User Tools

Site Tools


cn:ccr:aai:howto:useldap

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
cn:ccr:aai:howto:useldap [2011/01/11 12:28]
dmaselli@infn.it
cn:ccr:aai:howto:useldap [2014/02/05 19:52] (current)
enrico@infn.it [LDAP Client]
Line 1: Line 1:
  
 +====== Server LDAP centrali ======
 +
 +INFN-AAI fornisce supporto per Autenticazione ed Autorizzazione attraverso due server LDAP nazionali: ds1.infn.it e ds2.infn.it,​ raggiungibili anche come "​ds.infn.it"​.
 +
 +L'​accesso a tali server è consentito solo su canale cifrato SSL/​TLS. ​
 +
 +L'​accesso di tipo "​anonymous"​ (non autenticato) permette di effettuare ricerche basate su qualsiasi campo e consente la visualizzazione di un numero limitato di informazioni:​
 +  * DN (o Distinguished Name, che è un valore "​opaco"​ del tipo infnUUID=f8d35e28-2532-43c8-989c-3faa58f5cba4,​ou=People,​dc=infn,​dc=it)
 +  * givenName (Nome)
 +  * SN (Cognome)
 +  * CN (o Common Name, Nome e Cognome)
 +  * L  (o Locality, Sigla della sede di lavoro)
 +  * mail (Indirizzo ufficiale di posta elettronica)
 +  * telefoneNumber (numero di telefono dell'​ufficio)
 +  * facsimileTelefoneNumber (numero di FAX)
 +
 +===== LDAP Client =====
 +
 +Per le sedi che hanno attivo un REALM kerberos bisogna prima ricevere un ticket kerberos per l'​utente che sta effettuando la ricerca con il comando ​
 +
 +  kinit user_afs_che_esegue_ricerca@sede.infn.it ​
 +
 +utilizzando la password di AFS, poi eseguire un ldapsearch, usando come stringa di ricerca ad esempio il nome e il cognome ​
 +
 +  /​usr/​bin/​ldapsearch -ZZZ -Q -h ds.infn.it -Y GSSAPI -b ou=People,​dc=infn,​dc=it '​cn=nome cognome'​
 +
 +
 +Per le sedi che invece non hanno attivo kerberos bisogna eseguire questo comando ​
 +
 +  /​usr/​bin/​ldapsearch ​ -x -W -ZZZ -h ds.infn.it -D DN_personale -b ou=people,​dc=infn,​dc=it '​cn=nome cognome'​
 +
 +Il comando per recuperare il proprio Distinguish Name (DN_personale) è:
 +
 +  /​usr/​bin/​ldapsearch ​ -x -ZZZ -h ds.infn.it -b ou=people,​dc=infn,​dc=it ​ '​mail=nome.cognome@sede.infn.it'​ dn
 +
 +
 +===== Client e-Mail =====
 +
 +Il modo più semplice per accedere a questo tipo di informazioni è attraverso i client di posta elettronica (che normalmente ricercano solo l'​attributo "​mail"​) o rubriche, che possono effettuare ricerche usando il protocollo LDAP.
 +
 +Di seguito alcuni esempi di configurazione.
 +===== MacOS X =====
 +
 +Il sistema operativo MacOS X mette a disposizione degli utenti una applicazione specifica, la "​Rubrica Indirizzi"​ (o Address Book), che può essere configurata per attingere le informazioni da un server LDAP. Tale applicazione usa le librerie di OpenLDAP e quindi è necessario configurare opportunamente anche l'​installazione di OpenLDAP
 +
 +==== Configurazione SSL ====
 +Siccome l'​accesso ai server LDAP di INFN-AAI può avvenire solo attraverso connessioni cifrate SSL/TLS ed il certificato digitale X.509 presentato da questi server è firmato dall'​Autorità di Certificazione dell'​INFN (INFN CA) è necessario installare il certificato della INFN CA e configurare il sistema in modo da accettare per buoni tutti i certificati rilasciati da tale Autorità di Certificazione.
 +
 +=== Certificato della INFN CA ===
 +Il certificato della INFN CA si trova in https://​security.fi.infn.it/​CA/​mgt/​getCA.php. Scaricate il certificato in formato PEM usando ad esempio:
 +
 +  wget https://​security.fi.infn.it/​CA/​mgt/​INFNCA.pem --output-document=/​tmp/​INFNCA.pem
 +
 +e poi installatelo nel "​Portachiavi"​ (o Keychain Access) e mettetelo a disposizione di OpenLDAP
 +
 +=== Installazione nel Portachiavi ===
 +L'​installazione del certificato della INFN CA nel Portachiavi (o Keychain Access) si può effettuare sia usando l'​interfaccia grafica che via linea di comandi. Il comando da dare per le versioni di MacOS X superiori alla 10.5.0 (cioè a partire da "​Leopard"​) è:
 +
 +  sudo /​usr/​bin/​security add-trusted-cert -d -k /​Library/​Keychains/​System.keychain /​tmp/​INFNCA.pem
 +
 +per le versioni di MacOS X precedenti (cioè fino alla 10.4.x compresa) il comando è:
