Installation et configuration des services LDAP pour eDirectory

L'installation des services LDAP pour eDirectory se fait par l'installation de eDirectory. Vous pouvez modifier la configuration par défaut des services LDAP pour eDirectory à l'aide de ConsoleOneTM. Pour plus d'informations, reportez-vous à Installation et mise à niveau de Novell eDirectory.

Deux nouveaux objets sont ajoutés à votre arborescence Annuaire lorsque eDirectory est installé :


Chargement et déchargement des services LDAP pour eDirectory

Vous pouvez charger et décharger manuellement les services LDAP pour eDirectory. Pour charger les services LDAP pour eDirectory, entrez les commandes suivantes :


Tableau 95. Commandes permettant de charger les services LDAP pour eDirectory

Serveur Commande

NetWare®

À l'invite de la console, tapez LOAD NLDAP.NLM.

Windows* NT*/2000

Dans l'écran DHOST (NDSCONS), sélectionnez NLDAP.DLM, puis cliquez sur Démarrer.

Linux* ou Solaris*

À l'invite de Linux ou de Solaris, saisissez /usr/sbin/nldap -l

Pour décharger les services LDAP pour eDirectory, entrez les commandes suivantes :


Tableau 96. Commandes permettant de décharger les services LDAP pour eDirectory

Serveur Commande

NetWare®

À l'invite de la console, entrez UNLOADNLDAP.NLM.

Windows NT/2000

Dans l'écran DHOST (NDSCONS), sélectionnez NLDAP.DLM, puis cliquez sur Arrêter.

Linux ou Solaris

À l'invite de Linux ou de Solaris, saisissez /usr/sbin/nldap -u

Réglage des services LDAP pour eDirectory

Les paramètres suivants sont les paramètres optimaux pour une recherche et une authentification LDAP de eDirectory sur un serveur équipé de deux processeurs et disposant de 2 Go de RAM :


Tableau 97. Paramètres optimaux pour les opérations de recherche et d'authentification LDAP pour eDirectory

Limite maximale de port TCP

45000

Nombre maximal de requêtes de connexion TCP en attente

4096

Nombre maximal de tampons de réception des paquets

10000

Nombre minimal de tampons de réception des paquets

3000

Tailles physiques maximales des paquets de réception

2048

Nombre maximal d'écritures de cache de disque simultanées

2000

Nombre maximal d'écritures de cache de répertoire simultanées

500

Nombre maximal de tampons de cache de répertoire

200000

Nombre maximal d'identificateurs de répertoires internes

100

Nombre maximal d'identificateurs de répertoires

20

DSTRACE

!mxxxxxx

Remplacez xxxxxx par la quantité de RAM en octets à utiliser comme cache.

Sous NT, créez un fichier texte appelé _NDSDB.INI dans le répertoire eDirectory, puis ajoutez cette ligne.

Gestion de la mémoire

eDirectory utilise de la mémoire pour le cache de la base de données et pour l'utilisation de l'Annuaire. Il s'agit de réserves de mémoire allouées distinctes. Le moteur de l'Annuaire utilise au besoin la mémoire des réserves de mémoire allouées dans le système d'exploitation. La base de données utilise une réserve de cache définie par les paramètres ci-dessous. En général, plus la quantité de cache de base de données allouée à eDirectory est grande, plus les performances sont optimales. Cependant, étant donné que eDirectory utilise la mémoire système disponible pour ses tampons, si des clients effectuent des requêtes qui nécessitent le renvoi d'ensembles de données volumineux, il peut être nécessaire de réduire la taille du cache de la base de données afin de disposer de suffisamment de mémoire système pour que l'Annuaire puisse gérer l'élaboration des réponses aux requêtes.

Le moteur de base de données utilise le cache de base de données pour stocker les blocs les plus récemment utilisés. Au départ, ce cache a une taille fixe de 16 Mo. La taille de ce cache peut être modifiée à partir de la ligne de commande dans les versions d'origine de eDirectory. Par exemple, la commande suivante configure le cache de base de données de eDirectory sur 80 Mo :

set dstrace=!mb 80000000

Vous pouvez également définir un fichier appelé _NDSDB.INI dans le répertoire SYS:\NETWARE sur un serveur NetWare ou dans le répertoire contenant les fichiers de la base de données eDirectory dans les environnements Windows, Solaris et Linux (habituellement \novell\nds\dbfiles). Ce fichier texte doit simplement contenir une ligne comme la suivante :

cache=80000000

N'ajoutez pas d'espace avant et après le signe égal (=)

Dans eDirectory 8.6, le cache peut être initialisé avec une limite fixe comme dans les versions antérieures. De plus, les limites supérieure et inférieure peuvent être définies soit sous forme de nombres fixes soit sous forme de pourcentage de la mémoire disponible. Les paramètres de contrôle d'allocation dynamique permettent à la taille du cache d'augmenter ou de diminuer selon l'utilisation. Si les paramètres de configuration appropriés sont définis, le cache de base de données augmente ou diminue de façon dynamique selon les autres besoins en ressources système.

