Installer Gosa (partie 1 : Ldap)

Gosa est une interface web évoluée pour piloter des comptes et systèmes géré dans des annuaires LDAP.
Cet article ne parlera que de la configuration minimale requise pour rendre Gosa fonctionnel.

Introduction

Pour la suite de l’article, nous nommerons le serveur LDAP gosa. Dans notre cas, nous utiliserons le même serveur pour gérer notre annuaire LDAP et gosa.

Le serveur (sous Debian) a été installé avec le strict minimum, juste l’installation standard et le paquet ssh.

Installer LDAP

Nous utiliserons l’annuaire ldap fournit par slapd. Il s’agit de la version 2.4.11-1.

L’installation se fait simplement : gosa :# apt-get install slapd .

L’ensemble des éléments de configuration se feront tous dans le fichier /etc/ldap/slapd.conf. Si ce n’est pas le cas, je le préciserai.

Sauf indication contraire, nous utiliserons la configuration par défaut du fichier.

L’annuaire utilisé a pour suffixe dc=mydc,dc=mycountry, il faudra penser à changer ses informations à son cas particulier. Par exemple j’utilise mon nom de domaine et son TLD.

Les schémas

Pour utiliser un annuaire LDAP, il faut lui fournir des schémas. Ce sont, en version courte, de simples descriptifs précisant comment l’annuaire doit stocker et gérer ses données.

Les schémas nécessaire au fonctionnement de LDAP sont déjà activés :

# Schema and objectClass definitions
include         /etc/ldap/schema/core.schema
include         /etc/ldap/schema/cosine.schema
include         /etc/ldap/schema/nis.schema
include         /etc/ldap/schema/inetorgperson.schema

Le schéma inetorgperson par exemple est normalisé.

Il est possible par la suite de faire évoluer au fur et à mesures des besoins, en ajoutant de nouveaux schémas à notre annuaire.

Les schémas Gosa

Gosa propose fournit ses propres schémas pour mieux gérer les données contenues dans l’annuaire.

Au préalable nous penserons à ajouter le dépot de gosa (cf partie2). L’installation est classique avec gosa :# apt-get install gosa-schema. Dans notre cas il s’agit de la version 2.6.5-1etch1.

Les schémas minimums à ajouter sont (pour les étourdis nano /etc/ldap/slapd.conf) :

#for gosa
include /etc/ldap/schema/gosa/gosystem.schema
include /etc/ldap/schema/gosa/gofon.schema
include /etc/ldap/schema/gosa/goto.schema
include /etc/ldap/schema/gosa/samba3.schema
include /etc/ldap/schema/gosa/gosa-samba3.schema

#Options mais obligatoire
include /etc/ldap/schema/gosa/gofax.schema
include /etc/ldap/schema/gosa/goserver.schema

Configurer les droits d’accès

Comme Gosa apporte de nouveaux attributs et objets à l’annuaire, nous déclarons des droits supplémentaires pour mieux les protéger.

## Configuration Gosa
#Partie Samba
access to attrs=userPassword,sambaPwdLastSet,sambaPwdMustChange,sambaPwdCanChange,shadowMax,shadowExpire
        by dn="cn=admin,dc=mydc,dc=mycountry" write
        by dn="uid=samba,ou=DSA,dc=mydc,dc=mycountry" write
        by anonymous auth
        by self write
        by * none
access to attrs=sambaLmPassword,sambaNtPassword
        by dn="cn=admin,dc=mydc,dc=mycountry" write
        by dn="uid=samba,ou=DSA,dc=mydc,dc=mycountry" write
        by anonymous auth
        by self write
        by * none

##Partie Autre
access to attrs=goImapPassword
        by dn="cn=admin,dc=mydc,dc=mycountry" write
        by * none
access to attrs=goKrbPassword
        by dn="cn=admin,dc=mydc,dc=mycountry" write
        by * none
access to attrs=goFaxPassword
        by dn="cn=admin,dc=mydc,dc=mycountry" write
        by * none
access to attrs=gotoLastUser
        by * write

#Autorisation générique
access to dn.regex="ou=incoming,dc=mydc,dc=mycountry"
        by dn="cn=terminal-admin,dc=mydc,dc=mycountry" write
        by dn="cn=admin,dc=mydc,dc=mycountry" write
access to dn.sub="ou=incoming,dc=mydc,dc=mycountry"
        by dn.regex="cn=terminal-admin,dc=mydc,dc=mycountry" write
        by dn="cn=admin,dc=mydc,dc=mycountry" write
access to dn="ou=(people|groups|computers),dc=mydc,dc=mycountry"
        by dn="cn=admin,dc=mydc,dc=mycountry" write
        by dn="uid=samba,ou=DSA,dc=mydc,dc=mycountry" write
        by * read
access to *
        by dn="cn=admin,dc=mydc,dc=mycountry" =wrscx
        by * read
        by anonymous auth

Lancer Ldap

Nous avons maintenant un annuaire minimaliste compatible avec Gosa. Pour l’activer :

gosa:# /etc/init.d/slapd start 
Starting OpenLDAP: slapd.

Si ldap se lance correctement alors nous pouvons passer à l’étape suivante.

Utiliser Gosa

A partir de cet instant, nous pouvons configurer Gosa pour piloter notre annuaire.
N’oublions pas que cet annuaire est configuré au minimum nous devrons donc par la suite revenir sur la configuration de LDAP pour ajouter le support de Samba et autres services.

Messages

Un message, un commentaire ?

Qui êtes-vous ?
Votre message

Pour créer des paragraphes, laissez simplement des lignes vides.