La présente section explique les différences de schémas LDAP, les assignations de classes et d'attributs, la prise en charge de classes auxiliaires et la syntaxe LDAP.
Tous les clients LDAP se relient, ou se connectent, à eDirectory en qualité d'un des types d'utilisateur suivants :
Le type de liaison sous lequel l'utilisateur s'authentifie affecte le contenu auquel le client LDAP peut accéder. Les clients LDAP accèdent à un annuaire en créant une requête puis en l'envoyant à l'annuaire. Lorsqu'un client LDAP envoie une requête via les services LDAP pour eDirectory, eDirectory traite la requête pour les seuls attributs pour lesquels le client LDAP dispose de droits appropriés. Si le client LDAP fait par exemple porter sa requête sur une valeur d'attribut (nécessitant le droit Lire) mais que l'utilisateur dispose uniquement du droit Comparer sur cet attribut, la requête est rejetée.
Les restrictions standard de login et de mot de passe s'appliquent toujours ; celles-ci sont cependant tributaires de l'endroit où s'exécute LDAP. Les restrictions de temps et d'adresse sont respectées, mais les restrictions d'adresse sont tributaires de l'endroit où le login à eDirectory a été effectué ; dans ce cas, il s'agit du serveur LDAP.
Une liaison anonyme est une liaison qui ne contient ni nom d'utilisateur ni mot de passe. Si un client LDAP sans nom ni mot de passe se lie aux services LDAP pour eDirectory et que le service n'est pas configuré pour utiliser un utilisateur proxy, l'utilisateur est authentifié auprès de eDirectory en tant qu'utilisateur [Public].
L'utilisateur [Public] est un utilisateur eDirectory non authentifié. Par défaut, l'utilisateur [Public] dispose du droit Parcourir sur les objets de l'arborescence eDirectory. Le droit Parcourir accordé par défaut à l'utilisateur [Public] lui permet de parcourir des objets eDirectory mais verrouille l'accès aux attributs des objets.
En règle générale, les droits par défaut [Public] sont trop limités pour la plupart des clients LDAP. Bien que vous puissiez modifier les droits [Public], leur modification confère ces droits à tous les utilisateurs. C'est la raison pour laquelle il est recommandé d'utiliser plutôt une liaison anonyme d'utilisateur proxy. Pour plus d'informations, reportez-vous à Connexion en tant qu'utilisateur proxy.
Pour conférer à un utilisateur [Public] un accès aux attributs des objets, vous devez transformer l'utilisateur [Public] en ayant droit du ou des conteneurs concernés, puis lui assigner les droits appropriés sur les objets et les attributs.
Une liaison anonyme d'utilisateur proxy est une connexion anonyme liée à un nom d'utilisateur eDirectory. Si un client LDAP se lie anonymement aux services LDAP pour eDirectory et que le protocole est configuré pour utiliser un utilisateur proxy, l'utilisateur est authentifié auprès de eDirectory en tant qu'utilisateur proxy. Le nom est alors configuré à la fois dans les services LDAP pour eDirectory et dans le eDirectory.
En règle générale, la liaison anonyme se fait sur le port 389 dans les services LDAP. Vous pouvez cependant configurer manuellement d'autres ports lors de l'installation pour travailler sur différents noeuds, tels que Active Directory.
Les concepts-clés des liaisons anonymes d'utilisateur proxy sont les suivants :
Pour accorder à l'utilisateur proxy des droits sur les propriétés sélectionnées :
Cliquez avec le bouton droit de la souris sur le conteneur supérieur sur lequel l'utilisateur proxy dispose de droits, puis cliquez sur Ajouter les ayants droit de cet objet.
Sélectionnez Utilisateur proxy, puis cliquez sur OK.
Désélectionnez les droits suivants :
Cliquez sur Droits sélectionnés, puis sélectionnez tous les droits héritables de l'utilisateur proxy, tels que Arrêt du mail et Numéro de téléphone.
