Comment installer le serveur LDAP sur Windows et travailler avec Omada Router pour obtenir une administration de compte unifiée

Knowledgebase
Configuration Guide
VPN
Standalone
02-02-2023
103

Cet article s'applique à : ER605 v2 ; Contrôleur Omada v5.8 et supérieur

 

1. Présentation de LDAP

 

LDAP (Lightweight Directory Access Protocol) est un protocole léger d'accès aux répertoires doté de solides mécanismes d'authentification des utilisateurs et de gestion des autorisations. Il permet l'utilisation de listes de contrôle d'accès (ACL) pour contrôler les autorisations de lecture ou d'écriture de données dans une certaine étendue. Les ACL peuvent contrôler quels utilisateurs sont autorisés à accéder aux données, quelles données sont consultées, où les données sont consultées, comment elles sont consultées, etc.

Le modèle de base de LDAP est basé sur une "entrée" (Entry), qui est une collection d'un ou plusieurs attributs avec un "nom distinctif" unique au monde (noté dn). Par analogie avec une base de données relationnelle, une entrée équivaut à un enregistrement dans la base de données, tandis qu'un dn équivaut à un mot-clé pour un enregistrement dans la base de données et un attribut équivaut à un champ dans la base de données. Dans LDAP, les données sont organisées dans une arborescence, comme illustré dans la figure suivante :

Chaque nœud du graphique est enregistré avec une entrée. Différents types de nœuds peuvent nécessiter l'enregistrement de données différentes et, dans LDAP, les données requises par différents nœuds (appelés attributs) sont contrôlées par le type de classe d'objet. Dans le même temps, chaque entrée a un dn, et comme le dn est unique, les données de nœud nécessaires peuvent être trouvées rapidement. dn est composé sous la forme d'une recherche pas à pas du nœud parent à partir du nom propre de l'entrée et se terminant par l'entrée racine. Comme indiqué ci-dessus, le dn du nœud inférieur du diagramme peut être exprimé par

DN : cn= Jane Smith, ou= personnes, dc=exemple, dc=org

 

Attributs communs

Nom d'attribut

Nom et prénom

La description

cc

Composant de domaine

La partie du nom de domaine, le format est le nom de domaine complet en plusieurs parties, comme le nom de domaine par example.org en dc = example , dc = org (un enregistrement appartient à l'emplacement)

ou

Unité d'organisation

Les unités organisationnelles, qui peuvent contenir divers autres objets (y compris d'autres unités organisationnelles), comme le " ou = personnes " (l'organisation à laquelle appartient un enregistrement)

CN

Nom commun

Fait généralement référence au nom d'un objet. S'il s'agit d'une personne, le nom complet doit être utilisé. Exemple : cn = Jane Smith

dn

Nom distingué

 

Nom d'identification unique, similaire au chemin absolu, chaque objet a un nom d'identification unique . Exemple : cn= Jane Smith, ou= personnes, dc=exemple, dc=org

uid

Identifiant d'utilisateur

Fait généralement référence au nom de connexion de l'utilisateur. Exemple : uid = Jane Smith

rdn

DN relatif

Nom d'identifiant relatif, similaire au chemin relatif. Exemple : cn= Jane Smith ou ou= personnes

sn

Nom de famille

Fait généralement référence au nom de famille d'une personne. Exemple : sn = Smith

 

2. Installation du serveur LDAP sous plateforme Windows

 

(1) Reportez-vous au lien suivant pour télécharger l'application OpenLDAP pour Windows :

https://www.maxcrc.de/en/download-en/

 

(2) Une fois le téléchargement terminé, double-cliquez sur le programme pour accéder à l'installation de l'application OpenLDAP et cliquez sur Oui pour passer à l'étape suivante.

 

(3) Cliquez sur Suivant dans le coin supérieur droit pour la prochaine installation, vérifiez la déclaration du certificat utilisateur et cliquez sur Suivant.

 

(4) Sélectionnez le chemin d'installation, il est recommandé de le modifier pour le reste du disque à l'exception du disque C, tel que D:/OpenLDAP, cliquez sur suivant ; Faire les paramètres de l'utilisateur, la valeur par défaut peut être.

 

(5) Définissez le nom du serveur LDAP, ici nous remplissons tplink et choisissons la valeur par défaut MBD pour le backend de la base de données.

 

(6) Définissez le mot de passe par défaut (secret), cliquez sur Suivant, puis sur Installer. Nous pouvons changer le mot de passe une fois l'installation terminée.

