Installer Gosa (partie 1 : Ldap)

Gosa est une interface web évoluée pour piloter des comptes et systèmes géré dans des annuaires LDAP.
Cet article ne parlera que de la configuration minimale requise pour rendre Gosa fonctionnel.

Introduction

Pour la suite de l’article, nous nommerons le serveur LDAP gosa. Dans notre cas, nous utiliserons le même serveur pour gérer notre annuaire LDAP et gosa.

Le serveur (sous Debian) a été installé avec le strict minimum, juste l’installation standard et le paquet ssh.

Installer LDAP

Nous utiliserons l’annuaire ldap fournit par slapd. Il s’agit de la version 2.4.11-1.

L’installation se fait simplement : gosa :# apt-get install slapd .

L’ensemble des éléments de configuration se feront tous dans le fichier /etc/ldap/slapd.conf. Si ce n’est pas le cas, je le préciserai.

Sauf indication contraire, nous utiliserons la configuration par défaut du fichier.

L’annuaire utilisé a pour suffixe dc=mydc,dc=mycountry, il faudra penser à changer ses informations à son cas particulier. Par exemple j’utilise mon nom de domaine et son TLD.

Les schémas

Pour utiliser un annuaire LDAP, il faut lui fournir des schémas. Ce sont, en version courte, de simples descriptifs précisant comment l’annuaire doit stocker et gérer ses données.

Les schémas nécessaire au fonctionnement de LDAP sont déjà activés :

# Schema and objectClass definitions
include         /etc/ldap/schema/core.schema
include         /etc/ldap/schema/cosine.schema
include         /etc/ldap/schema/nis.schema
include         /etc/ldap/schema/inetorgperson.schema

Le schéma inetorgperson par exemple est normalisé.

Il est possible par la suite de faire évoluer au fur et à mesures des besoins, en ajoutant de nouveaux schémas à notre annuaire.

Les schémas Gosa

Gosa propose fournit ses propres schémas pour mieux gérer les données contenues dans l’annuaire.

Au préalable nous penserons à ajouter le dépot de gosa (cf partie2). L’installation est classique avec gosa :# apt-get install gosa-schema. Dans notre cas il s’agit de la version 2.6.5-1etch1.

Les schémas minimums à ajouter sont (pour les étourdis nano /etc/ldap/slapd.conf) :

#for gosa
include /etc/ldap/schema/gosa/gosystem.schema
include /etc/ldap/schema/gosa/gofon.schema
include /etc/ldap/schema/gosa/goto.schema
include /etc/ldap/schema/gosa/samba3.schema
include /etc/ldap/schema/gosa/gosa-samba3.schema

#Options mais obligatoire
include /etc/ldap/schema/gosa/gofax.schema
include /etc/ldap/schema/gosa/goserver.schema

Configurer les droits d’accès

Comme Gosa apporte de nouveaux attributs et objets à l’annuaire, nous déclarons des droits supplémentaires pour mieux les protéger.

## Configuration Gosa
#Partie Samba
access to attrs=userPassword,sambaPwdLastSet,sambaPwdMustChange,sambaPwdCanChange,shadowMax,shadowExpire
       by dn="cn=admin,dc=mydc,dc=mycountry" write
       by dn="uid=samba,ou=DSA,dc=mydc,dc=mycountry" write
       by anonymous auth
       by self write
       by * none
access to attrs=sambaLmPassword,sambaNtPassword
       by dn="cn=admin,dc=mydc,dc=mycountry" write
       by dn="uid=samba,ou=DSA,dc=mydc,dc=mycountry" write
       by anonymous auth
       by self write
       by * none

##Partie Autre
access to attrs=goImapPassword
       by dn="cn=admin,dc=mydc,dc=mycountry" write
       by * none
access to attrs=goKrbPassword
       by dn="cn=admin,dc=mydc,dc=mycountry" write
       by * none
access to attrs=goFaxPassword
       by dn="cn=admin,dc=mydc,dc=mycountry" write
       by * none
access to attrs=gotoLastUser
       by * write

#Autorisation générique
access to dn.regex="ou=incoming,dc=mydc,dc=mycountry"
       by dn="cn=terminal-admin,dc=mydc,dc=mycountry" write
       by dn="cn=admin,dc=mydc,dc=mycountry" write
access to dn.sub="ou=incoming,dc=mydc,dc=mycountry"
       by dn.regex="cn=terminal-admin,dc=mydc,dc=mycountry" write
       by dn="cn=admin,dc=mydc,dc=mycountry" write
access to dn="ou=(people|groups|computers),dc=mydc,dc=mycountry"
       by dn="cn=admin,dc=mydc,dc=mycountry" write
       by dn="uid=samba,ou=DSA,dc=mydc,dc=mycountry" write
       by * read
access to *
       by dn="cn=admin,dc=mydc,dc=mycountry" =wrscx
       by * read
       by anonymous auth

Lancer Ldap

Nous avons maintenant un annuaire minimaliste compatible avec Gosa. Pour l’activer :

gosa:# /etc/init.d/slapd start
Starting OpenLDAP: slapd.

Si ldap se lance correctement alors nous pouvons passer à l’étape suivante.

Utiliser Gosa

A partir de cet instant, nous pouvons configurer Gosa pour piloter notre annuaire.
N’oublions pas que cet annuaire est configuré au minimum nous devrons donc par la suite revenir sur la configuration de LDAP pour ajouter le support de Samba et autres services.

Messages

Un message, un commentaire ?

Qui êtes-vous ?
Votre message

Pour créer des paragraphes, laissez simplement des lignes vides.