Pour mettre en oeuvre les liaisons anonymes d'utilisateur proxy, vous devez créer l'objet Utilisateur proxy dans le eDirectory et lui assigner les droits appropriés. Assignez à l'utilisateur proxy des droits Lire et Rechercher sur tous les objets et attributs de chaque sous-arborescence à laquelle l'accès est nécessaire. Vous devez également activer l'utilisateur proxy dans les services LDAP pour eDirectory en spécifiant le même nom d'utilisateur proxy.
Sous ConsoleOne, cliquez avec le bouton droit de la souris sur l'objet Groupe LDAP.
Cliquez sur Propriétés, puis sur l'onglet Général.
Entrez le nom d'un objet Utilisateur eDirectory dans le champ Utilisateur proxy.
Une liaison d'utilisateur eDirectory est une connexion établie par un client LDAP à l'aide d'un nom d'utilisateur eDirectory complet et d'un mot de passe. La liaison d'utilisateur eDirectory est authentifiée dans le eDirectory et le client LDAP a accès à toutes les informations auxquelles l'utilisateur eDirectory est autorisé à accéder.
Les concepts-clés des liaisons d'utilisateur eDirectory sont les suivants :
Par défaut, les requêtes de liaison d'un utilisateur eDirectory utilisant des mots de passe en texte clair (non codé) sont refusées. Un équipement de surveillance du réseau permet de capturer les mots de passe en texte clair et les noms d'utilisateur eDirectory entrés par des clients LDAP sur des connexions non-SSL. Toute personne qui capture un nom d'utilisateur eDirectory et le mot de passe correspondant dispose d'un accès immédiat à tous les objets eDirectory auxquels l'utilisateur correspondant à accès. C'est la raison pour laquelle les liaisons d'utilisateur eDirectory sont mieux protégées sur des serveurs LDAP configurés pour utiliser SSL.
Pour prendre en charge des liaisons d'utilisateur eDirectory lors de connexions non-SSL, vous devez définir les mots de passe en texte clair dans l'objet Groupe LDAP.
Sous ConsoleOne, cliquez avec le bouton droit de la souris sur l'objet Groupe LDAP.
Cliquez sur Propriétés, puis sur l'onglet Général.
Cliquez sur Autoriser les mots de passe en texte clair.
Pour assigner des droits eDirectory aux clients LDAP :
Déterminez le type de nom d'utilisateur que les clients LDAP vont utiliser pour accéder à eDirectory.
Pour plus d'informations, reportez-vous à Connexion à eDirectory avec LDAP.
Si les utilisateurs utilisent un nom d'utilisateur proxy ou plusieurs noms d'utilisateur eDirectory pour accéder aux services LDAP, utilisez ConsoleOne pour créer ces noms d'utilisateur dans le eDirectory ou via les services LDAP.
Assignez les droits eDirectory correspondants aux noms utilisateur que les clients LDAP vont utiliser.
Les droits par défaut qui sont accordés à la plupart des utilisateurs constituent des droits limités pour l'objet appartenant à l'utilisateur. Pour accorder l'accès à d'autres objets et à leurs attributs, vous devez changer les droits assignés sous le eDirectory.
Lorsqu'un client LDAP demande l'accès à un objet et un attribut eDirectory, le eDirectory accepte ou refuse cette demande d'après l'identité eDirectory du client LDAP. Cette identité est définie à l'établissement de la liaison.
Une classe correspond à un type d'objet dans un Annuaire, tel qu'un utilisateur, un serveur ou un groupe. Un attribut correspond à un élément d'annuaire qui définit des informations supplémentaires portant sur un objet spécifique. Par exemple, un attribut de l'objet Utilisateur peut être le prénom d'un utilisateur ou son numéro de téléphone. Sous ConsoleOne, les classes sont appelées types ou classes d'objet et les attributs sont appelés propriétés.