 

(7) L'installation est terminée lorsque l'écran illustré ci-dessous s'affiche, cliquez sur Fermer pour fermer l'écran d'installation.

 

(8) Ouvrez la commande CMD sur le PC, accédez au chemin d'installation d'OpenLDAP et modifiez le mot de passe administrateur :

D:

cd OpenLDAP

slappasswd –h {SSHA}

 

Après avoir entré le mot de passe modifié (ici, nous changeons le mot de passe en 123456), une chaîne de clé cryptée sera générée, copiez ces informations de clé.

Ouvrez le fichier slapd.conf dans le répertoire d'installation d'OpenLDAP(D:\OpenLDAP) en tant que bloc-notes et remplacez le contenu après rootpw par les informations de clé que vous venez de copier. Le changement de mot de passe est terminé.

 

(9) Allez dans le répertoire d'installation en ligne de commande CMD : D:/OpenLDAP/run , puis tapez run pour démarrer le serveur LDAP.

 

À la fin, il affichera slapd starting , ce qui signifie qu'il a démarré avec succès.

 

Enfin, dans Gestionnaire des tâches > Services, vérifiez si le processus d'arrière-plan du serveur LDAP OpenLDAP-slapd s'exécute correctement.

 

 

3. Configuration du serveur LDAP à l'aide du client LDAP

 

(1) LdapAdminv1830 peut configurer le serveur LDAP installé sur l'hôte local, comme effectuer des opérations d'ajout, de modification et de suppression d'utilisateur LDAP. Veuillez vous référer au lien suivant pour le téléchargement : Télécharger LdapAdminv1830

 

(2) Cliquez sur l'option de démarrage sous les connexions pour vous connecter et cliquez sur Nouvelle connexion .

 

(3) Configurer selon l'exemple suivant :

Nom de la connexion : ldap

Hôte : Adresse IP de l'hôte où se trouve le serveur LDAP

Port : 389 (Si vous choisissez le cryptage TLS/SSL, le port devient 636)

Version : 3

Base : dc=maxcrc,dc=com (Cliquez sur Fetch DNs pour récupérer automatiquement)

Nom d'utilisateur : cn=manager,dc=maxcrc,dc=com

Mot de passe : 123456 (Le mot de passe vient d'être changé à l'étape précédente)

Remarque : Base et nom d'utilisateur se trouvent dans le fichier slapd.conf , avec le suffixe correspondant à Base et rootdn correspondant au nom d'utilisateur. Ici, nous ne les modifions pas, utilisons simplement les valeurs par défaut.

 

Cliquez sur OK et double-cliquez sur la connexion nouvellement créée nommée ldap pour vous connecter au serveur LDAP qui doit être configuré.

 

(4) Sélectionnez le serveur LDAP connecté et cliquez sur modifier > nouveau > unité organisationnelle, ajoutez deux entrées OU=Personnes et OU=Groupe.

 

(5) Vérifiez l'entrée OU=personnes, cliquez sur modifier > nouveau > Utilisateur, ajoutez l'utilisateur uid=nom d'utilisateur1, configurez les informations de l'utilisateur selon la figure ci-dessous, les informations renseignées dans la figure sont obligatoires, le reste est facultatif.

 

(6) Vérifiez l'entrée d'utilisateur uid=username1 ajoutée et cliquez sur modifier > Définir le mot de passe pour définir le mot de passe de cet utilisateur.

 

(7) Répétez les étapes ci-dessus pour créer deux entrées utilisateur avec uid=username2, uid=username3 respectivement.

 

(8) Ajoutez la sous-entrée cn=team1 pour OU=Group. Sélectionnez l'entrée OU=Groupe et cliquez sur Modifier > Nouveau > Groupe ; Créez un nouveau groupe. Entrez le nom team1, cliquez sur ajouter sur la page et sélectionnez les membres du groupe username1 et username2 à ajouter. Cliquez ensuite sur OK.

 

4. Configuration des profils LDAP sur le routeur Omada

 

Accédez à Authentification > LDAP , cliquez sur Ajouter pour remplir le paramètre comme indiqué dans la figure ci-dessous.

