L D A P

Un serveur LDAP est un serveur d'annuaire basé sur la norme X.500 (comme NOTES)

   Pour le configurer sur AS/400, utilisez Operation Navigator :

il s'agit du service "directory". (option 32 de 5769SS1 qui doit être installée avant la V5R20, intégrée à l'OS/400 depuis).

cliquez sur configuration, qui lance un assistant

choisissez une blbliothèque dans laquelle créer la base de donnéee LDAP (LDAP s'appuie sur SQL)

puis indiquez le nom distinctif de l'administrateur LDAP ainsi que son mot de passe.

ATTENTION, certains écrans proposent "administrateur" et d'autres (plus tard) "Administrator".
Ce défaut disparait en V5 ou on vous propose un identifiant système (par défaut).

indiquez ensuite les coordonées de votre entreprise

LDAP est basé sur une arboresecence

Chaque objet doit être placé dans cette arborescence, le wizzard (de la 5.20) propose :

• DC=as400,DC=domaine,DC=fr (si votre serveur s'appel as400.domaine.fr, DC représentant le domaine)
  
  pour une entreprise complexe, vous souhaiterez probablement indiquer plutôt une notion de localisation type pays/entreprise etc..
  
• C    = indique un pays (Country)
• O    = une entreprise ,dans un pays (Organisation)
• OU = une unité opérationelle (Organisation Unit)

Choisissez alors un nom et un pays

• CN= indique un nom commun, c'est à dire une information de base (une feuille de l'arbre)
  

comme il s'agit d'un serveur TC/IP, indiquez si vous souhaitez qu'il démarre automatiquement.

ICI, l'assistant vous rappelle vos choix avant la création définitive.

Voilà, votre config de base est terminée

Sur une configuration existante, l'option propriété affiche cela :

Si vous souhaitez enregistrer vous même des informations dans l'annuaire, vous avez plusieurs solutions.

1. en mode commande, ouvrez un shell (STRQSH), placez vous dans /usr/bin et utilisez :
   • ldapadd
   • ldapdelete
   • ldapmodify
     • ldapsearch, permet une recherche dans l'annuaire
2. Par programmation
   • il existe des API (destinées à l'origine au C, mais utilisables en ILE/RPG4)
   • JNDI, qui sont des classes Java
     
3. en utilisant le produit IBM SecureWay Directory Client SDK, livré sur votre AS/400 dans le répertoire
   
   /QIBM/ProdData/OS400/DirSrv/UserTools/Windows (programme setup.exe)
   
   
   Le produit cherche par défaut un serveur LDAP sur localhost, il faut ajouter le serveur à administrer.
   
   
   ou bien ajouter la ligne server1.url=ldap://monas400.domaine.fr:389, dans le fichier etc/dmt.conf du répertoire d'installation.
   
   vous pouvez ensuite naviguer dans l'arborescence de votre annuaire :
   
   
   un double click sur un utilisateur affiche toutes ces caractèristiques (le bouton ajout permet une création)
   

Vous pouvez obtenir une réplique de la directory système (cde WRKDIRE) vers l'annuaire LDAP (et non l'inverse)

pour cela :

1. Assurez vous que SMTP est correctement configuré et que vous avez attribué des e-mail à vos utilisateur
2. sous Operation navigator prenez l'icone correspondant à votre nom de système, cliquez avec le bouton droit
   et choisissez l'onglet "service d'annuaire"
   
   
   
3. choisissez utilisateurs et entrez le profil de l'administrateur et son mot de passe LDAP
   (attention LDAP est sensible aux différences minuscules/MAJUSCULES)
   
   
   
   
4. ET VOILA , la réplication est automatique en V4R40
   (sous deux job QGLDPUBA et QGLDPUBE)
   
   
   
5. en V4R30, il faut lancer la synchronisation par :
   
   1ère fois : CALL QDIRSRV/QGLDSSDD PARM('*ALL 'CN=Admisnitrateur' 'motdepasse' 0 0 0)
   
   les autres fois : CALL QDIRSRV/QGLDSSDD PARM('*CHG 'CN=Admisnitrateur' 'motdepasse' 0 0 0)
   
   
6. Remarques :
   
   La publication ne se fait pas pour :
   • les profils commencant par Q
   • les profils répliqués de directory système à directory système (Shadowing entre AS/400)
   • les utilisateurs d'un autre système sans information SMTP (quelque soit le système de messagerie)
     

