User Tools

Site Tools


Sidebar

cn:ccr:aai:howto:useldap

Server LDAP centrali

INFN-AAI fornisce supporto per Autenticazione ed Autorizzazione attraverso due server LDAP nazionali: ds1.infn.it e ds2.infn.it, raggiungibili anche come "ds.infn.it".

L'accesso a tali server è consentito solo su canale cifrato SSL/TLS.

L'accesso di tipo "anonymous" (non autenticato) permette di effettuare ricerche basate su qualsiasi campo e consente la visualizzazione di un numero limitato di informazioni:

  • DN (o Distinguished Name, che è un valore "opaco" del tipo infnUUID=f8d35e28-2532-43c8-989c-3faa58f5cba4,ou=People,dc=infn,dc=it)
  • givenName (Nome)
  • SN (Cognome)
  • CN (o Common Name, Nome e Cognome)
  • L (o Locality, Sigla della sede di lavoro)
  • mail (Indirizzo ufficiale di posta elettronica)
  • telefoneNumber (numero di telefono dell'ufficio)
  • facsimileTelefoneNumber (numero di FAX)

LDAP Client

Per le sedi che hanno attivo un REALM kerberos bisogna prima ricevere un ticket kerberos per l'utente che sta effettuando la ricerca con il comando

kinit user_afs_che_esegue_ricerca@sede.infn.it 

utilizzando la password di AFS, poi eseguire un ldapsearch, usando come stringa di ricerca ad esempio il nome e il cognome

/usr/bin/ldapsearch -ZZZ -Q -h ds.infn.it -Y GSSAPI -b ou=People,dc=infn,dc=it 'cn=nome cognome'

Per le sedi che invece non hanno attivo kerberos bisogna eseguire questo comando

/usr/bin/ldapsearch  -x -W -ZZZ -h ds.infn.it -D DN_personale -b ou=people,dc=infn,dc=it 'cn=nome cognome'

Il comando per recuperare il proprio Distinguish Name (DN_personale) è:

/usr/bin/ldapsearch  -x -ZZZ -h ds.infn.it -b ou=people,dc=infn,dc=it  'mail=nome.cognome@sede.infn.it' dn

Client e-Mail

Il modo più semplice per accedere a questo tipo di informazioni è attraverso i client di posta elettronica (che normalmente ricercano solo l'attributo "mail") o rubriche, che possono effettuare ricerche usando il protocollo LDAP.

Di seguito alcuni esempi di configurazione.

MacOS X

Il sistema operativo MacOS X mette a disposizione degli utenti una applicazione specifica, la "Rubrica Indirizzi" (o Address Book), che può essere configurata per attingere le informazioni da un server LDAP. Tale applicazione usa le librerie di OpenLDAP e quindi è necessario configurare opportunamente anche l'installazione di OpenLDAP

Configurazione SSL

Siccome l'accesso ai server LDAP di INFN-AAI può avvenire solo attraverso connessioni cifrate SSL/TLS ed il certificato digitale X.509 presentato da questi server è firmato dall'Autorità di Certificazione dell'INFN (INFN CA) è necessario installare il certificato della INFN CA e configurare il sistema in modo da accettare per buoni tutti i certificati rilasciati da tale Autorità di Certificazione.

Certificato della INFN CA

Il certificato della INFN CA si trova in https://security.fi.infn.it/CA/mgt/getCA.php. Scaricate il certificato in formato PEM usando ad esempio:

wget https://security.fi.infn.it/CA/mgt/INFNCA.pem --output-document=/tmp/INFNCA.pem

e poi installatelo nel "Portachiavi" (o Keychain Access) e mettetelo a disposizione di OpenLDAP

Installazione nel Portachiavi

L'installazione del certificato della INFN CA nel Portachiavi (o Keychain Access) si può effettuare sia usando l'interfaccia grafica che via linea di comandi. Il comando da dare per le versioni di MacOS X superiori alla 10.5.0 (cioè a partire da "Leopard") è:

sudo /usr/bin/security add-trusted-cert -d -k /Library/Keychains/System.keychain /tmp/INFNCA.pem

per le versioni di MacOS X precedenti (cioè fino alla 10.4.x compresa) il comando è:

sudo /usr/bin/security add-trusted-cert -d -k /Library/Keychains/X509Anchors /tmp/INFNCA.pem

Installazione e configurazione di OpenLDAP

Il file INFNCA.pem va installato nella directory /System/Library/OpenSSL/certs/

sudo /bin/cp /tmp/INFNCA.pem /System/Library/OpenSSL/certs/
cd /System/Library/OpenSSL/certs/
sudo ln -sF INFNCA.pem `/usr/bin/openssl x509 -hash -noout -in INFNCA.pem`.0

E poi vanno configurate le librerie di OpenLDAP in modo che cerchino i certificati all'interno della directory /System/Library/OpenSSL/certs/

sudo /bin/sh -c '/bin/echo "TLS_CACERTDIR /System/Library/OpenSSL/certs" >> /etc/openldap/ldap.conf'

Configurazione della Rubrica Indirizzi

Questa configurazione si effettua via interfaccia grafica.

Lanciare il programma "Rubrica Indirizzi" (o Address Book) ed andare nel menu "Preferenze" (cmd-,), selezionare "Account" ed aggiungere un account clickando sul "+"

Selezionare come tipo di account LDAP come mostrato in figura

e completare la configurazione come indicato di seguito

Configurazione di Thunderbird

Questa configurazione si effettua via interfaccia grafica.

Lanciare il programma di posta elettronica thunderbird e cliccare su rubrica, selezionare il menu "file", "nuovo" e selezionare "rubrica remota ldap"

Completare la configurazione come illustrato nella seguente immagine

Nel tab "Avanzate" della finestra assicurarsi di avere selezionato in "campo di ricerca" l'opzione "tutti i sottolivelli" e completare la configurazione

Windows Xp

Il sistema operativo Windows Xp mette a disposizione agli utenti l'applicazione "Rubrica" che può essere configurata per utilizzare il server LDAP dell'infrastruttura INFN-AAI.

Configurazione SSL

Dato che l'accesso ai server LDAP di INFN-AAI può avvenire esclusivamente sotto connessione cifrata SSL/TLS ed il certificato del server X.509 presentato dai server è firmato dalla Certification Authority dell'INFN (INFN CA) è necessario installare il certificato di tale Autorità di Certificazione in modo da accettare tutti i certificati firmati da tale autorità.

Certificato INFN CA

Per recuperare ed installare nel sistema il certificato della INFN CA è sufficiente visitare con il browser di sistema Internet Explorer l'indirizzo https://security.fi.infn.it/CA/mgt/getCA.php e cliccare sul pulsante "Scarica Certificato".

Installazione nel sistema

Si aprirà una finestrella dove dovrete cliccare su "Apri". Successivamente partirà la procedura per installare il certificato nel vostro sistema.

Configurazione di Rubrica

Lanciare il programma "Rubrica" presente in "Start", "Programmi", "Accessori", "Rubrica". Selezionare l'opzione "Account" presente nel menu "Strumenti" del programma e cliccare sul pulsante "Aggiungi"

Inserire l'indirizzo del server ldap come illustrato in figura e terminare la procedura

Selezionare il nuovo account creato, cliccare su "Proprietà" e assicurarsi di aver configurato la pagina come segue

Aprire il tab "Impostazioni Avanzate" ed impostare l'uso di una connessione SSL protetta e la base di ricerca come illustrato in figura e completare la configurazione

cn/ccr/aai/howto/useldap.txt · Last modified: 2014/02/05 20:52 by enrico@infn.it