 +
 +  sudo /​usr/​bin/​security add-trusted-cert -d -k /​Library/​Keychains/​X509Anchors /​tmp/​INFNCA.pem
 +
 +=== Installazione e configurazione di OpenLDAP ===
 +Il file INFNCA.pem va installato nella directory /​System/​Library/​OpenSSL/​certs/​
 +
 +  sudo /bin/cp /​tmp/​INFNCA.pem /​System/​Library/​OpenSSL/​certs/​
 +  cd /​System/​Library/​OpenSSL/​certs/​
 +  sudo ln -sF INFNCA.pem `/​usr/​bin/​openssl x509 -hash -noout -in INFNCA.pem`.0
 +
 +E poi vanno configurate le librerie di OpenLDAP in modo che cerchino i certificati all'​interno della directory /​System/​Library/​OpenSSL/​certs/​
 +
 +  sudo /bin/sh -c '/​bin/​echo "​TLS_CACERTDIR /​System/​Library/​OpenSSL/​certs"​ >> /​etc/​openldap/​ldap.conf'​
 +==== Configurazione della Rubrica Indirizzi ====
 +
 +Questa configurazione si effettua via interfaccia grafica.
 +
 +Lanciare il programma "​Rubrica Indirizzi"​ (o Address Book) ed andare nel menu "​Preferenze"​ (cmd-,), selezionare "​Account"​ ed aggiungere un account clickando sul "​+"​
 +
 +
 +{{:​cn:​ccr:​aai:​howto:​useldap:​addressbook-0.png}}
 +
 +Selezionare come tipo di account LDAP come mostrato in figura
 +
 +{{:​cn:​ccr:​aai:​howto:​useldap:​addressbook-1.png}}
 +
 +e completare la configurazione come indicato di seguito
 +
 +{{:​cn:​ccr:​aai:​howto:​useldap:​addressbook-2.png}}
 +
 +===== Configurazione di Thunderbird =====
 +
 +Questa configurazione si effettua via interfaccia grafica.
 +
 +Lanciare il programma di posta elettronica thunderbird e cliccare su rubrica, selezionare il menu "​file",​ "​nuovo"​ e selezionare "​rubrica remota ldap"
 +
 +{{:​cn:​ccr:​aai:​howto:​useldap:​thunderbird-1.png|}}
 +
 +Completare la configurazione come illustrato nella seguente immagine
 +
 +{{:​cn:​ccr:​aai:​howto:​useldap:​thunderbird-2.png|}}
 +
 +Nel tab "​Avanzate"​ della finestra assicurarsi di avere selezionato in "campo di ricerca"​ l'​opzione "tutti i sottolivelli"​ e completare la configurazione
 +
 +{{:​cn:​ccr:​aai:​howto:​useldap:​thunderbird-3.png|}}
 +
 +===== Windows Xp =====
 +
 +Il sistema operativo Windows Xp mette a disposizione agli utenti l'​applicazione "​Rubrica"​ che può essere configurata per utilizzare il server LDAP dell'​infrastruttura INFN-AAI.
 +==== Configurazione SSL ====
 +
 +Dato che l'​accesso ai server LDAP di INFN-AAI può avvenire esclusivamente sotto connessione cifrata SSL/TLS ed il certificato del server X.509 presentato dai server è firmato dalla Certification Authority dell'​INFN (INFN CA) è necessario installare il certificato di tale Autorità di Certificazione in modo da accettare tutti i certificati firmati da tale autorità.
 +=== Certificato INFN CA ===
 +
 +Per recuperare ed installare nel sistema il certificato della INFN CA è sufficiente visitare con il browser di sistema Internet Explorer l'​indirizzo https://​security.fi.infn.it/​CA/​mgt/​getCA.php e cliccare sul pulsante "​Scarica Certificato"​.
 +=== Installazione nel sistema ===
 +
 +Si aprirà una finestrella dove dovrete cliccare su "​Apri"​. Successivamente partirà la procedura per installare il certificato nel vostro sistema.
 +==== Configurazione di Rubrica ====
 +
 +Lanciare il programma "​Rubrica"​ presente in "​Start",​ "​Programmi",​ "​Accessori",​ "​Rubrica"​.
 +Selezionare l'​opzione "​Account"​ presente nel menu "​Strumenti"​ del programma e cliccare sul pulsante "​Aggiungi"​
 +
 +{{:​cn:​ccr:​aai:​howto:​useldap:​rubrica_win-2.png|}}
 +
 +Inserire l'​indirizzo del server ldap come illustrato in figura e terminare la procedura
 +
 +{{:​cn:​ccr:​aai:​howto:​useldap:​rubrica_win-3.png|}}
 +
 +Selezionare il nuovo account creato, cliccare su "​Proprietà"​ e assicurarsi di aver configurato la pagina come segue
 +
 +{{:​cn:​ccr:​aai:​howto:​useldap:​rubrica_win-5.png|}}
 +
 +Aprire il tab "​Impostazioni Avanzate"​ ed impostare l'uso di una connessione SSL protetta e la base di ricerca come illustrato in figura e completare la configurazione
 +
 +{{:​cn:​ccr:​aai:​howto:​useldap:​rubrica_win-6.png|}}
cn/ccr/aai/howto/useldap.txt · Last modified: 2014/02/05 19:52 by enrico@infn.it