Un schéma est un ensemble de règles qui définit les classes et les attributs permis dans un répertoire, ainsi que la structure du répertoire (des relations peuvent prévaloir entre les classes). Étant donné que les schémas du répertoire LDAP et du répertoire eDirectory sont parfois différents, l'assignation de classes et d'attributs LDAP aux objets et aux attributs eDirectory correspondants peut s'avérer nécessaire. Ces assignations définissent la conversion des noms du schéma LDAP au schéma eDirectory.
Les services LDAP pour eDirectory proposent des assignations par défaut. Dans de nombreux cas, la correspondance entre classes et attributs LDAP et types et propriétés d'objets eDirectory est logique et intuitive. Toutefois, en fonction de vos besoins de mise en oeuvre, vous désirerez peut-être reconfigurer l'assignation des classes et attributs.
Dans la plupart des cas, l'assignation d'une classe LDAP à un type d'objet eDirectory correspond à une relation de type un à un. Cependant, le schéma LDAP prend en charge les noms d'alias, tels que CN, et les noms communs faisant référence à un même attribut.
La configuration par défaut des services LDAP pour eDirectory comprend un ensemble prédéfini d'assignations de classes et d'attributs. Celles-ci assignent un sous-ensemble d'attributs LDAP à un sous-ensemble d'attributs eDirectory. Si un attribut n'est pas encore assigné dans la configuration par défaut, une assignation auto-générée est assignée à l'attribut. De même, si le nom de schéma est un nom LDAP valide ne comportant ni espace ni deux points, aucune assignation n'est nécessaire. Passez en revue l'assignation de classe et d'attribut et reconfigurez-la au besoin.
Sous ConsoleOne, cliquez avec le bouton droit de la souris sur l'objet Groupe LDAP.
Cliquez sur l'onglet Assignation d'attribut.
Ajoutez, supprimez ou modifiez les attributs de votre choix.
Étant donné que certains attributs LDAP peuvent disposer de noms de remplacement (comme NC pour nom commun), vous devrez peut-être assigner plusieurs attributs LDAP à un nom d'attribut eDirectory correspondant. Lorsque les services LDAP pour eDirectory produisent les informations sur les attributs LDAP, ils renvoient la valeur du premier attribut correspondant repéré dans la liste.
Si vous assignez plusieurs attributs LDAP à un seul attribut eDirectory, vous devez réorganiser la liste afin de préciser l'attribut prioritaire, car l'ordre est important.
Lorsqu'un client LDAP demande les informations sur les classes LDAP du serveur LDAP, le serveur renvoie les informations sur les classes eDirectory correspondantes. La configuration par défaut des services LDAP pour eDirectory comprend un ensemble prédéfini d'assignations de classes et d'attributs.
Sous ConsoleOne, cliquez avec le bouton droit de la souris sur l'objet Groupe LDAP.
Cliquez sur l'onglet Assignation de classe.
Ajoutez, supprimez ou modifiez les classes de votre choix.
Les services LDAP pour eDirectory sont préconfigurés pour assigner un sous-ensemble de classes et d'attributs LDAP à un sous-ensemble de classes et d'attributs eDirectory.
La configuration par défaut des services LDAP pour eDirectory comprend un ensemble prédéfini d'assignations de classes et d'attributs. Ces assignations assignent un sous-ensemble de classes et d'attributs LDAP à un sous-ensemble de classes et d'attributs eDirectory. Si un attribut ou une classe n'est pas encore assigné dans la configuration par défaut, une assignation auto-générée est assignée à l'attribut ou à la classe. De même, si le nom de schéma est un nom LDAP valide ne comportant ni espace ni deux points, aucune assignation n'est nécessaire. Passez en revue l'assignation de classe et d'attribut et reconfigurez-la au besoin.
Étant donné que les schémas du répertoire LDAP et du répertoire eDirectory sont différents, l'assignation de classes et d'attributs LDAP aux objets et aux attributs eDirectory correspondants s'avère nécessaire. Ces assignations définissent la conversion des noms du schéma LDAP au schéma eDirectory.
