OpenDirectory
Couplage LDAP
français | english
Navigation
Home
Sitemap
This wiki
This page

Couplage LDAP du serveur Cyclope

Pour l'authentification des clients, le serveur Cyclope (actuellement Mac OS 10.6.6) est couplé comme suit à l'annuaire LDAP de l'EPFL.

Configuration name Server name Search base Search policy
P ldap-p.epfl.ch ou=p,o=epfl,c=ch /LDAPv3/ldap-p.epfl.ch
AA ldap-aa.epfl.ch ou=aa,o=epfl,c=ch /LDAPv3/ldap-aa.epfl.ch
IV ldap-iv.epfl.ch ou=iv,o=epfl,c=ch /LDAPv3/ldap-iv.epfl.ch
AI ldap-ai.epfl.ch ou=ai,o=epfl,c=ch /LDAPv3/ldap-ai.epfl.ch
PL ldap-pl.epfl.ch ou=pl,o=epfl,c=ch /LDAPv3/ldap-pl.epfl.ch
SB ldap-sb.epfl.ch ou=sb,o=epfl,c=ch /LDAPv3/ldap-sb.epfl.ch
STI ldap-sti.epfl.ch ou=sti,o=epfl,c=ch /LDAPv3/ldap-sti.epfl.ch
ENAC ldap-enac.epfl.ch ou=enac,o=epfl,c=ch /LDAPv3/ldap-enac.epfl.ch
IC ldap-ic.epfl.ch ou=ic,o=epfl,c=ch /LDAPv3/ldap-ic.epfl.ch
SV ldap-sv.epfl.ch ou=sv,o=epfl,c=ch /LDAPv3/ldap-sv.epfl.ch
CDM ldap-cdm.epfl.ch ou=cdm,o=epfl,c=ch /LDAPv3/ldap-cdm.epfl.ch
CDH ldap-cdh.epfl.ch ou=cdh,o=epfl,c=ch /LDAPv3/ldap-cdh.epfl.ch


Avec un RecordName correspondant à uid et uniqueIdentifier et le fichier /etc/hosts complété (facultatif) comme suit:

128.178.222.15 ldap-p.epfl.ch ldap-p
128.178.222.15 ldap-aa.epfl.ch ldap-aa
128.178.222.15 ldap-iv.epfl.ch ldap-iv
128.178.222.15 ldap-ai.epfl.ch ldap-ai
128.178.222.15 ldap-pl.epfl.ch ldap-pl
128.178.222.15 ldap-sb.epfl.ch ldap-sb
128.178.222.15 ldap-sti.epfl.ch ldap-sti
128.178.222.15 ldap-enac.epfl.ch ldap-enac
128.178.222.15 ldap-ic.epfl.ch ldap-ic
128.178.222.15 ldap-sv.epfl.ch ldap-sv
128.178.222.15 ldap-cdm.epfl.ch ldap-cdm
128.178.222.15 ldap-cdh.epfl.ch ldap-cdh

Remarque:

Ces 12 alias étaient enregistrés dans le DNS de l'EPFL depuis octobre 2009, il n'est donc plus nécessaire d'enrichir le fichier /etc/hosts mais ont étés définitivement supprimés le 20 aout 2014, faisant suite au démantèlement du serveur afp://cyclope.


Afin d'aussi accepter l'identification par le numéro Camipro, le chablon Search & Mappings RFC 2307 est modifié comme suit:

Users RecordName uid
uniqueIdentifier

Il peut être mémorisé (par exemple) dans le fichier uniqueIdentifier.plist: 

~/Library/Application Support/Directory Access/LDAPv3/Templates/uniqueIdentifier.plist


Attention:

Pour fonctionner avec le serveur LDAP de l'EPFL, il faut modifier le fichier /etc/openldap/ldap.conf en spécifiant TLS_REQCERT never comme suit, mais malheureusement, avec cette modification never, plus aucun service ne vérifiera le certificat d'authenticité du serveur ! 

$ more /etc/openldap/ldap.conf
#
# LDAP Defaults
#

# See ldap.conf(5) for details
# This file should be world readable but not world writable.

#BASE   dc=example, dc=com
#URI    ldap://ldap.example.com ldap://ldap-master.example.com:666

#SIZELIMIT      12
#TIMELIMIT      15
#DEREF          request
TLS_REQCERT     never
TLS_CACERTDIR   /etc/openldap/Certs

 

La seule solution valable consiste à charger le certificat de sécurité QuoVadis Root CA EPFL !

Search
Share