Installer Gosa (partie 1 : Ldap)
Gosa est une interface web évoluée pour piloter des comptes et systèmes géré dans des annuaires LDAP.
Cet article ne parlera que de la configuration minimale requise pour rendre Gosa fonctionnel.
Introduction
Pour la suite de l’article, nous nommerons le serveur LDAP gosa
. Dans notre cas, nous utiliserons le même serveur pour gérer notre annuaire LDAP et gosa.
Le serveur (sous Debian) a été installé avec le strict minimum, juste l’installation standard et le paquet ssh.
Installer LDAP
Nous utiliserons l’annuaire ldap fournit par slapd
. Il s’agit de la version 2.4.11-1.
L’installation se fait simplement : gosa :# apt-get install slapd
.
L’ensemble des éléments de configuration se feront tous dans le fichier /etc/ldap/slapd.conf
. Si ce n’est pas le cas, je le préciserai.
Sauf indication contraire, nous utiliserons la configuration par défaut du fichier.
L’annuaire utilisé a pour suffixe dc=mydc,dc=mycountry
, il faudra penser à changer ses informations à son cas particulier. Par exemple j’utilise mon nom de domaine et son TLD.
Les schémas
Pour utiliser un annuaire LDAP, il faut lui fournir des schémas. Ce sont, en version courte, de simples descriptifs précisant comment l’annuaire doit stocker et gérer ses données.
Les schémas nécessaire au fonctionnement de LDAP sont déjà activés :
# Schema and objectClass definitions
include /etc/ldap/schema/core.schema
include /etc/ldap/schema/cosine.schema
include /etc/ldap/schema/nis.schema
include /etc/ldap/schema/inetorgperson.schema
Le schéma inetorgperson
par exemple est normalisé.
Il est possible par la suite de faire évoluer au fur et à mesures des besoins, en ajoutant de nouveaux schémas à notre annuaire.
Les schémas Gosa
Gosa propose fournit ses propres schémas pour mieux gérer les données contenues dans l’annuaire.
Au préalable nous penserons à ajouter le dépot de gosa (cf partie2). L’installation est classique avec gosa :# apt-get install gosa-schema
. Dans notre cas il s’agit de la version 2.6.5-1etch1.
Les schémas minimums à ajouter sont (pour les étourdis nano /etc/ldap/slapd.conf
) :
#for gosa
include /etc/ldap/schema/gosa/gosystem.schema
include /etc/ldap/schema/gosa/gofon.schema
include /etc/ldap/schema/gosa/goto.schema
include /etc/ldap/schema/gosa/samba3.schema
include /etc/ldap/schema/gosa/gosa-samba3.schema
#Options mais obligatoire
include /etc/ldap/schema/gosa/gofax.schema
include /etc/ldap/schema/gosa/goserver.schema
Configurer les droits d’accès
Comme Gosa apporte de nouveaux attributs et objets à l’annuaire, nous déclarons des droits supplémentaires pour mieux les protéger.
## Configuration Gosa
#Partie Samba
access to attrs=userPassword,sambaPwdLastSet,sambaPwdMustChange,sambaPwdCanChange,shadowMax,shadowExpire
by dn="cn=admin,dc=mydc,dc=mycountry" write
by dn="uid=samba,ou=DSA,dc=mydc,dc=mycountry" write
by anonymous auth
by self write
by * none
access to attrs=sambaLmPassword,sambaNtPassword
by dn="cn=admin,dc=mydc,dc=mycountry" write
by dn="uid=samba,ou=DSA,dc=mydc,dc=mycountry" write
by anonymous auth
by self write
by * none
##Partie Autre
access to attrs=goImapPassword
by dn="cn=admin,dc=mydc,dc=mycountry" write
by * none
access to attrs=goKrbPassword
by dn="cn=admin,dc=mydc,dc=mycountry" write
by * none
access to attrs=goFaxPassword
by dn="cn=admin,dc=mydc,dc=mycountry" write
by * none
access to attrs=gotoLastUser
by * write
#Autorisation générique
access to dn.regex="ou=incoming,dc=mydc,dc=mycountry"
by dn="cn=terminal-admin,dc=mydc,dc=mycountry" write
by dn="cn=admin,dc=mydc,dc=mycountry" write
access to dn.sub="ou=incoming,dc=mydc,dc=mycountry"
by dn.regex="cn=terminal-admin,dc=mydc,dc=mycountry" write
by dn="cn=admin,dc=mydc,dc=mycountry" write
access to dn="ou=(people|groups|computers),dc=mydc,dc=mycountry"
by dn="cn=admin,dc=mydc,dc=mycountry" write
by dn="uid=samba,ou=DSA,dc=mydc,dc=mycountry" write
by * read
access to *
by dn="cn=admin,dc=mydc,dc=mycountry" =wrscx
by * read
by anonymous auth
Lancer Ldap
Nous avons maintenant un annuaire minimaliste compatible avec Gosa. Pour l’activer :
gosa:# /etc/init.d/slapd start
Starting OpenLDAP: slapd.
Si ldap se lance correctement alors nous pouvons passer à l’étape suivante.
Utiliser Gosa
A partir de cet instant, nous pouvons configurer Gosa pour piloter notre annuaire.
N’oublions pas que cet annuaire est configuré au minimum nous devrons donc par la suite revenir sur la configuration de LDAP pour ajouter le support de Samba et autres services.
Messages
1. Installer Gosa (partie 1 : Ldap), 4 octobre 2009, 15:26, par Benoit Mortier
Bonjour,
je me présente Benoit Mortier, un des principaux contributeur francophone au projet GOsa.
J’ai comme projet d’écrire un livre
2. Installer Gosa (partie 1 : Ldap), 8 août 2010, 11:09, par tb
Bonjour,
J’installe Gosa pour la première fois, histoire de découvrir ce logiciel. Je remarque que l’installation du paquet gosa seul (dans la partie 2) ne suffit pas. Les schémas requis par Gosa semblent être dans le paquet gosa-schema.
3. Installer Gosa (partie 1 : Ldap), 8 août 2010, 18:35, par km
Bonjour
En effet bonne remarque, une coquille s’est glissée lors de la publication de l’article. Il faut bien sur installer les schemas gosa pour avoir une installation cohérente.
Merci pour le retour.