     Si vous souhaitez que certains utilisateurs (Profils de groupe, etc...)
     ne soient PAS répliqués dans l'annuaire LDAP :

      

     • Ajoutez un champ à la directory système par :
       
       CHGSYSDIRA USRDFNFLD((QREPL QLDAP *ADD *DATA 4))
       
       
     • sous WRKDIRE, faites F20 et indiquez *NO dans ce champ pour les utilisateurs à Ne PAS répliquer
       (pour les autres vous pouvez, soit laisser à blanc, soit indiquer *YES)
       
       

     pour tous les détails sur la réplication, voyez http://publib.boulder.ibm.com/pubs/html/as400/v4r5/ic2924/info/apis/QGLDSSDD.htm

Comment utiliser LDAP ? et bien par exemple depuis un client de messagerie comme OUTLOOK :

définissez un nouveau compte d'annuaire :

en indiquant le nom racine du site : O=entreprise,C=FRA

Puis faites vos recherches dans ce compte d'annuaire, vous verrez apparaitre alors :

(ici nous demandons les noms commencant par "format*")

Sous netscape

Puis recherchez par :

Autre utilisation possible, tendre vers un SSO (ou Single Sign ON), les produits capables d'authentifier un utilisateur avec un annuaire LDAP sont :

• le serveur WEB (d'origine ou Apache) en remplacement des listes de validation
• Domino 5 et 6 (qui lui même est un serveur LDAP)
• WAS 4 ou 5 (le serveur d'application d'IBM)

Nous verrons ici comment configurer Apache pour protéger certains documents avec des utilisateurs enregistrés dans LDAP plutôt qu'enregistrés dans une liste de validation.

Utilisez l'administration HTTP, puis crééz une configuration de serveur LDAP (indiquez un fichier dans lequel stocker cette config.)

Renseignez ensuite les différents paramètres :

• Nom ou adresse Ip de votre serveur ldap
• le port (389, saufg paramétrage particulier)
• DN de recherche .
  faites référence à la DN de vos utilisateurs
  
• nom (précédé de cn=) et mot de passe de l'administrateur (Apache se connectera à LDAP avec cet ID)
  
  
• sur l'ongletUser Authentification
  • DNà utiliser pour rechercher l'utilisateur :
    • CN=%v1 %v2, on fera une recherche cn= en utilisant le premier ou le deuxième mot saisi
    • UID=%v1, l'uid utilisateur devra correspondre au premier mot

      
      

    ATTENTION, si vous enregistrez vos utilisateurs (pas de réplication avec la directory systeme), l'uid n'est pas forcemment renseignée.
    vérifiez le avec IBM SecureWay Directory Client (onglet Autre)
    
    
  • les caractères séparateur pouvant être utilisés lors de l'authentificaiton.
    

Tout cela doit généré un fichier ayant ce contenu

LDAP.Realm "Serveur LDAP sur AS400" 
LDAP.URL "ldap://as400.volubis.intra:389/cn=users,dc=as400,dc=volubis,dc=intra" 
LDAP.Appid QIBM_HTTP_CLIENT_APACHEDFT 
LDAP.Application.DN cn=administrator 
LDAP.Application.Password.StashFile /QIBM/UserData/HTTPSVR/LDAP/APACHEDFT/1059741983097.stash 
LDAP.Group.MemberAttributes "member uniquemember" 
LDAP.User.Name.FieldSep " \t," 

le mot de passe est stocké (crypté) dans un fichier nommé ici StashFile.

Ensuite la proctection d'un réperoire se fait de manière très semblable à une protection par liste de validation.

soit les directives suivantes :

# ligne placée en début de httpd.conf, correspond à la localistion des routines liées à LDAP
LoadModule ibm_ldap_module /QSYS.LIB/QHTTPSVR.LIB/QZSRVLDAP.SRVPGM 

.../...

#protection du répertoire /acl/acl_ldap
<Directory /html/acl/acl_ldap>    
   Order Allow,Deny               
   Allow From all                 
   ProfileToken ON                
   AuthName "VOLUBIS-LDAP"        
   AuthType basic                 
   PasswdFile %%LDAP%%            
   UserID QUSER                   
   Require valid-user             
   LDAPConfigFile /www/ldap_config
</Directory>                      
    

© Volubis 1995-2003