L'édition du fichier _NDSDB.INI permet de contrôler manuellement l'utilisation de la mémoire de la base de données. Le format des commandes du fichier INI est le suivant :

cache=cacheBytes # Définir une limite de mémoire fixe

D'autres formats sont présentés dans Tableau 98.


Tableau 98. Autres commandes INI

Commande Description

cache=options_cache

Définit une limite fixe ou à ajustement dynamique. Vous pouvez préciser plusieurs options de cache, dans l'ordre de votre choix, en les séparant par des virgules. Elles sont toutes facultatives. Ces options sont les suivantes :

DYN ou FIXE

Limite dynamique ou limite fixe.

DISPO ou TOTAL

Ces options ne s'appliquent que si une limite fixe a été choisie. Omettez ces options pour une limite dynamique.

%:pourcentage

Pourcentage de mémoire physique disponible ou totale.

MIN:octets

Nombre minimal d'octets.

MAX:octets

Nombre maximal d'octets.

LEAVE:octets

Nombre minimal d'octets à laisser au système d'exploitation.

blockcachepercent=pourcentage

Répartit le cache entre le cache de bloc et le cache d'enregistrement.

Si une limite fixe est indiquée et que l'administrateur veuille définir le cache de base de données sur un pourcentage de mémoire, il peut choisir entre un pourcentage de mémoire totale et un pourcentage de mémoire disponible. Les limites dynamiques font toujours référence à un pourcentage de mémoire disponible. Voici des exemples de commandes valides dans le fichier _NDSDB.INI.

L'exemple de limite dynamique suivant équivaut à 75 % de la mémoire disponible, avec un minimum de 16 Mo et 32 Mo pour le système d'exploitation :

cache=DYN,%:75,MIN:16000000, LEAVE 32000000

L'exemple de limite fixe suivant équivaut à 75 % de la mémoire disponible, avec un minimum de 18 Mo et 512 Mo pour le système d'exploitation :

cache=HARD, TOTAL,%:75,MIN:18000000, MAX 512000000

L'exemple suivant est un exemple de format ancien de limite fixe équivalant à 8 Mo :

cache=8000000

Le cache de la base de données est réparti entre le cache de bloc et le cache d'enregistrement. Le cache de bloc contient des blocs de données et d'index qui mettent en miroir le stockage sur le disque. Le cache d'enregistrement garde en mémoire des représentations des objets et des attributs de l'Annuaire. Si vous effectuez des mises à jour ou des ajouts dans l'Annuaire, utilisez le paramètre du cache de bloc. Si vous effectuez principalement des lectures, utilisez le cache d'enregistrement. Vous risquez d'endommager les deux caches si vous effectuez de nombreuses mises à jour séquentielles sans allouer une taille de cache correcte. À moins que vous n'apportiez des modifications spécifiques, le cache est alloué pour 50 % au cache de bloc et pour 50 % au cache d'enregistrement. L'option blockcachepercent peut être incluse dans le fichier _NDSDB.INI pour indiquer le pourcentage de cache alloué à la mise en cache des blocs d'index et de données. (La valeur par défaut est 50 %.) Le cache restant est utilisé pour les entrées.

Par exemple, pour indiquer 60 % de cache de bloc et 40 % de cache d'enregistrement, entrez :

blockcachepercent=60

Ne choisissez pas 100 % du cache pour le cache de bloc ou le cache d'enregistrement au détriment de l'autre type de cache. En règle générale, n'allouez pas plus de 75 % de votre mémoire cache à l'un des deux types de cache.

La configuration du cache de base de données peut également être contrôlée à l'aide de Novell iMonitor.

Bien que la taille du cache soit dynamique selon la quantité de mémoire disponible, la commande DSTRACE peut tout de même être utilisée dans des environnements personnalisés.


Configuration de l'objet Serveur LDAP

L'objet Serveur LDAP stocke les données de configuration des services LDAP pour le serveur eDirectory. Durant l'installation, un objet Serveur LDAP appelé Serveur LDAP - nom_serveur (nom_serveur étant le nom du serveur sur lequel les services LDAP pour NDS sont installés) est créé. L'objet Serveur LDAP est créé dans le même conteneur que l'objet Serveur.

Chaque objet serveur LDAP configure un ensemble de services LDAP pour le serveur eDirectory. N'assignez pas le même objet Serveur LDAP à plus d'un serveur de services LDAP pour eDirectory. En effet, si vous assignez l'objet Serveur LDAP à un autre serveur, il ne sera plus attribué au serveur précédent.

