Le protocole LDAP

De plus en plus, les entreprises ont ce besoin de traiter et d’organiser efficacement leurs données. Pour les structurer clairement et les manipuler facilement, elles peuvent utiliser des annuaires.

 · 3 min read

C'est quoi un annuaire d'entreprise?

Un annuaire d'entreprise est une base de données qui contient un ensemble d'informations sur des objets (utilisateurs, le matériel, les applications, les postes de travail ou les identifiants de connexion) qui sont présent dans cette entreprise. les informations et les attributs des différents objets sont organisés hiérarchiquement selon une arborescence dite « DIT » (Directory Information Tree). Pour faciliter la manipulation de ces informations, le protocole LDAP a été mis en place et on parle alors d'annuaire LDAP

C'est quoi LDAP?

LDAP est un protocole, dont l'acronyme est Lightweight Directory Access Protocol (Protocole d'accès à l'annuaire léger) repose sur une pile de protocoles TCP/IP et s’utilise de manière flexible sur n’importe quel système d’annuaires. Il se sert de ports TCP et UDP pour transférer des données. Il fonctionne (par défaut) sur le port TCP 389 pour LDAP et 636 pour LDAPS (LDAP over TLS/SSL).

Comment allons nous manipulées ces annuaires LDAP?

Pour pouvoir manipuler ces annuaires, nous avons utilisé OpenLDAP qui est une implémentation libre de ce protocole. Nous avons aussi joint à ceci phpLDAPadmin qui lui est une interface écrite en php qui permet de modifier facilement et via une interface conviviale un annuaire LDAP. ci-dessous, une image de l'interface.

Interface de phpLDAPadmin


Dans cet article, il sera question pour nous de voir comment activer l'authentification via LDAP sur un service ( cas du service DSpace) que nous avons eu à dépoyer. Pour le faire nous allons suivre la roadmap suivante:

  • Authentification du service DSpace sur le LDAP
  • Création d'un groupe LDAP pour le service et ajout des utilisateurs membres.
  • Ajout des utilisateurs du service DSpace dans le groupe dspace.
  • Restriction de l'authentification sur le service DSpace dans LDAP aux utilisateurs d'un groupe.
  • Création d'un profile sur LDAP (devops) qui donne accès au service DSpace.

Authentification du service DSpace sur le LDAP

Pour authentifier le service DSpace sur le LDAP, il faut d'abord activer le plugin responsable dans le fichier de configuration de ce service et ensuite procéder a sa configuration.

  • Activation du plugin

    • Cela ce fait dans le fichier [dspace]config/modules/authentication.cfg en décommentant juste la ligne necessaire. Activation du plugin LDAP

  • Configuration du module

    • Cela ce fait dans le fichier [dspace]config/modules/authentication-ldap.cfg. On definit les valeur essentiels tel que: l'url du serveur LDAP, le champ pour l'identification unique dans l'annuaire LDAP où le nom d'utilisateur est stocké, le contexte de l'objet LDAP à utiliser lors de l'authentification de l'utilisateur, le contexte de recherche a utilisé lors de la consultation de l'objet LDAP d'un utilisateur afin de récupérer ses données pour l'auto-enregistrement,et bien d'autres. nous resumons cela dans l'image ci-dessous.

    Configuration du module ldap

    Une fois l'authentification du service effectué, nous passons a l'étape suivante qui est la création du groupe dspace dans LDAP.

Création du groupe dspace dans LDAP

Nous alons créer ici un object de type groups donc le nom est dspace. Ce groupe sera de type Posix Group. les images ci-dessous donne les differentes étapes de création de ce groupe.

On se rend dans groups puis nouveau enfant et on choisit ici le type de groupe a créer: choix du type de groupe


Ensuite on définit le nom du groupe: definir le nom du groupe


Enfin on enregistre les changements: Groupe dpsace commité


On n'a ici notre groupe créer: groupe créer


Ajout des utilisateurs dans groupe dspace

Une fois que nous avons créer notre groupe, il est temps d'y ajouter des utilisateurs. Nous allons créer un groupe qui vas contenir des utilisateurs qui existe déjà dans le groupe définit a cet effet (users). ci bas les images montrants les différents étapes pour y arrivé.

Etant dans le groupe dspace créer préceddement, on crée un nouveau groupe de type groupOfName dans lequel on vas ajouter des membres. definier le nouveau groupe


Ensuite on définit les autres informations nécessaire avec ajout des membres: password et shell de connexion


Maintenant que nous avons ajoutés des utilisateurs dans ce groupe, on peu faire un test de connexion au service DSpace en utilisant les identifiants ldap.

connexion utilisateur


L'image ci-dessous nous montre la connextion qui a bien été effectuer avec succès

connexion utilisateur réussi


Restriction de l'authentification aux utilisateurs du groupe dspace

Dans cette section, il sera qustion pour nous de voir comment établir un filtre ldap pour faire de la restriction d'authentification au service DSpace pour les utilisateurs qui sont dans le groupe dspace uniquement.


Création d'un profil devops

L'objectif ici est de créer un profil devops dans LDAP qui doit avoir accès à dspace de tel sorte qu'un utilisateur au profil devops se retrouve automatiquement dans le groupe des utilisateurs de dspace et donc il va pouvoir se connecter au service DSpace.


Published on
Hulian Kenfack

Ingénieur Cloud / DevOps

No comments yet

No comments yet. Start a new discussion.

Add Comment