Prérequis
L'annuaire LDAP doit être en ligne et joignable !
Le fichier de propriétés
################################################################################ ## Configuration LDAP ## ################################################################################ environment.build.ldap.url=ldaps://ldap1.univ.fr:636 ldaps://ldap2.univ.fr:636 environment.build.ldap.baseDn=dc=univ,dc=fr environment.build.ldap.userName= environment.build.ldap.password= environment.build.ldap.pooled=false environment.build.ldap.uidAttr=uid
Voici à quoi correspondent les différentes propriétés :
Propriété | Définition |
---|---|
environment.build.ldap.url | URLs des LDAP (principal et répliquas) séparées par des espaces |
environment.build.ldap.baseDn | Nœud principal de la recherche. L'annuaire étant compatible supAnn, cette propriété devrait être valuée à "dc=univ,dc=fr" |
environment.build.ldap.userName | Nom de l'utilisateur se connectant au LDAP pour faire des requêtes |
environment.build.ldap.password | Mot de passe de l'utilisateur se connectant au LDAP pour faire des requêtes |
environment.build.ldap.pooled | TODO : regarder à quoi ça sert. |
environment.build.ldap.uidAttr | Nom de l'attribut utilisé pour identifier l'entrée (utilisateur) de l'annuaire. Lors de la requête pour la recherche d'un utilisateur, c'est ce champ qui sera utilisé pour le discriminer. |
Exemples d'attributs
Voici des exemples d'ensembles d'attributs en lien avec les recommandations supAnn
TODO : en trouver ...
Avec des certificats (LDAPS)
Prérequis
L'annuaire en ligne doit gérer les connexions sécurisées
En plus de la configuration dans le fichier de propriétés, il faut réaliser les actions suivantes :
Récupérer le certificat à l'aide de la commande openssl :
openssl s_client -connect <IP_LDAPS>:<PORT_LDAPS>
Dans cette commande, <IP_LDAPS> et <PORT_LDAPS> sont idéalement les mêmes que ceux du fichier de propriétés.
Le résultat de cette commande affiche une section ressemblant à cela :-----BEGIN CERTIFICATE----- MIIBeDCCASICBgE8bQdqBDANBgkqhkiG9w0BAQUFADBCMQswCQYDVQQGEwJVUzEM MAoGA1UEChMDQVNGMRIwEAYDVQQLEwlEaXJlY3RvcnkxETAPBgNVBAMTCEFwYWNo ZURTMB4XDTEzMDEyNDE0NDc0N1oXDTE0MDEyNDE0NDc0N1owRzELMAkGA1UEBhMC VVMxDDAKBgNVBAoTA0FTRjESMBAGA1UECxMJRGlyZWN0b3J5MRYwFAYDVQQDEw1G Ui1DWkMyMDM2UDBRMFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAIGEZUq5G4utdzeR 8yEq2fef8pMDUL6YDiYrtG+jsjb3iX6B8tueDGBRyeb5XAEq3Ag3uhhoBNVi/F1/ ba0GWMMCAwEAATANBgkqhkiG9w0BAQUFAANBAEv7sKnVbmbt2Jd1BDzZqSoTUnIJ KgFM3/k+HMcSgH9UP7wPYlXVUx2jino9nFpRoLkxxGw9t5Ul+lElbGlpYEs= -----END CERTIFICATE-----
Il faut copier / coller cette section ("BEGIN / END CERTIFICATE" compris) dans une fichier que l'on nommera ldap.pem, par exemple.Importer ce certificat dans le magasin de la JVM :
keytool -import -trustcacerts -alias ldap -file [full_path_to_the.pem] -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit
Si elle s'affiche, répondre "oui" à la question de confiance.
Et pour les répliquas...
La même manipulation est à effectuer pour chacun des répliquas de l'annuaire LDAP.