Aucune assignation de schéma LDAP n'est requise pour une entrée de schéma si le nom est un nom de schéma LDAP valide. Dans LDAP, les seuls caractères autorisés dans un nom de schéma sont les caractères alphanumériques et les tirets (-). Le nom de schéma LDAP ne doit pas comporter d'espace.
Pour garantir le résultat d'une recherche par ID d'objet après une extension de schéma autre que LDAP, comme pour les fichiers .SCH, vous devez rafraîchir la configuration du serveur LDAP si le schéma s'étend en dehors de LDAP.
Sous ConsoleOne, cliquez avec le bouton droit de la souris sur l'objet Serveur LDAP.
Cliquez sur Propriétés.
Dans l'onglet Général, cliquez sur Rafraîchir le serveur LDAP maintenant.
Pour prendre en charge LDAP depuis le eDirectory, les services LDAP se servent d'assignations au niveau du protocole (plutôt qu'au niveau des services de répertoires) pour effectuer la conversion entre les attributs et les classes LDAP et eDirectory. C'est pourquoi deux classes ou attributs LDAP peuvent être assignés à la même classe ou au même attribut eDirectory.
Si vous créez par exemple un Cn via LDAP, puis recherchez attributeclass=CommonName, vous pouvez obtenir un Cn.
Si vous demandez tous les attributs, vous obtenez le premier attribut de la liste des assignations correspondant à cette classe. Si vous demandez un attribut d'après son nom, vous obtenez le nom correct.
Tableau 102 affiche les assignations de plusieurs classes à une seule. Tableau 103 affiche les assignations de plusieurs attributs à un seul.
Tableau 102. Assignations de plusieurs classes LDAP à une seule
| Nom de classe LDAP | Nom de classe eDirectory |
|---|---|
MailGroup rfc822mailGroup |
NSCP:mailGroup1 |
GroupOfNames GroupOfUniqueNames Groupe |
Groupe |
Tableau 103. Assignations de plusieurs attributs LDAP à un seul
Le eDirectory comporte un commutateur du mode de compatibilité autorisant une sortie de schéma non standard pour que des clients ADSI et d'anciens clients Netscape puissent le lire. Pour le mettre en oeuvre, il convient de définir un attribut dans l'objet Serveur LDAP. Le nom de l'attribut concerné est nonStdClientSchemaCompatMode. L'objet Serveur LDAP est généralement créé dans le même conteneur que l'objet Serveur.
La sortie non standard n'est pas conforme aux normes IETF actuelles de LDAP, mais elle fonctionne avec la version actuelle des clients ADSI et les anciens clients Netscape.
Dans un format de sortie non standard :
Pour activer une sortie de schéma non standard :
Sous ConsoleOne, cliquez avec le bouton droit de la souris sur l'objet Serveur LDAP.
Cliquez sur Propriétés, puis sur l'onglet Général.
Cliquez sur Activer le mode compatible du schéma client non standard > Rafraîchir le serveur NLDAP maintenant.
Cliquez sur Appliquer > OK.
Vous pouvez aussi ajouter et définir cet attribut en utilisant des appels LDAP Modifier. Si vous utilisez les services LDAP, vous devez rafraîchir votre serveur LDAP. Pour plus d'informations, reportez-vous à Rafraîchissement du serveur LDAP.
Les fichiers de schéma LDAP spécialisés suivants sont disponibles sur le site de téléchargement de Novell:
Le schéma LDAP par défaut assigne la classe d'objet inetOrgPerson à la classe Utilisateur eDirectory. Étant donné qu'il s'agit d'une assignation directe et non d'une extension du schéma, les attributs de l'utilisateur sont appliqués à inetOrgPerson.
