Export LDAP
Le plugin BlueMind d'export LDAP permet d'exporter les utilisateurs et les groupes définis dans BlueMind vers un annuaire LDAP.
Fonctionnement
BlueMind exporte ses données dans un annuaire openLDAP. Ce service est installé lors de l'installation du plugin d'export LDAP et de ses dépendances.
Structure de l'annuaire généré
Le DN de la racine de l'annuaire généré est dc=local.
Chaque domaine BlueMind exporte ses données dans une branche dédiée nommée avec l'UID des domaines. Sous ces branches de domaine, les utilisateurs et les groupes du domaine correspondant sont placés dans des branches dédiées.
Par exemple, pour un BlueMind composé de 2 domaines distincts d'UID domain1.internal et domain2.internal, la structure de l'annuaire LDAP est :
dc=local
|- dc=domain1.internal,dc=local
| \- ou=users,dc=domain1.internal,dc=local
| | \- # Utilisateurs du domaine d'UID domain1.internal
| | |- ...
| |
| \- ou=groups,dc=domain1.internal,dc=local
| \- # Groupes du domaine d'UID domain1.internal
| |- ...
|
|- dc=domain2.internal,dc=local
\- ou=users,dc=domain2.internal,dc=local
| \- # Utilisateurs du domaine d'UID domain2.internal
| |- ...
|
\- ou=groups,dc=domain2.internal,dc=local
\- # Groupes du domaine d'UID domain2.internal
|- ...
Authentification
Il est possible de s'authentifier sur l'annuaire LDAP avec les comptes utilisateurs BlueMind en utilisant le DN de l'utilisateur et son mot de passe BlueMind.
Les mots de passe ne sont pas exportés dans l'annuaire LDAP.
Pour valider un mot de passe, l'annuaire LDAP est configuré pour interroger le service BlueMind bm-core via le service bm-ysnp.
Les mots de passe des administrateurs racines (rootdn) :
| Racine | DN administrateur | Mot de passe | Description |
|---|---|---|---|
| dc=local | uid=admin,dc=local | Celui de admin0@global.virt | Utilisé par BlueMind pour gérer le contenu de l'annuaire |
| cn=config | uid=admin,cn=config | Celui de admin0@global.virt | Utilisé par BlueMind pour gérer la configuration de l'annuaire |
Procédure d'installation
-
Installer les paquets nécessaires sur le serveur hébergeant BlueMind et redémarrer celui-ci :
- Debian/Ubuntu
- RedHat/CentOS
aptitude update
aptitude install bm-plugin-admin-console-ldap-export bm-plugin-core-ldap-export
bmctl restartyum update
yum install bm-plugin-admin-console-ldap-export bm-plugin-core-ldap-export
bmctl restart -
Installer le paquet bm-ldap-role sur le serveur sur lequel on souhaite faire tourner l'annuaire LDAP (cela peut être le serveur BlueMind lui-même ou un serveur séparé) et redémarrer celui-ci :
- Debian/Ubuntu
- RedHat/CentOS
aptitude update
aptitude install bm-ldap-role
bmctl restartyum update
yum install bm-ldap-role
bmctl restart⚠️ Si des questions sont posées lors de l'installation des paquets, choisir la réponse par défaut : la configuration de l'annuaire LDAP est réinitialisée par BlueMind aux étapes suivantes donc toute personnalisation serait perdue.
-
Attribuer le rôle dédié au serveur.
Pour cela :- se connecter à la console d'administration en tant que superadministrateur
admin0et se rendre dans "Serveurs de l'application"
💡 s'il s'agit d'un serveur séparé et qu'il n'existe pas encore, l'ajouter ici au moyen du bouton Nouveau > Serveur
- sélectionner le serveur et se rendre dans l'onglet "Rôles du serveur"
- dans la section "Annuaires", cocher « Annuaire LDAP maître généré par BlueMind » :
- se connecter à la console d'administration en tant que superadministrateur
-
Valider en cliquant sur « Enregistrer »
-
Associer le serveur au(x) domaine(s) souhaité(s).
Pour cela, se rendre dans la partie Gestion du domaine > Domaines Supervisés et :-
sélectionner le domaine à exporter au format LDAP
-
se rendre dans l'onglet "Services BM"
-
sélectionner le serveur pour le service de même libellé « Annuaire LDAP maître généré par BlueMind » :
-
Valider en cliquant sur « Enregistrer »
💡 Répéter l'opération pour chaque domaine souhaité.
-