L D A P en version 6

Un serveur LDAP est un serveur d'annuaire basé sur la norme X.500 (comme NOTES)

   Pour le configurer sur AS/400, utilisez Operation Navigator :

Choisissez Configuration ou ReConfiguration (le serveur doit être arrêté), un assistant est alors lancé :

S'il s'agit de reconfigurer, vous verrez une option d'écrasement des données existantes sous forme de case à cocher.

indiqué un nom d'instance (QUSRDIR est parfait si vous avez une seule instance)

Indiquez si vous acceptez les valeurs par défaut, si vous répondez non, vous verrez les fenêtres suivantes

indiquez la bibliothèque sous la forme /QSYS.LIB/QUSRDIRDB.LIB

puis l'ASP (1 = ASP système), pensez à une éventuelle réplication pour choisir le bon ASP.

le mot de passe de l'administrateur (si vous décochez "Généré par le système" )

les suffixes à ajouter (on vous propose le nom qualifié du serveur)

les ports à utiliser, conservez les ports standard suivants :

• 389 pour une connexion en clair
• 636 pour une connexion cryptée.

la ou les adresses IP d'écoute

s'il faut démarrer le serveur en même temps que TCP/IP

puis sur cet écran final, cliquez sur Terminer

vous pourrez revoir votre paramétrage par l'option propriété d'Operation Navigator

Si vous souhaitez enregistrer vous même des informations dans l'annuaire, vous avez plusieurs solutions.

1. en mode commande, ouvrez un shell (STRQSH), placez vous dans /usr/bin et utilisez :
   • ldapadd
   • ldapdelete
   • ldapmodify
     • ldapsearch, permet une recherche dans l'annuaire
2. Par programmation
   • il existe des API (destinées à l'origine au C, mais utilisables en ILE/RPG4)
   • JNDI, qui sont des classes Java
     
3. la version 6 ne contient plus IBM SecureWay Directory Client SDK, mais propose un client Web intégré,
   accessible depuis IBM Director Navigator (ou bien utiliser un projet Open Source comme http://ldapadmin.sourceforge.net/)
   
   
   indiquez ici superadmin / secret
   
   puis ajoutez un serveur de console
   
   
   
   Indiquez le nom de votre System i
   
   Revenez à la page de connexion   
   
   
   Vous pourrez désormais vous connecter avec os400-profile=xxxxx (où xxxxx est un profil OS/400) et son mot de passe
   
   
   Et voilà
   

Vous pouvez obtenir une réplique de la directory système (cde WRKDIRE) vers l'annuaire LDAP (et non l'inverse)

pour cela :

1. Assurez vous que SMTP est correctement configuré et que vous avez attribué des e-mail à vos utilisateur
2. sous Operation navigator prenez l'icone correspondant à votre nom de système, cliquez avec le bouton droit
   et choisissez l'onglet "service d'annuaire"
   
   
   
3. choisissez utilisateurs et entrez le profil de l'administrateur et son mot de passe LDAP
   (attention LDAP est sensible aux différences minuscules/MAJUSCULES)
   
   
   
   
4. La réplication est ensuite automatique depuis la V4R40
   (sous deux job QGLDPUBA et QGLDPUBE)
   
   
   
5. Remarques :
   
   La publication ne se fait pas pour :
   • les profils commencant par Q
   • les profils répliqués de directory système à directory système (Shadowing entre AS/400)
   • les utilisateurs d'un autre système sans information SMTP (quelque soit le système de messagerie)
     

     Si vous souhaitez que certains utilisateurs (Profils de groupe, etc...)
     ne soient PAS répliqués dans l'annuaire LDAP :

      

     • Ajoutez un champ à la directory système par :
       
       CHGSYSDIRA USRDFNFLD((QREPL QLDAP *ADD *DATA 4))
       
       
     • sous WRKDIRE, faites F20 et indiquez *NO dans ce champ pour les utilisateurs à Ne PAS répliquer
       (pour les autres vous pouvez, soit laisser à blanc, soit indiquer *YES)
       
       

     pour tous les détails sur la réplication, voyez http://publib.boulder.ibm.com/pubs/html/as400/v4r5/ic2924/info/apis/QGLDSSDD.htm

Comment utiliser LDAP ? et bien par exemple depuis un client de messagerie comme OUTLOOK :

définissez un nouveau compte d'annuaire :

en indiquant le nom racine du site :
O=entreprise,C=FRA (anciennes versions) ou dc=as400,dc=entreprise,dc=com

Puis faites vos recherches dans ce compte d'annuaire, vous verrez apparaitre alors :

(ici nous demandons les noms commencant par "format*")

Sous thunderbird

Allez dans Outils/Option/Rédaction , onglet adressage et utilisez le bouton "Modifier les annuaires"

puis dans le carnet d''adresse, choisissez Edition/rechercher des adresses et indiquer l'annuaire créé.