Le site de téléchargement eDirectory de Novell offre le fichier NOV_INET.ZIP. Ce fichier contient séparément un fichier d'extension de schéma (NOV_INET.SCH) et des instructions (NOV_INET.TXT) qui servent à modifier la classe Utilisateur eDirectory pour fournir tous les attributs conformes à la définition de la norme RFC 2798 d'informations. L'ajout de cette extension de schéma révèle une classe d'objet pour laquelle tous les attributs RFC et Netscape sont spécifiés par l'IETF.
Le fichier de schéma par défaut fourni avec cette version n'offre pas de définition de classe d'objet pour residentialPerson. Le site de téléchargement eDirectory offre le fichier RPERSON.ZIP. Ce fichier contient le fichier d'extension de schéma (RPERSON.SCH) et un fichier d'instructions (RPERSON.TXT). Si vous prévoyez d'utiliser cette classe d'objet, nous vous recommandons d'étendre le schéma plutôt que d'assigner simplement residentialPerson à la classe Utilisateur eDirectory.
Le fichier de schéma par défaut fourni avec cette version ne donne pas de définition de classe d'objet pour newPilotPerson. Le site de téléchargement eDirectory offre le fichier NPERSON.ZIP. Ce fichier contient le fichier d'extension de schéma (NPERSON.SCH) et un fichier d'instructions (NPERSON.TXT). Si vous prévoyez d'utiliser cette classe d'objet, étendez le schéma au lieu d'assigner simplement newPilotPerson à l'utilisateur dans le eDirectory.
Si vous tentez d'étendre le schéma pour inclure un attribut " photo ", celui-ci peut être en conflit avec une définition précédente de cette classe. L'attribut " photo " peut se trouver dans le fichier INETORGPERSON.ZIP ou dans le fichier d'extension de schéma NOV_INET.ZIP décrit précédemment. L'attribut " photo " peut être défini en tant que SYN_STREAM (uniquement à valeur unique dans le eDirectory) ou en tant que SYN_OCTET_STRING (valeur multiple possible). RFC 1274 appelle une photo à valeurs multiples d'une longueur de chaîne maximale de 250 000 octets. Le eDirectory permet un maximum de 63 000 octets dans SYN_OCTET_STRING. Vous devez choisir les restrictions de photo qui vous conviennent le mieux. Le fichier d'extension de schéma pour inetOrgPerson contient une définition de l'attribut " ldapPhoto " de type valeur multiple et fondée sur SYN_OCTET_STRING.
Copiez le fichier .SCH vers le répertoire SYS:SYSTEM\SCHEMA.
Exécutez NWCONFIG.NLM depuis la console du serveur.
Sélectionnez Annuaire > Étendre le schéma.
Loguez-vous en utilisant votre nom d'administrateur et votre mot de passe.
Appuyez sur F3 pour indiquer un autre chemin d'accès.
Entrez SYS:SYSTEM\SCHEMA\ et le nom du fichier .SCH.
Sous ConsoleOne, cliquez avec le bouton droit de la souris sur l'objet Serveur LDAP.
Cliquez sur Propriétés > Rafraîchir le serveur LDAP maintenant.
Chargez INSTALL.DLM.
Sélectionnez Installer d'autres fichiers de schéma.
Loguez-vous en utilisant votre nom d'administrateur et votre mot de passe, puis sélectionnez un fichier de schéma.
Le eDirectory propose également un support d'extension de schéma LDAP LDIF. Pour plus d'informations, reportez-vous à Utilisation de LDIF pour étendre le schéma.
Vous pouvez utiliser l'utilitaire ndssch pour appliquer un schéma sur des systèmes Linux ou Solaris. Pour plus d'informations, reportez-vous à Utilisation de l'utilitaire ndssch pour étendre le schéma sous Linux ou Solaris.
Les services LDAP et le eDirectory n'utilisent pas la même syntaxe. Les principales différences sont les suivantes :
LDAP utilise des virgules comme séparateur et non des points. Exemple de nom distinctif (ou complet) dans le eDirectory :
Selon la syntaxe LDAP, le même nom distinctif serait le suivant :
Voici d'autres exemples de noms distinctifs LDAP :
Le eDirectory utilise aussi bien les noms sans type (.JEAN.MARKETING.ABCSA) que les noms avec type (CN=JEAN.OU=MARKETING.O=ABCSA). LDAP utilise uniquement les noms avec type, le séparateur étant une virgule (CN=JEAN,OU=MARKETING,O=ABCSA).