  1. Sous ConsoleOne, cliquez avec le bouton droit de la souris sur l'objet Serveur LDAP, puis cliquez sur Propriétés.

    2.

  2. Entrez les paramètres configurables aux pages de propriétés.

    Pour plus d'informations sur les paramètres de l'objet Serveur LDAP, consultez l'aide en ligne LDAP.

    3.

  3. Cliquez sur Appliquer > OK.

    4.

Configuration de l'objet Groupe LDAP

L'objet Groupe LDAP stocke les données de configuration qui peuvent s'appliquer à un serveur LDAP ou à un groupe de serveurs LDAP. Si vous prévoyez de mettre en oeuvre la même configuration sur plusieurs serveurs, configurez un objet Groupe LDAP, puis assignez-le à chaque serveur de services LDAP pour eDirectory, depuis la page Général du serveur LDAP.

Le groupe LDAP configure la classe, les assignations d'attributs et les règles de sécurité sur le serveur. Ainsi, les modifications de configuration sont grandement simplifiées, car un changement peut être appliqué sans délai à plusieurs serveurs LDAP.

Durant l'installation, un objet Groupe LDAP appelé Groupe LDAP nom_serveur est créé dans le même conteneur que l'objet Serveur.

Pour configurer l'objet Groupe LDAP, utilisez ConsoleOne et effectuez les étapes suivantes :

  1. Sous ConsoleOne, cliquez avec le bouton droit de la souris sur l'objet Groupe LDAP, puis cliquez sur Propriétés.

    2.

  2. Entrez les paramètres configurables aux pages de propriétés.

    Pour plus d'informations sur les paramètres de l'objet Groupe LDAP, consultez l'aide en ligne LDAP.

    3.

  3. Cliquez sur Appliquer > OK.

    4.

Configuration d'objets Serveur LDAP et Groupe LDAP sur des systèmes Linux ou Solaris

Vous pouvez utiliser l'utilitaire de configuration LDAP, ldapconfig, sur des systèmes Linux ou Solaris pour modifier, afficher et rafraîchir les attributs des objets Serveur et Groupe LDAP.

Utilisez la syntaxe suivante pour afficher des valeurs d'attribut LDAP sur des systèmes Linux ou Solaris.

ldapconfig [-t nom_arborescence | -p nom_hôte[:port]] [-w mot_de_passe] [-a FDN_utilisateur] -v attribut,attribut2...

Utilisez la syntaxe suivante pour modifier des valeurs d'attribut LDAP sur des systèmes Linux ou Solaris.

ldapconfig [-t nom_arborescence | -p nom_hôte[:port]] [-w mot_de_passe] [-a FDN_admin] -s attribut=valeur,... 


Tableau 99. Paramètres ldapconfig

Paramètre ldapconfig Description

-t

Nom de l'arborescence eDirectory sur laquelle installer le composant.

-p

Nom de l'hôte.

-w

Mot de passe de l'utilisateur qui dispose de droits d'administrateur.

-a

Nom distinctif complet de l'utilisateur qui dispose de droits d'administrateur.

-v

Option permettant d'afficher la valeur de l'attribut LDAP.

-s

Option permettant de définir une valeur pour un attribut des composants installés.

attribut

Nom d'attribut de groupe ou de serveur LDAP configurable. Pour plus de précisions, reportez-vous à Attributs de serveur LDAP et Attributs de groupe LDAP.

Tableau 100 fournit une description des attributs de serveur LDAP configurables :


Tableau 100. Attributs de serveur LDAP

Attribut de serveur LDAP Description

Serveur LDAP

Nom distinctif complet de l'objet Serveur LDAP dans le eDirectory

Hôte du serveur LDAP

Nom distinctif complet du serveur eDirectory hôte sur lequel s'exécute le serveur LDAP.

Groupe LDAP

Objet Groupe LDAP de eDirectory, auquel ce serveur LDAP appartient.

Limite de liaison du serveur LDAP

Nombre de clients qui peuvent créer simultanément une liaison avec le serveur LDAP. La valeur 0 (zéro) indique qu'il n'existe aucune limite.

Timeout d'inactivité du serveur LDAP

Période d'inactivité d'un client, à l'issue de laquelle le serveur LDAP interrompt la connexion avec ce client. La valeur 0 (zéro) indique qu'il n'existe aucune limite.

Activer le protocole TCP pour le serveur LDAP

Indique si les connexions TCP (non-SSL) sont activées pour ce serveur LDAP. Les valeurs sont 1 (oui) et 0 (non).

