Table des matières
Résumé
Dans ce chapitre nous étudierons comment sécuriser les serveurs de la suite logicielle OpenLDAP.
Dans le cas où une faille existerait dans le daemon slapd, il est souhaitable d'éviter que cette faille potentielle conduise à un accès avec des droits superutilisateurs (root). Pour ce faire il est possible de faire fonctionner le daemon slapd sous une identité autre que root.
Voici comment mettre en place une telle configuration:
arrêter slapd s'il est en fonctionnement
/etc/init.d/slapd stop
Créer un group et un utilisateur dédié
groupadd ldap
useradd -s /bin/false -d /var/lib/ldap -g ldap ldap
créer un sous répertoire pour placer le fichier de pid
mkdir -p /var/run/slapd
modifier en conséquence les directives pidfile et argsfile dans /etc/ldap/slapd.conf
pidfile /var/run/slapd/slapd.pid
argsfile /var/run/slapd/slapd.args
Appliquer les droits nécessaires sur les répertoires utilisés par slapd
Sur le répertoire de configuration: chown -R ldap:ldap /etc/ldap
Sur le répertoire de stockage: chown -R ldap:ldap /var/lib/ldap
Sur le répertoire de "fonctionnement": chown ldap:ldap /var/run/slapd
Relancer slapd avec les options appropriées et/ou modifier le script de démarrage
/usr/sbin/slapd -u ldap -g ldap
Sous Debian GNU/Linux 3.0 (openldap 2.0.23), on peut modifier le script de démarrage /etc/init.d/slapd en ajoutant ces options à la ligne suivante:
start-stop-daemon --start --quiet --pidfile "$pf" --exec /usr/sbin/slapd
start-stop-daemon --start --quiet --pidfile "$pf" --exec /usr/sbin/slapd -- -u ldap -g ldap
Sous Debian GNU/Linux testing ou unstable (openldap 2.1.23/2.1.25) il suffit de mettre le nom de l'utilisateur et du groupe dans le fichier /etc/default/slapd (variables SLAPD_USER et SLAPD_GROUP).