Export LDAP
Le plugin BlueMind d'export LDAP permet d'exporter les utilisateurs et les groupes définis dans BlueMind, dans un annuaire LDAP.
Fonctionnement
BlueMind exporte ses données dans un annuaire openLDAP. Ce service est installé lors de l'installation du plugin d'export LDAP et de ses dépendances.
Structure de l'annuaire généré
Le DN de la racine de l'annuaire généré est dc=local.
Chaque domaine BlueMind exporte ses données dans une branche dédiée nommée avec l'UID des domaines. Sous ces branches de domaine, les utilisateurs et les groupes du domaine correspondant sont placés dans des branches dédiées.
Par exemple, pour un BlueMind composé de 2 domaines distincts d'UID domain1.internal et domain2.internal, la structure de l'annuaire LDAP est :
dc=local
|- dc=domain1.internal,dc=local
| \- ou=users,dc=domain1.internal,dc=local
| | \- # Utilisateurs du domaine d'UID domain1.internal
| | |- ...
| |
| \- ou=groups,dc=domain1.internal,dc=local
| \- # Groupes du domaine d'UID domain1.internal
| |- ...
|
|- dc=domain2.internal,dc=local
\- ou=users,dc=domain2.internal,dc=local
| \- # Utilisateurs du domaine d'UID domain2.internal
| |- ...
|
\- ou=groups,dc=domain2.internal,dc=local
\- # Groupes du domaine d'UID domain2.internal
|- ...
Authentification
Il est possible de s'authentifier sur l'annuaire LDAP avec les comptes utilisateurs BlueMind en utilisant le DN de l'utilisateur et son mot de passe BlueMind.
Les mots de passe ne sont pas exportés dans l'annuaire LDAP.
Pour valider un mot de passe, l'annuaire LDAP est configuré pour interroger le service BlueMind bm-core via le service bm-ysnp.
Les mots de passe des administrateurs racines (rootdn) :
| Racine | DN administrateur | Mot de passe | Description |
|---|---|---|---|
| dc=local | uid=admin,dc=local | Celui de _ admin0@global.virt _ | Utilisé par BlueMind pour gérer le contenu de l'annuaire |
| cn=config | uid=admin,cn=config | Celui de _ admin0@global.virt _ | Utilisé par BlueMind pour gérer la configuration de l'annuaire |
Il est possible d'utiliser des clés d'API pour s'authentifier.
Procédure d'installation
-
installer les paquets nécessaires sur le serveur hébergeant BlueMind :
- Debian/Ubuntu
- RedHat/CentOS
aptitude update
aptitude install bm-plugin-admin-console-ldap-export bm-plugin-core-ldap-exportyum update
yum install bm-plugin-admin-console-ldap-export bm-plugin-core-ldap-export -
Redémarrer BlueMind :
bmctl restart -
Sur le serveur sur lequel on souhaite faire tourner l'annuaire LDAP (cela peut être le serveur BlueMind lui-même ou un serveur séparé), installer le paquet bm-ldap-role :
- Debian/Ubuntu
- RedHat/CentOS
aptitude update
aptitude install bm-ldap-roleyum update
yum install bm-ldap-roleSi des questions sont posées lors de l'installation des paquets, choisir la réponse par défaut.
La configuration de l'annuaire LDAP est ré-initialisée par BlueMind aux étapes suivantes. -
Attribuer le rôle au serveur. Pour cela :
- se connecter en tant que superadministrateur admin0, se rendre dans la console d'administration > Serveurs de l'application
- s'il s'agit d'un serveur séparé et qu'il n'existe pas encore, l'ajouter au moyen du bouton Nouveau > Serveur
- sélectionner le serveur et se rendre dans l'onglet "Rôles du serveur"
- dans la section "Annuaires", cocher « Annuaire LDAP maître généré par BlueMind »:
-
Valider en cliquant sur « Enregistrer »
-
Associer ensuite ce serveur au(x) domaine(s) souhaité(s).
Pour cela, se rendre dans la partie Gestion du domaine > Domaines Supervisés et :-
sélectionner le domaine à exporter au format LDAP
-
se rendre dans l'onglet "Services BM"
-
sélectionner le serveur pour le service de même libellé "Annuaire LDAP maître généré par BlueMind" :
-
Valider en cliquant sur « Enregistrer »
💡 Répéter l'opération pour chaque domaine souhaité.
-