Table of Contents

ApacheDS

Navigation rapide : ApacheDS / Tomcat / CAS / Sympa Mémos : Perl / Python / Ruby

Installation

Serveur

[root@server ˜]# rpm -i http://mirror.mkhelif.fr/apache/directory/apacheds/unstable/1.5/1.5.7/apacheds-1.5.7-i386.rpm

L'installation se fait dans « /opt ».

Client

Pour configurer ApacheDS, il est possible soit de modifier le fichier « /var/lib/apacheds/<le nom du serveur>/conf/server.xml » de configuration du serveur, à la main, soit d'utiliser Apache Directory Studio.
Du fait que Apache Directory Studio édite le fichier XML du serveur, le plus simple est de l'installer directement sur le serveur.

[root@server ˜]# cd /opt
[root@server opt]# wget http://apache.crihan.fr/dist//directory/studio/stable/1.5.3.v20100330/ApacheDirectoryStudio-linux-x86-1.5.3.v20100330.tar.gz
[root@server opt]# tar xvzf ApacheDirectoryStudio-linux-x86-1.5.3.v20100330.tar.gz
[root@server opt]# rm ApacheDirectoryStudio-linux-x86-1.5.3.v20100330.tar.gz
[root@server opt]# yum install java-1.6.0-openjdk
[root@server opt]# yum groupinstall 'Système X Window'

Configuration

Lancer Apache Directory Studio

[root@server opt]# /usr/bin/dbus-launch ApacheDirectoryStudio-linux-x86-1.5.3.v20100330/ApacheDirectoryStudio


Ajouter un nouveau serveur





Configurer l'authentification


Laisser uniquement l'authentification « simple ».


Démarrer le serveur

En mode texte

[root@server ~]# cd /var/lib/apacheds
[root@server apacheds]# rm -Rf /var/lib/apacheds/default/
[root@server apacheds]# mkdir directory
[root@server apacheds]# cd directory
[root@server directory]# mv /root/.ApacheDirectoryStudio/.metadata/.plugins/org.apache.directory.studio.apacheds/servers/10159611-5aa1-4aa9-a3cb-f9cf1e8c354d/* .
[root@server directory]# rmdir /root/.ApacheDirectoryStudio/.metadata/.plugins/org.apache.directory.studio.apacheds/servers/10159611-5aa1-4aa9-a3cb-f9cf1e8c354d
[root@server directory]# ln -s /var/lib/apacheds/directory /root/.ApacheDirectoryStudio/.metadata/.plugins/org.apache.directory.studio.apacheds/servers/10159611-5aa1-4aa9-a3cb-f9cf1e8c354d
[root@server directory]# chown -R apacheds:apacheds .
[root@server directory]# mkdir /var/log/apacheds/directory
[root@server directory]# chown apacheds:apacheds /var/log/apacheds/directory
[root@server directory]# mkdir /var/run/apacheds/directory
[root@server directory]# chown apacheds:apacheds /var/run/apacheds/directory
[root@server directory]# service apacheds start directory


Avec Apache Directory Studio (le serveur étant arrêté à la cloture, à n'utiliser que pour la mise au point)



Créer une nouvelle connexion


Paramétrage réseau

Editer le fichier « /etc/hosts ».

/etc/hosts
...
192.168.122.191 directory.example.com
...


Utiliser le nom d'hôte « directory.example.com ».

Tester que la connection est fonctionnelle.

Paramétrage de l'authentification

Le DN du compte administrateur de ApacheDS est « uid=admin,ou=system ».
Le mot de passe par défaut du compte administrateur de Apache DS est « secret ».

Tester que l'authentification est fonctionnelle.

Edition de la configuration du serveur

On ne laisse que le mécanisme d'authentification « SIMPLE ».

Création du noeud racine





Chargement du certificat SSL

Création du keystore

sous /usr/local/adm

[root@server adm]# cd var/lib/apacheds/directory/conf/
[root@server conf]# keytool -import -file directory.example.com-cert.pem -alias directory -keystore directory.ks -storepass secret
Propriétaire : EMAILADDRESS=anf.2012@math.cnrs.fr, CN=directory.example.com, OU=MATHRICE, O=CNRS, L=PARIS, ST=FRANCE, C=FR
Émetteur : EMAILADDRESS=anf.2012@math.cnrs.fr, CN=example.com, OU=MATHRICE, O=CNRS, L=PARIS, ST=FRANCE, C=FR
Numéro de série : 1
Valide du : Sat Nov 12 11:11:56 CET 2011 au : Sun Nov 11 11:11:56 CET 2012
Empreintes du certificat :
     MD5 :  C7:65:AA:7C:01:84:80:87:F1:79:40:74:AB:D6:69:1B
     SHA1 : 1B:0B:9C:86:7D:3C:BA:BF:07:08:F1:72:55:95:38:02:07:95:71:9E
     Nom de lalgorithme de signature : {7}
     Version : {8}

Extensions :

#1: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: 49 E0 84 BE CE B7 F9 48   18 AD A8 AB C9 0F E6 71  I......H.......q
0010: 5B CC 0C BA                                        [...
]
]

#2: ObjectId: 2.5.29.19 Criticality=false
BasicConstraints:[
  CA:false
  PathLen: undefined
]

#3: ObjectId: 2.16.840.1.113730.1.1 Criticality=false
NetscapeCertType [
   SSL server
]

#4: ObjectId: 2.5.29.35 Criticality=false
AuthorityKeyIdentifier [
KeyIdentifier [
0000: 98 D0 F3 92 5A 75 32 D3   B2 5E 77 ED 4B 6E 7D A0  ....Zu2..^w.Kn..
0010: 98 79 64 02                                        .yd.
]

[EMAILADDRESS=anf.2012@math.cnrs.fr, CN=example.com, OU=MATHRICE, O=CNRS, L=PARIS, ST=FRANCE, C=FR]
SerialNumber: [    d296260b 0c300591]
]

#5: ObjectId: 2.5.29.18 Criticality=false
IssuerAlternativeName [
  RFC822Name: anf.2012@math.cnrs.fr
]

#6: ObjectId: 2.16.840.1.113730.1.13 Criticality=false

#7: ObjectId: 2.5.29.17 Criticality=false
SubjectAlternativeName [
  RFC822Name: anf.2012@math.cnrs.fr
]

Faire confiance à ce certificat ? [non] :  oui
Certificat ajouté au Keystore

Listing des certificats du keystore

[root@server ~]# keytool -list --keystore /var/lib/apacheds/directory/conf/apacheds.ks -storepass secret

Type Keystore : JKS
Fournisseur Keystore : SUN

Votre Keystore contient 1 entrée(s)

directory, 27 déc. 2011, trustedCertEntry,
Empreinte du certificat (MD5) : C7:65:AA:7C:01:84:80:87:F1:79:40:74:AB:D6:69:1B

Paramétrage de ApacheDS

/var/lib/apacheds/directory/conf/server.xml

...
  <ldapServer id="ldapServer"
           ...
           keystoreFile="/var/lib/apacheds/directory/conf/directory.ks"
           certificatePassword="secret">
    <transports>
      ...
      <tcpTransport address="localhost" port="10636" enableSSL="true"/>
    </transports>
    ...
  </ldapServer>
...

Access Control Information

La gestion des ACI est bugguée sous ApacheDS 1.5