Blog du logiciel de gestion de projet AtikTeam

Quelques astuces pour déployer OpenLdap

Voici une compilation d’extraits de configuration ou de petites astuces pour OpenLDAP. OpenLDAP est un serveur d’annuaire LDAP sous licence libre compatible GNU utilisé pour l’identification des utilisateurs de la plateforme collaborative AtikTeam.

Configuration de SSL/TLS

Le protocole LDAP accepte le chiffrement par SSL en utilisant soit le protocole LDAPS sur un port dédié, soit la commande STARTTLS. Le support du chiffrement SSL étant variable selon les clients LDAP, il est important de maintenir plusieurs canaux d’accès au serveur. Voici une règle d’accès à placer en premier dans votre configuration qui :

  • autorise de manière inconditionnelle les accès chiffrés ;
  • autorise les accès non chiffrés uniquement par l’interface locale.
access to *
      by peername.ip=127.0.0.1 break
      by ssf=56 break
      by * none

Tester la connexion chiffrée

Les clients LDAP ne sont pas toujours explicites quand la connexion est impossible à cause d’une erreur SSL. Les commandes openssl ou gnutls-cli permettent de valider rapidement la mise en place de SSL.

# Test ldaps :
$ openssl s_client -connect votre_serveur_ldap:636 -CAfile /etc/ssl/certs/ca-certificates.crt
# ou avec gnutls :
$ gnutls-cli --x509cafile /etc/ssl/certs/ca-certificates.crt -p 636 votre_serveur_ldap

Certains nœuds sont introuvables

Si votre serveur LDAP ne retrouve plus des entrées qui sont pourtant bien présentes dans l’arbre, il y a fort à parier que les indexes sont périmés. Cela arrive de manière certaine après avoir modifié les critères d’indexation dans la configuration du serveur. Dans ce cas, la procédure est simple :

  1. stopper le serveur LDAP ;
  2. exécuter la commande slapindex sous l’utilisateur qui fait tourner le serveur (openldap sous debian) ;
  3. relancer le serveur !

Autres articles de la gestion de projet