annuaires. Dans les prochains articles nous verrons comment gérer des groupes/utilisateurs et utiliser l’authentification LDAP sur un réseau.

Un commentaire

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l'aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s