  • Nom : ldp
  • Type de liaison : mode normal (le serveur LDAP Windows ne prend en charge que ce mode)
  • Adresse du serveur : 192.168.0.101 (l'adresse IP du serveur LDAP)
  • Port de destination : 389 (SSL/TLS n'est pas activé sur le serveur)
  • DN régulier : cn=manager,dc=maxcrc,dc=com (Informations sur le compte de l'administrateur, seul le mode régulier nécessite la saisie de ces informations)
  • Mot de passe régulier : 123456 (Mot de passe pour le compte administrateur)
  • Common Name Identifer : uid (Le nom générique du nom d'utilisateur saisi lors de l'authentification de l'utilisateur, généralement "uid")
  • Nom distinctif de base : ou=People,dc=maxcrc,dc=com (Le nom de base utilisé pour l'authentification de l'utilisateur peut être recherché en cliquant sur l'icône à droite de l'arborescence du répertoire ldap. Ici, nous choisissons ou=People, indiquant que les trois les informations utilisateur sous ou=People peuvent être authentifiées. Bien entendu, vous pouvez également sélectionner des utilisateurs spécifiques sous l'entrée ou=People. )

  • Nom distinctif du groupe : ou=Group,dc=maxcrc,dc=com (Ceci est un champ facultatif qui permet de filtrer les groupes d'utilisateurs. Ici, nous sélectionnons ou=Group, ce qui signifie que seuls les utilisateurs sous ou=Group peuvent être authentifiés, c'est-à-dire username1 et nom d'utilisateur2.)

À ce stade, la configuration liée à LDAP est terminée.

L'authentification PPTP/L2TP/OpenVPN et Web sur le routeur Omada peut être utilisée avec LDAP pour réaliser une gestion centralisée des informations de compte. Ensuite, nous présentons comment le VPN L2TP, OpenVPN et l'authentification Web peuvent être utilisés avec LDAP.

 

5. VPN L2TP avec utilisation et vérification LDAP

 

(1) Accédez à VPN> L2TP> Serveur L2TP , cliquez sur Ajouter pour remplir le paramètre comme indiqué dans la figure ci-dessous. N'oubliez pas de créer le pool d'IP VPN à l'avance. Lorsque le type d'authentification est LDAP, sélectionnez le profil LDAP que vous venez de créer. Cliquez sur OK pour terminer la configuration, inutile de créer des utilisateurs supplémentaires pour le VPN dans Utilisateurs.

 

(2) Utilisation du client pour la connexion VPN. Pour plus de détails, veuillez vous référer à ce lien : Comment configurer le client PPTP/L2TP sur un PC distant

Une chose à noter est que le mot de passe non crypté (PAP) doit être vérifié dans la carte réseau VPN créée pour garantir une connexion correcte. En effet, LDAP utilise également le protocole PPP, ce qui peut entraîner la non-authentification des informations utilisateur si elles sont chiffrées.

 

(3) Nous pouvons utiliser les comptes usename1 et username2 configurés sur le serveur LDAP pour l'authentification de connexion VPN, et après une connexion réussie, nous pouvons voir les informations client correspondantes dans VPN > L2TP > Tunnel List .

 

6. OpenVPN avec utilisation et vérification LDAP

 

(1) Accédez à VPN > OpenVPN > OpenVPN Server , cliquez sur Ajouter pour remplir le paramètre comme indiqué dans la figure ci-dessous. Il doit d'abord activer le AccountPWD et peut choisir le type d'authentification. Lorsque le type d'authentification est LDAP, sélectionnez le profil LDAP que vous venez de créer. Cliquez sur OK pour terminer la configuration, inutile de créer des utilisateurs supplémentaires pour le VPN dans Utilisateurs.

 

(2) Cliquez sur Exporter à droite pour exporter et envoyer le profil OVPN au client qui doit se connecter.

 

(3) Utilisez OpenVPN Connect pour vous connecter. Importez le fichier OVPN exporté depuis le routeur, entrez le nom d'utilisateur et le mot de passe configurés sur le serveur LDAP et connectez-vous normalement.

 

7. Authentification Web avec utilisation et vérification LDAP

 

(1) Accédez à Authentification > Paramètres d'authentification > Authentification Web , activez l'état et choisissez LDAP pour le type d'authentification.

 

(2) Lorsque le client souhaite accéder à Internet, il accède à l'interface illustrée ci-dessous et les informations de compte de username1 et username2 peuvent passer l'authentification.

 

(3) Lorsque le client est authentifié, les informations du client correspondant peuvent être consultées dans Authentication > Authentication Status .

 

Pour en savoir plus sur chaque fonction et configuration, rendez-vous sur le Centre de téléchargement pour télécharger le manuel de votre produit.

Veuillez noter ce document

Documents connexes