Discussion :

[forre.novoferm]

Bonjour,

Suite à de multiples recherche sur Internet et votre forum.

J'ouvre cette nouvelle discussion.

J'ai actuellement deux serveurs Ldap (Active Directory) fonctionnels pour deux domains (A titre indicatif : domain1.fr et domain2.fr)
Ces deux domains ont fait l'objet d'un croisement d'AD (fonctionnel aussi)

Mon problème est le suivant:

Je souhaiterai pourvoir authentifier des utilisateurs des mes deux domains depuis plusieurs outils (web par exemple) qui ne supporte pas la configuration de plusieurs annuaires Ldap

Je me suis penché vers OpenLdap Proxy qui me permettrai de faire appel à lui pour authentifier des users sur mes deux domains (Passerelle Ldap)

Après plusieurs tests de configuration OpenLdap je ne parviens pas à trouver la bonne méthode de configuration.

Très peu de documentation à ce sujet sur internet.

Avez-vous une idée ou un exemple de fichier slapd.conf dont je pourrai m'inspirer.

Cordialement.

[forre.novoferm]

Bonjour,

J'ai avancé sur ma problématique multi Ldap.

Je suis capable à présent de réaliser une requête ldapsearch dans mes deux domains.


Voici mon fichier /etc/ldap/slapd.conf :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
 
##############################################################################
# Directives globales
 
# Inclusion des schemas
include /etc/ldap/schema/core.schema
include /etc/ldap/schema/cosine.schema
include /etc/ldap/schema/nis.schema
include /etc/ldap/schema/inetorgperson.schema
 
# PID du daemon
pidfile /var/run/slapd/slapd.pid
 
# Liste des arguments passes au demarrage du serveur
#argsfile /var/run/slapd.args
 
sizelimit               unlimited
 
idletimeout             3600
writetimeout            600
 
# Niveau de log
loglevel -1
 
# Emplacement des modules
modulepath /usr/lib/ldap
 
# Chargement du module BDB (Berkeley DB)
moduleload back_ldap
moduleload back_meta
#########################################################################
 
defaultsearchbase dc=meta,dc=fr
 
#database meta
database        meta    
suffix dc=meta,dc=fr
rootdn	"cn=admin,dc=meta,dc=fr"
rootpw	{SSHA}PASSWORDCRYPTE 
 
uri           "ldap://localhost:389/dc=domain1,dc=meta,dc=fr"
suffixmassage "dc=domain1,dc=meta,dc=fr" "OU=Utilisateurs,dc=domain1,DC=fr"
 
uri           "ldap://localhost:389/dc=domain2,dc=meta,dc=fr"
suffixmassage "dc=domain2,dc=meta,dc=fr" "OU=Utilisateurs,dc=domain2,DC=fr"
 
lastmod  off
 
#database DOMAIN1
database                ldap
readonly                yes
protocol-version        3
rebind-as-user          yes
uri                     "ldap://IP_SERVEUR_LDAP_DOMAIN1:389"
suffix                  "OU=Utilisateurs,dc=domain1,DC=fr"
idassert-bind           bindmethod=simple
                        binddn="CN=COMPTE_AD_DOMAIN1,OU=Utilisateurs,dc=domain1,DC=fr"
                        credentials="PASSWORDDOMAIN1"
                        mode=self
idassert-authzFrom      "dn.regex:.*"
 
access                  to *
                        by * read
##########################################################################						
#database DOMAIN2
database                ldap
readonly                yes
protocol-version        3
rebind-as-user          yes
uri                     "ldap://IP_SERVEUR_LDAP_DOMAIN2:389"
suffix                  "OU=Utilisateurs,dc=domain2,DC=fr"
idassert-bind           bindmethod=simple
                        binddn="CN=COMPTE_AD_DOMAIN2,OU=Utilisateurs,dc=domain2,DC=fr"
                        credentials="PASSWORDDOMAIN2"
                        mode=self
idassert-authzFrom      "dn.regex:.*"
 
access                  to *
                        by * read

Exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
~# ldapsearch -x "cn=*exemple*" -h localhost -p 389 -b "dc=meta,dc=fr" -LLL cn
dn: cn=exemple1 domain1,dc=domain1,dc=meta,dc=fr
cn: exemple1 domain1
 
dn: cn=exemple2 domain2,dc=domain2,dc=meta,dc=fr
cn: exemple2 domain2

Je bloque à présent sur l'authentification à ces deux domains.

Je ne vois pas comment réaliser l'authentification en utilisant le ldap meta, que dois-je installer sur mon serveur debian pour mettre en place cette authentification.

Auriez-vous une piste?

Cordialement.

[forre.novoferm]

Bonjour,

Tout fonctionne à merveille.

Je clos ce sujet.

[gbnancy]

Bonjour,
Quelle est la solution mise en place?
Merci d'avance.

[forre.novoferm]

Bonjour,

Voici la dernière conf fonctionnelle dans mon cas.

Fichier slapd.conf

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
 
##############################################################################
# Directives globales
 
# Inclusion des schemas
include /etc/ldap/schema/core.schema
include /etc/ldap/schema/cosine.schema
include /etc/ldap/schema/nis.schema
include /etc/ldap/schema/inetorgperson.schema
 
# PID du daemon
pidfile /var/run/slapd/slapd.pid
 
sizelimit               unlimited
 
idletimeout             3600
writetimeout            600
 
# Niveau de log
loglevel -1
 
# Emplacement des modules
modulepath /usr/lib/ldap
 
# Chargement du module BDB (Berkeley DB)
moduleload back_ldap
moduleload back_meta
#########################################################################
 
defaultsearchbase dc=meta,dc=fr
 
#database meta
database        meta    
suffix dc=meta,dc=fr
rootdn	"cn=admin,dc=meta,dc=fr"
rootpw	{SSHA}PASSWORDCRYPTE 
 
uri           "ldap://localhost:389/dc=domain1,dc=meta,dc=fr"
suffixmassage "dc=domain1,dc=meta,dc=fr" "OU=Utilisateurs,dc=domain1,DC=fr"
 
uri           "ldap://localhost:389/dc=domain2,dc=meta,dc=fr"
suffixmassage "dc=domain2,dc=meta,dc=fr" "OU=Utilisateurs,dc=domain2,DC=fr"
 
lastmod  off
 
##########################################################################
#database DOMAIN1
database                ldap
readonly                yes
protocol-version        3
rebind-as-user          yes
chase-referrals 		yes				   
uri                     "ldap://IP_SERVEUR_LDAP_DOMAIN1:389"
suffix                  "OU=Utilisateurs,dc=domain1,DC=fr"
idassert-bind           bindmethod=simple
                        binddn="CN=COMPTE_AD_DOMAIN1,OU=Utilisateurs,dc=domain1,DC=fr"
                        credentials="PASSWORDDOMAIN1"
                        mode=none
idassert-authzFrom      "*"
access                  to *
                        by * read
##########################################################################						
#database DOMAIN2
database                ldap
readonly                yes
protocol-version        3
rebind-as-user          yes
chase-referrals 		yes				   
uri                     "ldap://IP_SERVEUR_LDAP_DOMAIN2:389"
suffix                  "OU=Utilisateurs,dc=domain2,DC=fr"
idassert-bind           bindmethod=simple
                        binddn="CN=COMPTE_AD_DOMAIN2,OU=Utilisateurs,dc=domain2,DC=fr"
                        credentials="PASSWORDDOMAIN2"
                        mode=none
idassert-authzFrom      "*"
access                  to *
                        by * read