Activer le protocole SSL pour le serveur LDAP

Indique si les connexions SSL sont activées pour ce serveur LDAP. Les valeurs sont 1 (oui) et 0 (non).

Port TCP LDAP

Numéro du port sur lequel le serveur LDAP écoutera les connexions TCP (non-SSL).

Port SSL LDAP

Numéro du port sur lequel le serveur LDAP écoutera les connexions SSL.

keyMaterialName

Nom de l'objet Certificat de eDirectory associé à ce serveur LDAP et utilisé pour les connexions LDAP SSL.

searchSizeLimit

Nombre maximal d'entrées renvoyées par le serveur LDAP à un client LDAP en réponse à une recherche. La valeur 0 (zéro) indique qu'il n'existe aucune limite.

searchSizeLimit

Nombre maximal de secondes après lesquelles le serveur LDAP abandonne la recherche LDAP pour dépassement du délai. La valeur 0 (zéro) indique qu'il n'existe aucune limite.

extensionInfo

Extensions prises en charge par le serveur LDAP.

filteredReplicaUsage

Indique si le serveur LDAP doit utiliser une réplique filtrée pour une recherche LDAP. Les valeurs sont 1 (utiliser une réplique filtrée) et 0 (ne pas utiliser de réplique filtrée).

sslEnableMutualAuthentication

Indique si l'authentification mutuelle SSL (authentification client basée sur un certificat) est activée sur le serveur LDAP.

ldapEnablePSearch

Spécifie si la fonction de recherche persistante est activée sur le serveur LDAP. Les valeurs possibles sont True ou False.

ldapMaximumPSearchOperations

Entier qui limite le nombre d'opérations de recherches persistantes simultanées possibles. Une valeur nulle indique des opérations de recherche illimitées.

ldapIgnorePSearchLimitsForEvents

Indique si les limites de taille et de temps doivent être ignorées une fois que la requête de recherche persistante a envoyé l'ensemble de résultats initial. Les valeurs possibles sont True ou False. Si l'attribut est paramétré sur False, l'ensemble de la recherche persistante est soumis aux limites de recherche. Si l'une des limites est atteinte, la recherche échoue et le message d'erreur approprié apparaît.

Tableau 101 fournit une description des attributs de groupe LDAP configurables :


Tableau 101. Attributs de groupe LDAP

Attribut de groupe LDAP Description

Liste de serveurs LDAP

Liste des serveurs LDAP membres de ce groupe.

Autoriser les mots de passe en texte clair depuis le serveur LDAP

Indique si le serveur LDAP autorise la transmission de mots de passe en texte clair à partir d'un client LDAP. Les valeurs sont 0 (non) et 1 (oui).

Utilisation des renvois de recherche LDAP

Indique comment le serveur LDAP traite les renvois LDAP. Les valeurs sont les suivantes :

  • Toujours traverser

    Le serveur LDAP associera la requête à d'autres serveurs NDS au lieu de retourner des renvois, sauf dans les cas suivants : Lors du traitement d'une opération de recherche persistante avec une entrée absente sur le serveur local. Lors du traitement d'une opération étendue qui retourne des renvois.

  • Traverser s'il n'y a pas de renvois

    Le serveur LDAP franchit l'arborescence si aucun serveur LDAP n'est exécuté sur un autre serveur de réplique contenant les objets voulus. Si un serveur LDAP est exécuté sur un autre serveur de réplique, un renvoi LDAP de ce serveur est retourné.

  • Toujours référer

    Le serveur LDAP retourne toujours un renvoi LDAP.

  • Renvoi LDAP

    Un renvoi LDAP est retourné si le serveur LDAP ne peut pas contacter un autre serveur de réplique dans la même arborescence ou si aucun autre serveur LDAP n'est exécuté sur l'autre serveur de réplique. Il s'agit de l'option par défaut.

Renvoi LDAP

Un renvoi LDAP est retourné si le serveur LDAP ne peut pas contacter un autre serveur de réplique dans la même arborescence ou si aucun autre serveur LDAP n'est exécuté sur l'autre serveur de réplique. Il s'agit de l'option par défaut.

Exemples

Pour afficher la valeur de l'attribut dans la liste d'attributs :

  1. Entrez la commande suivante :

    ldapconfig [-t nom_arborescence | -p nom_hôte[:port]] [-w mot_de_passe] [-a FDN_utilisateur] -v "LDAP Allow Clear Text Password","searchTimeLimit"

    2.

Pour configurer le numéro de port TCP LDAP :

  1. Entrez la commande suivante :

    ldapconfig [-t nom_arborescence | -p nom_hôte[:port]] [-w mot_de_passe] [-a FDN_admin] -s "LDAP TCP Port=389","searchSizeLimit=1000"

    2.