Skip to Content

Configuration serveur LDAP avec Ldap-Account-Manager (LAM)

But de ce document

Ce document me sert de mémo, pour installer, configurer et utiliser Ldap-Account-Manager (LAM) sur Debian ETCH. LAM permet de gérer les comptes Linux/Samba d’OpenLDAP.

Pré-requis

Avoir un système LDAP installé et opérationnel comme indiqué par exemple dans ce mémo :

  •  http://www.coagul.org/article.php3 ?id_article=625

    Installation de LAM

    # aptitude install ldap-account-manager

    Remarque : Il n’est pas obligatoire d’installer LAM sur le même poste que le serveur LDAP.

    Configuration de l’accès à l’interface

    Une fois le paquet installé, LAM est accessible à cette adresse :

  •  http://localhost/lam/

    La première chose à faire est de changer le mot de passe d’accès à l’interface :

  •  Cliquer sur le bouton « Configuration de LAM » en haut à droite
  •  Cliquer sur « Éditer les paramètres globaux » et saisir «  lam  » comme mot de passe.
  •  Indiquer les machines autorisées à accéder à cette configuration et un nouveau mot de passe principal pour remplacer le mot de passe « lam » proposé par défaut.

    Configuration de l’accès à la base LDAP

  •  Cliquer sur le bouton « Configuration de LAM » en haut à droite
  •  Cliquer sur « Éditer les profils »
  •  Renseigner les champs
    • Suffixe arborescence
    • Liste des utilisateurs valides

    Configurer les branches de l’arbre LDAP

  •  Cliquer sur le bouton « Configuration de LAM » en haut à droite
  •  Cliquer sur « Éditer les profils »
  •  Cliquer sur le bouton « Éditer type de compte »
  • Sur cette page, il faut indiquer la configuration des branches LDAP souhaitées pour stocker les utilisateurs, groupes, machines et domaines.

    Première connexion

    Lors de la première connexion, si toutes les branches de l’arbre DNS ne sont pas créées ou si votre configuration ne correspond pas bien aux branches créées, LAM va vous demander si vous souhaitez les créer automatiquement :

    Les suffixes suivants ne sont pas dans le LDAP. LAM peut les créer pour vous.

    ou=People,dc=my-domain,dc=com

    ou=group,dc=my-domain,dc=com

    ou=machines,dc=my-domain,dc=com

    ou=domains,dc=my-domain,dc=com

    ATTENTION : Si vos branches LDAP existent déjà, il faut donc modifier votre configuration et ne pas créer ces branches.

    Présentation rapide des fonctionnalités

    Une fois connecté, l’interface offre 5 menus :

  •  Vue arborescence : Cette interface utilise en fait «  phpldapadmin  » pour afficher l’arbre LDAP complet.
  •  Utilisateurs : Permet de gérer les utilisateurs.
  •  Groupes : Permet de gérer les groupes.
  •  Machines : Permet de gérer les machines.
  •  Domaines Samba : Permet de gérer les domaines.

    Fichiers de configuration

    Normalement, toute la configuration peut se faire via l’interface Web, mais pour information ou en cas de problème de fonctionnement, les fichiers de configuration sont ici :

  •  /etc/ldap-account-manager
  •  /var/lib/ldap-account-manager/config

    Remarque sur les mots de passe

    Avec, LAM, il y a au moins 3 mots de passe à gérer :

  •  Celui permettant d’accéder au menu « Configuration de LAM / Éditer les paramètres globaux »
  •  Celui permettant d’accéder au menu « Configuration de LAM / Éditer les profils »
  •  Celui de la base LDAP : http://localhost/lam/templates/login.php

    Remarque : Donc, si vous êtes seul à gérer votre base LDAP, le plus simple est de mettre le même mot de passe partout.

    Bug avec php5-mcrypt

    Si le paquet « php5-mcrypt » est installé sur votre système, LAM va tenter de crypter les mots de passe, mais un bug avec la dernière version entraîne ce message :

    Warning: mcrypt_decrypt() [function.mcrypt-decrypt]: The IV parameter must be as long as the blocksize in /usr/share/ldap-account-manager/lib/ldap.inc on line 378

    Donc, il y a plusieurs solutions :

  •  Enlever le paquet « php5-mcrypt » s’il n’est pas nécessaire à d’autres programmes
  •  Bidouiller LAM pour qu’il n’utilise pas les fonctions de « php5-mcrypt »
  •  Installer LAM sur un autre poste ou « php5-mcrypt » n’est pas nécessaire

    Historique des modifications

    Version Date Commentaire
    0.1 30/08/07 Création par Tony GALMICHE
    0.2 15/09/07 Mise en ligne
  • Commentaires

    > Configuration serveur LDAP avec Ldap-Account-Manager (LAM)

    Je ne suis pas sur que cela me soit très utile, mais je vais creuser.

    Tu as des exemples ou cela t’es utile ?

    > Configuration serveur LDAP avec Ldap-Account-Manager (LAM)

    Tu aurais pu présenté les templates (enfin je sais plus trop comment c’est mis sur le site) qui permet de faire des profiles d’utilisateur avec les options par défaut. C’est pas mal utile !