ANNUAIRE CPS Interface d`accès - Annuaire GIP-CPS
Transcription
ANNUAIRE CPS Interface d`accès - Annuaire GIP-CPS
ANNUAIRE CPS Interface d'accès Statut : Document de travail Version Date mise à jour Date prise d’effet : 2.0 : 3 mars 2006 : Référence du document : DIR-CPS Interface_Acces v2.0.doc Auteur : Marie-Christine DIATTA Correcteurs : Gilbert ABULAFYA Jean-Louis BOUSSIER Mariane CIMINO Sébastien HERNIOTE Willem ISPHORDING Philippe JOURDAIN Marc MILAN Azad NASSOR Pascal POITEVIN Valideurs : Willem ISPHORDING Marc MILAN Diffusion : libre Liste de diffusion : GIP "CPS" Ce document est la propriété du Groupement d'Intérêt Public CPS. Il ne peut être reproduit sans autorisation écrite © Groupement d’Intérêt Public “Carte de Professionnel de Santé” Annuaire CPS – Interfaces d'accès Version 2.0 du 03 mars 2006 HISTORIQUE DES VERSIONS ET REVISIONS Version 1.0 2.0 Nature de la mise à jour Création Mise à jour Date 11 décembre 2003 3 mars 2006 © GIP "CPS" Référence : DIR-CPS Interface_Acces v2.0 Page 2/30 Annuaire CPS – Interfaces d'accès Version 2.0 du 03 mars 2006 Sommaire Glossaire : 4 Référence documentaire 5 Référence bibliographique 5 Exemples d'outils gratuits utiles 5 1. Objectif de ce document 6 2. LDAP 6 2.1. Les concepts de LDAP 2.1.1. Le protocole LDAP 2.1.2. Le modèle de données LDAP 2.1.2.1. Le Directory Information Tree 2.1.2.2 Le schéma 2.1.3 Le modèle fonctionnel 2.1.3.1. La recherche avec la commande ldapsearch 2.1.3.2. La recherche en utilisant l'outil Ldap Browser Editor 2.8.1 2.1.3.3. La recherche à partir du site web de l'annuaire du GIP-CPS 2.1.3.3.1. Recherche au niveau des pages blanches 2.1.3.3.2. Recherche au niveau des pages jaunes 2.1.3.3.3. Recherche au niveau des structures 3. Chargement des CRLs 3.1. Le canal LDAP 3.1.1. La commande ldapsearch 3.1.2. Avec LDAP Browser 3.2. Le canal HTTP 3.2.2. Chargement des CRLs de la carte 2Ter 6 7 7 8 8 12 13 16 19 20 22 23 25 25 25 26 28 29 © GIP "CPS" Référence : DIR-CPS Interface_Acces v2.0 Page 3/30 Annuaire CPS – Interfaces d'accès Version 2.0 du 03 mars 2006 Glossaire : ACL : Access Control List CPS : Carte de Professionnel de Santé DAP : Directory Access Protocol DIT : Directory Information Tree DSA : Directory Service Agent DSE : Directory Specific Entry LDAP : Lightweight Directory Access Protocol OSI : Open Systems Interconnection RootDSE : Root DSA Specific Entry SGBD : Système de Gestion de Base de Donnée SSL : Secure Sockets Layers SASL : Simple Authentication and Security Layer TCP/IP : Transmission Control Protocol/Internet Protocol © GIP "CPS" Référence : DIR-CPS Interface_Acces v2.0 Page 4/30 Annuaire CPS – Interfaces d'accès Version 2.0 du 03 mars 2006 Référence documentaire [1] : Annuaire CPS : Schéma DIT – DIR-CPS Schema_DIT v3d.doc (mars 2006) [2] : Complément technique de la charte d'accès à l'annuaire du GIP-CPS – Compl_Tech_Charte_Acces.doc version 1.7 du 15 décembre 2005. Référence bibliographique • Linux LDAP services : http://www.rage.net/ldap/ • OPenLDAP.org : http://www.openldap.org/ • LDAP Version 3 standard: http://www.ietf.org/rfc/rfc2251.txt • The LDAP Extensions Working Group of the IETF: http://www.ietf.org/html.charters/ldapext-charter.html Exemples d'outils gratuits utiles • LDAP Browser Editor 2.8.1 : http://www-unix.mcs.anl.gov/~gawor/ldap/ • Base-64 Encoding : http://www.dillfrog.com/tools/base-64_encode/ © GIP "CPS" Référence : DIR-CPS Interface_Acces v2.0 Page 5/30 Annuaire CPS – Interfaces d'accès Version 2.0 du 03 mars 2006 1. Objectif de ce document L'annuaire du GIP-CPS est l'annuaire des porteurs de cartes CPS et des titulaires de certificats CPS. Cet annuaire dispose d'une interface LDAP conforme aux standards en vigueur dans le domaine des annuaires. Le but de ce document est de présenter les concepts de LDAP applicables à l'annuaire CPS. 2. LDAP LDAP est le protocole d'échange avec un annuaire sur TCP/IP. Les annuaires permettent de partager des bases d'informations sur le réseau interne ou externe. Ces bases peuvent contenir toute sorte d'information