La barre oblique inverse (\) est utilisée comme caractère d'échappement dans les noms distinctifs LDAP. Si vous utilisez le signe plus (+) ou la virgule (,), vous pouvez utiliser une barre oblique inverse pour changer de code. Voici quelques exemples :
CN=Pralines\+Crème,OU=Saveurs,O=MFG (CN est Pralines+Crème)
CN=D. Cardinal,O=Lionel\,Turner et Kaye,C=États-Unis (O est Lionel, Turner et Kaye)
Pour plus d'informations, reportez-vous à la norme RFC 232 d'IETF (Internet Engineering Task Force).
Vous pouvez définir des objets en utilisant dans le schéma plusieurs attributs de dénomination. Dans les services LDAP comme dans le eDirectory, l'objet Utilisateur en a deux : CN et OU. Le signe plus (+) sépare les attributs de dénomination dans le nom distinctif. Si les attributs ne sont pas explicitement libellés, le schéma détermine la chaîne associée à chaque attribut (la première serait CN et la seconde OU pour le eDirectory et pour les services LDAP). Vous pouvez les réorganiser en un nom distinctif en libellant manuellement chaque portion.
Par exemple, voici deux noms distinctifs relatifs :
Brun (CN est Brun CN=Brun )
Brun+Lisa (CN est Brun OU est Lisa CN=Brun OU=Lisa)
Les deux noms distinctifs relatifs (Brun et Brun+Lisa) peuvent exister dans le même contexte étant donné qu'ils doivent être référencés par deux noms distinctifs relatifs très différents.
Le protocole LDAP 3 permet aux clients et aux serveurs LDAP d'utiliser des contrôles et des extensions pour étendre une opération LDAP. Les contrôles et les extensions vous permettent d'indiquer des informations supplémentaires comme partie d'une requête ou d'une réponse. Chaque opération étendue est identifiée par un OID. Les clients LDAP peuvent envoyer des requêtes d'opération étendue en indiquant l'OID de l'opération étendue qui doit être effectuée, ainsi que les données qui lui sont propres. Lorsque le serveur LDAP reçoit la requête, il effectue l'opération étendue et envoie une réponse contenant un OID et des données supplémentaires au client.
Par exemple, un client peut inclure un contrôle qui indique un tri avec la requête de recherche qu'il envoie à ce serveur. Lorsque le serveur reçoit la requête de recherche, il trie les résultats de la recherche avant de les renvoyer au client. Les serveurs peuvent également envoyer des contrôles aux clients. Par exemple, un serveur peut envoyer un contrôle avec la requête d'authentification qui informe le client de l'expiration du mot de passe.
Par défaut, le serveur LDAP eDirectory charge toutes les extensions système, ainsi que les extensions et les contrôles facultatifs sélectionnés lors du démarrage du serveur LDAP. L'attribut extensionInfo des extensions facultatives de l'objet Serveur LDAP permet à l'administrateur du système de sélectionner ou de désélectionner les extensions et les contrôles facultatifs.
Pour activer les opérations étendues, le protocole LDAP 3 requiert que les serveurs fournissent la liste des contrôles et des extensions pris en charge dans les attributs supportedControl et supportedExtension de l'entrée DSE racine. L'entrée DSE racine (entrée propre au DSA [Agent du système Annuaire]) est une entrée située à la racine de l'arborescence qui contient les informations de l'Annuaire (DIT).
Tableau 104 liste les extensions LDAP prises en charge :
Tableau 104. Extensions LDAP prises en charge
Tableau 105 liste les contrôles LDAP pris en charge :
Tableau 105. Contrôles LDAP pris en charge