Autre utilisation possible, tendre vers un SSO (ou Single Sign ON), les produits capables d'authentifier un utilisateur avec un annuaire LDAP sont :

• le serveur WEB (d'origine ou Apache) en remplacement des listes de validation
• Domino 5 et 6 (qui lui même est un serveur LDAP)
• WAS 4 et suivantes (le serveur d'application d'IBM)

Nous verrons ici comment configurer Apache pour protéger certains documents avec des utilisateurs enregistrés dans LDAP plutôt qu'enregistrés dans une liste de validation.

Utilisez l'administration HTTP, puis crééz une configuration de serveur LDAP (indiquez un fichier dans lequel stocker cette config.)

Renseignez ensuite les différents paramètres :

• Nom ou adresse Ip de votre serveur ldap
• le port (389, saufg paramétrage particulier)
• DN de recherche .
  faites référence à la DN de vos utilisateurs, soit cn=user,dc=as400,dc=domaine,dc=toplevel
  
• nom (précédé de cn=) et mot de passe de l'administrateur (Apache se connectera à LDAP avec cet ID)
  
  
• sur l'ongletUser Authentification
  • DNà utiliser pour rechercher l'utilisateur :
    • CN=%v1 %v2, on fera une recherche cn= en utilisant le premier ou le deuxième mot saisi
    • UID=%v1, l'uid utilisateur devra correspondre au premier mot

      
      

    ATTENTION, si vous enregistrez vos utilisateurs (pas de réplication avec la directory systeme), l'uid n'est pas forcemment renseignée.
    vérifiez le avec LDAP Admin
    
    
  • les caractères séparateur pouvant être utilisés lors de l'authentificaiton.
    

Tout cela doit généré un fichier ayant ce contenu

LDAP.Realm "Serveur LDAP sur AS400" 
LDAP.URL "ldap://as400.volubis.intra:389/cn=users,dc=as400,dc=volubis,dc=intra" 
LDAP.Appid QIBM_HTTP_CLIENT_APACHEDFT 
LDAP.Application.DN cn=administrator 
LDAP.Application.Password.StashFile /QIBM/UserData/HTTPSVR/LDAP/APACHEDFT/1059741983097.stash 
LDAP.Group.MemberAttributes "member uniquemember" 
LDAP.User.Name.FieldSep " \t," 

le mot de passe est stocké (crypté) dans un fichier nommé ici StashFile.

Ensuite la proctection d'un réperoire se fait de manière très semblable à une protection par liste de validation.

soit les directives suivantes :

# ligne placée en début de httpd.conf, correspond à la localistion des routines liées à LDAP
LoadModule ibm_ldap_module /QSYS.LIB/QHTTPSVR.LIB/QZSRVLDAP.SRVPGM 

.../...

#protection du répertoire /acl/acl_ldap
<Directory /html/acl/acl_ldap>    
   Order Allow,Deny               
   Allow From all                 
   ProfileToken ON                
   AuthName "VOLUBIS-LDAP"        
   AuthType basic                 
   PasswdFile %%LDAP%%            
   UserID QUSER                   
   Require valid-user             
   LDAPConfigFile /www/ldap_config
</Directory>                      
    

Sauvegardes :

• Bibliothèques : QUSRDIRDB, QUSRDIRCL (si vous avez demandé l'historisation des changements)
  
  
• IFS : Répertoires
  • /QIBM/UserData/OS400/DirSrv
    
    
• Divers : QUSRDIRCF/QGLDCFG (*USRSPC) et QUSRDIRCF/QGLDVLDL (*VLDL)
  (sur les versions précédentes ces objets étaient dans QUSRSYS)
  
  
  

Vous pouvez répliquer les deux bibliothèques et la branche de l'IFS (arboresence incluse) sur une machine de backup
  (LDAP sera démarré, uniquement en cas de bascule, sur la machine de backup)

ou bien répliquer de serveur LDAP actif à serveur LDAP actif en suivant ces instructions :
    http://www-01.ibm.com/support/docview.wss?uid=nas1618398daccf03cf3862575d6006c3ce6

© Volubis 1995-2003