que ce soit des coordonnées de personnes ou des données systèmes. Ce document décrit de manière succincte le protocole LDAP. Il est une compilation des différentes informations disponibles sur le Web et dont les sources sont mentionnées dans la bibliographie en fin de document. Un annuaire électronique est une base de donnée spécialisée, dont la fonction première est de retourner un ou plusieurs attributs d'un objet grâce à des fonctions de recherche multi-critères. Contrairement à un SGBD, un annuaire est très performant en lecture mais l'est beaucoup moins en écriture. Sa fonction peut être de servir d'entrepôt pour centraliser des informations et les rendre disponibles, via le réseau à des applications, des systèmes d'exploitation ou des utilisateurs. LDAP, Lightweight Directory Access Protocol, est né de la nécessité d’adaptation du protocole DAP (protocole d'accès au service d'annuaire X500 de l'OSI) à l'environnement TCP/IP. Initialement frontal d'accès à des annuaires X500, LDAP est devenu en 1995, un annuaire natif (standalone LDAP) sous l'impulsion d'une équipe de l'Université du Michigan (logiciel U-M LDAP). LDAP fournit un protocole standardisé d'accès à de l'information. Cette information peut être de toute nature et servir à différents types d'applications, allant d'un système d'annuaire classique (pages blanches, pages jaunes) jusqu'aux appels systèmes du système d'exploitation. 2.1. Les concepts de LDAP LDAP est un protocole d'annuaire standard et extensible. Il fournit : • un protocole d'accès permettant d'accéder à l'information contenue dans l'annuaire. © GIP "CPS" Référence : DIR-CPS Interface_Acces v2.0 Page 6/30 Annuaire CPS – Interfaces d'accès Version 2.0 du 03 mars 2006 • un modèle d'information définissant le type de données contenues dans l'annuaire : o Chaque attribut du GIP-CPS est défini par un type (entier, chaîne de caractère, …) et contient une ou plusieurs valeurs qui peuvent être obligatoires ou non. Par exemple, l'attribut mail est défini par une chaîne de caractères et peut être multi-valué. Voir le document [1] pour plus d'informations. • un modèle de nommage définissant comment l'information est organisée et référencée : o Par exemple : le nom d'une entrée au GIP-CPS contient le nom des différents nœuds de l'arbre puis l'identifiant de l'entrée : dn: cn=0123456789+givenName=JEAN+sn=DUPONT,ou=012345678900, l=Paris (75), o=GIP-CPS, c=fr • un modèle fonctionnel qui définit comment on accède à l'information : o Par exemple, l'opération 'Search' permet d'effectuer une recherche sur tous les porteurs de cartes CPS du département de l'Ain. • un modèle de sécurité qui définit comment les données et l’accès sont protégés : o Par l'utilisation d'une connexion authentifiée par exemple. • un modèle de duplication qui définit comment la base est répartie entre serveurs : o Les données de l'annuaire du GIP-CPS sont dupliquées sur un serveur esclave qui ne dispose que du droit en lecture seule. • LDIF, un format d'échange de données : o C'est ce format qui est utilisé lors de certaines demandes d'extraction des données de l'annuaire pour des établissements de santé. 2.1.1. Le protocole LDAP Le protocole définit comment s'établit la communication client-serveur. Il fournit à l'utilisateur des commandes pour se connecter ou se déconnecter, pour rechercher, comparer, créer, modifier ou effacer des entrées. Des mécanismes de chiffrement (SSL ou TLS) et d'authentification (SASL), couplés à des mécanismes de règles d'accès (ACL) permettent de protéger les transactions et l'accès aux données. 