Introduction
Cet article décrit la compilation sous Solaris des librairies clientes LDAP (Lightweight Directory Access Protocol) avec OpenLDAP 2.3.43 (site officiel : http://www.openldap.org/). Les librairies clientes LDAP d’OpenLDAP 2 permettent de compiler Apache 2.0 avec les modules LDAP pour l’authentification.
Outre les librairies clientes LDAP, la compilation d’OpenLDAP fournit également des binaires
particulièrement utiles pour interroger/modifier les annuaires LDAP depuis une machine Solaris,
comme par exemple le binaire ldapsearch dédié à l’interrogation des annuaires LDAP.
La suite OpenLDAP est un projet OpenSource qui inclut plusieurs composants :
slapd: serveur LDAP "standalone".slurpd: démon de réplication qui permet de répliquer au fil de l’eau d’un annuaire LDAP vers un autre annuaire LDAP.- librairies incluant le protocole LDAP, les utilitaires, les outils et les exemples clients.
Dans le contexte de cet article, l’objectif n’est pas de monter
un serveur LDAP (slapd) et/ou une réplication (slurpd) avec OpenLDAP,
ni de décrire le fonctionnement et l’architecture d’un annuaire LDAP,
mais de mettre à disposition un client LDAP sur une machine Solaris
pour interroger un annuaire AD Microsoft (Microsoft Active Directory).
Seul le troisième composant de la suite OpenLDAP est donc construit sur la machine Solaris (librairies, utilitaires et outils).
Tous les pré-requis de compilation sont supposés disponibles sur la machine Solaris :
root% gcc -vReading specs from /usr/local/lib/gcc/sparc-sun-solaris2.9/3.4.2/specs Configured with: ../configure --with-as=/usr/ccs/bin/as --with-ld=/usr/ccs/bin/ld --disable-nls Thread model: posix gcc version 3.4.2
Compilation
Préparation de la compilation
Les sources sont récupérées depuis le site www.openldap.org sous
la forme d’une archive compressée tgz (openldap-2.3.43.tgz) et installées dans
le répertoire /export/home/compilation/openldap en tant que root.
L’archive est décompressée :
root% cd /export/home/compilation/openldap
root% gunzip openldap-2.3.43.tgzPuis les fichiers sont extraits de l’archive openldap-2.3.35.tar avec la commande tar :
root% tar xvf openldap-2.3.43.tarLes fichiers sources sont extraits par la commande tar dans le
répertoire /export/home/compilation/openldap/openldap-2.3.43.
Commande configure
Pour obtenir plus d’aide sur la configuration de la compilation d’OpenLDAP,
la commande ./configure --help en se positionnant dans le répertoire des
sources (/export/home/compilation/openldap/openldap-2.3.43) donne toutes les options de la compilation.
root% cd openldap-2.3.43root% ./configure --helpDans les options de la compilation, la partie serveur est occultée (slapd),
seules les librairies clientes sont à compiler, c’est pourquoi l’option --enable-slapd=no
est donnée à la configuration. Il en est de même pour le démon de réplication LDAP slurpd,
l’option est désactivée avec l’option --enable-slurpd=no.
L’installation des librairies clientes est réalisée dans le répertoire /Software/openldap,
l’option --prefix=/Software/openldap est donc donnée à la commande configure.
La commande configure finale est donc la suivante :
root% ./configure --prefix=/Software/openldap --enable-slapd=no --enable-slurpd=noLe binaire ar est indispensable pour la compilation d’OpenLDAP.
Le binaire ar compile les librairies .a nécessaires et sans précautions,
la compilation est en échec car le binaire ar n’est pas installé dans des répertoires standards comme /usr/local/bin, etc.,
il est installé dans le répertoire /usr/ccs/bin.
La commande configure vérifie la disponibilité du binaire ar, et si ce n’est pas le cas,
le message d’erreur ci-dessous est donné lors du lancement de la commande configure :
configure: error: Unable to locate ar(1) or suitable replacement. Check PATH or set AR.Après vérification de la présence du binaire ar dans le répertoire /usr/ccs/bin,
il faut modifier la variable d’environnement PATH ou AR
afin de référencer le répertoire /usr/ccs/bin pour l’utilisateur root qui réalise la
compilation : dans le contexte de cet article, c’est la variable PATH qui est modifiée en passant en
K-Shell. Par précaution également, pour retrouver les packages nécessaires lors de la compilation,
les répertoires /usr/local/bin et /usr/local/lib sont respectivement référencés
dans les variables PATH et LD_LIBRARY_PATH :
root% ksh
root% export PATH=/usr/ccs/bin:/usr/local/bin:$PATH
root% export LD_LIBRARY_PATH=/usr/local/lib:$LD_LIBRARY_PATHLa commande configure donne alors quelques avertissements durant
son exécution, avertissements qui sont purement liés aux options : à titre d’exemple les
options --enable-bdb (bases Berkeley) et --enable-hdb (bases HDB) sont par défaut ignorées
car le démon slapd est désactivé or slapd écrit les informations du serveur OpenLDAP
dans des bases Berkeley DB (bdb) ou des bases HDB.
D’autres avertissements concernent les méthodes de cryptographie (Cyrus SASL, TLS/SSL) qui sont désactivées si l’OS ne dispose pas des librairies correspondantes.
root% ./configure --prefix=/Software/openldap --enable-slapd=no --enable-slurpd=noConfiguring OpenLDAP 2.3.43-Release ... checking build system type... sparc-sun-solaris2.9 ... checking configure arguments... configure: WARNING: slapd disabled, ignoring --enable-bdb argument configure: WARNING: slapd disabled, ignoring --enable-hdb argument configure: WARNING: slapd disabled, ignoring --enable-monitor argument configure: WARNING: slapd disabled, ignoring --enable-relay argument configure: WARNING: slapd disabled, ignoring --enable-syncprov argument ... configure: WARNING: Could not locate TLS/SSL package configure: WARNING: TLS data protection not supported! ... configure: WARNING: Could not locate Cyrus SASL configure: WARNING: SASL authentication not supported! configure: WARNING: Strong authentication not supported! ...
Commande make et make install
Les commandes make et make install sont ensuite successivement lancées
pour compiler et installer dans le répertoire de destination /Software/openldap.
root% make
root% make installLa commande make install montre que les binaires installés dans /Software/openldap/bin
sont par défaut exécutables par tout utilisateur (chmod 755):
../../build/shtool install -c -m 755 -s ldapsearch /Software/openldap/bin/ldapsearch
../../build/shtool install -c -m 755 -s ldapmodify /Software/openldap/bin/ldapmodify
../../build/shtool install -c -m 755 -s ldapdelete /Software/openldap/bin/ldapdelete
../../build/shtool install -c -m 755 -s ldapmodrdn /Software/openldap/bin/ldapmodrdn
../../build/shtool install -c -m 755 -s ldappasswd /Software/openldap/bin/ldappasswd
../../build/shtool install -c -m 755 -s ldapwhoami /Software/openldap/bin/ldapwhoami
../../build/shtool install -c -m 755 -s ldapcompare /Software/openldap/bin/ldapcompareLes binaires du client OpenLDAP (ldapsearch)
Les librairies clientes OpenLDAP peuvent dès lors être utilisées après avoir référencé /Software/openldap/bin
dans la variable PATH et /Software/openldap/lib dans la variables LD_LIBRARY_PATH :
root% ksh
root% export PATH=/Software/openldap/bin:$PATH
root% export LD_LIBRARY_PATH=/Software/openldap:$LD_LIBRARY_PATHPlusieurs binaires sont installés dans le répertoire /Software/openldap/bin,
notamment des binaires d’administration (ldapmodify pour modifier des entrées LDAP, ldapdelete
pour supprimer des entrées LDAP, etc.).
Dans le contexte de cet article, le client OpenLDAP est installé pour Apache 2.0 et à des fins
de consultation avec le binaire ldapsearch.
Voici un exemple d’appel de la commande ldapsearch pour retrouver un compte AD dans MS Active Directory :
root% ldapsearch -h SRVDCTFR1 -p 3268 -D "mycompany\smithj"
-b "DC=mycompany,DC=intranet" -w<mot_de_passe> "sAMAccountName=doej"
-hspécifie le nom du serveur LDAP (SRVDCTFR1)-pspécifie le port du serveur LDAP (3268)-Dest le compte AD autorisé en lecture dans l’annuaire LDAP (mycompany\smithj)-west le mot de passe du compte AD autorisé en lecture dans l’annuaire LDAP-best la racine de l’arborescence AD à scruter- le dernier paramètre est le filtre de recherche, dans l’exemple on
recherche l’entrée LDAP pour le compte doej via l’attribut
sAMAccountName
L’option -b est très importante, elle permet de déterminer à quelle profondeur chercher dans un annuaire LDAP. Il se peut que plusieurs entrées soient retournées pour un même compte.
A titre d’exemple, il suffit d’imaginer que le compte doej existe dans deux OU (Organization unit)
différentes (US et FR) à la racine DC=mycompany, DC=intranet, dans ce cas de figure
deux entrées sont retournées par le binaire ldapsearch :
...
CN=DOE John,OU=Data Messaging,OU=Core Services,OU=IT,OU=IM,OU=SUPPORT,OU=Users,OU=PAR,OU=FR,DC=mycompany,DC=intranet
...
CN=DOE John,OU=Admin Users,OU=Security,DC=us,DC=mycompany,DC=intranetPour lever ce type d’ambiguïté qui peut poser des problèmes avec Apache pour l’authentification,
l’option -b peut être étendue en ajoutant des critères sur les OU et les DC d’un annuaire LDAP,
la commande ci-dessous ne retourne bien qu’une seule entrée :
root% ldapsearch -h SRVDCTFR1 -p 3268 -D "mycompany\smithj"
-b"OU=FR,DC=mycompany,DC=intranet" -w<mot_de_passe> "sAMAccountName=doej"
L’authentification Apache avec LDAP est en échec lorsque plusieurs entrées sur un
filtre sont trouvées dans l’annuaire LDAP avec le message d’erreur "search found tow or more matches",
c’est pourquoi l’arborescence LDAP doit être bien réfléchie ainsi que le filtre -b à appliquer lors
des appels des librairies clientes LDAP :
[Tue May 22 19:48:56 2007] [warn] [client 10.128.148.144] [22471]
auth_ldap authenticate: user doej authentication failed;
URI / [User is not unique (search found two or more matches)][No such object].