2.1.2. Le modèle de données LDAP LDAP était à l'origine une passerelle d'accès à des annuaires X500. En 95, l'Université du Michigan créa le premier serveur LDAP autonome (standalone LDAP) utilisant sa propre base de données au format de type DBM. Les serveurs LDAP sont conçus pour stocker une grande quantité de données mais de faible volume et pour accéder en lecture très rapidement à celles-ci grâce au modèle hiérarchique. © GIP "CPS" Référence : DIR-CPS Interface_Acces v2.0 Page 7/30 Annuaire CPS – Interfaces d'accès Version 2.0 du 03 mars 2006 2.1.2.1. Le Directory Information Tree Les données LDAP sont structurées dans une arborescence hiérarchique que l'on peut comparer au système de fichier Unix par exemple. Chaque noeud de l'arbre correspond à une entrée de l'annuaire (ou directory service entry : DSE). Au sommet de cet arbre, appelé Directory Information Tree (DIT), se trouve la racine ou le suffixe. Ce modèle est en fait repris de X500, mais contrairement à ce dernier, il est conçu pour rendre un service d'annuaire mondial, par exemple 'C=FR' pour la France. Les entrées correspondent à des objets abstraits ou issus du monde réel, comme une personne, une imprimante, ou des paramètres de configuration. Elles contiennent un certain nombre de champs appelés attributs dans lesquels sont stockées des valeurs. Chaque serveur possède une entrée spéciale, appelée root directory specific entry (rootDSE) qui contient la description de l'arbre et de son contenu. Figure 1 : Exemple de DIT 2.1.2.2 Le schéma L'ensemble des définitions relatives aux objets qu’un serveur LDAP est capable de gérer s'appelle le schéma. Le schéma décrit les classes d'objets, leurs types d'attributs et leur syntaxe. 2.1.2.2.1. Les attributs Une entrée de l'annuaire contient une suite de couples types d'attributs - valeurs d'attributs. Les attributs sont caractérisés par : • Le nom qui l'identifie, • L’Object Identifier (OID) valeur qui l'identifie également, • La valeur mono ou multi-valuée, • La syntaxe et les règles de comparaison, © GIP "CPS" Référence : DIR-CPS Interface_Acces v2.0 Page 8/30 Annuaire CPS – Interfaces d'accès • • Version 2.0 du 03 mars 2006 L’indicateur d'usage, Le format ou une limite de taille de valeur qui leurs sont associés. Les attributs décrivent généralement des caractéristiques de l'objet (tableau 1). Ce sont des attributs dits normaux qui sont accessibles aux utilisateurs (ex : attribut givenname, qui définit le prénom). Certains attributs sont dits opérationnels car ils ne servent qu'aux serveurs pour administrer les données (ex : attribut modifytimestamp, qui permet de définir la date de la dernière modification). Certains serveurs LDAP respectent les standards X500 de hiérarchisation des attributs, qui permettent de décrire un attribut comme étant un sous-type d'un attribut super-type et d'hériter ainsi de ses caractéristiques. Par exemple, les attributs cn, sn et givenname sont des sous-types de l'attribut name (super-type). Les attributs super-types peuvent être utilisés comme critère de recherche générique qui porte sur tous leurs sous-attributs. 2.1.2.2.2. Les classes d'objets Les classes d'objets modélisent des objets réels ou abstraits en les caractérisant par une liste d'attributs optionnels ou obligatoires. Une classe d'objet est définie par : • Le nom qui l'identifie, • L’OID, valeur qui l'identifie également, • Les attributs obligatoires, • Les attributs optionnels, • Le type (structurel, auxiliaire ou abstrait). Le type d'une classe est lié à la nature des attributs qu'elle utilise. • Une classe structurelle correspond à la description d'objets basiques de l'annuaire : les personnes, les groupes, les unités organisationnelles, etc. Une entrée appartient toujours, au moins, à une classe d'objet structurelle. • Une classe auxiliaire désigne des objets qui permettent de rajouter des informations complémentaires à des objets structurels. Par exemple l'objet mailRecipient rajoute les attributs concernant la messagerie électronique d'une personne. L'objet labeledURIObject fait de même concernant les informations Web. • Une classe abstraite désigne des objets basiques de LDAP comme les objets top ou alias. Les classes d'objets forment une hiérarchie, au sommet de laquelle se trouve l'objet top. Chaque objet hérite des propriétés (attributs) de l'objet dont il est le fils. On peut donc enrichir un objet en créant un objet fils qui lui rajoute des attributs supplémentaires. On précise la classe d'objet d'une entrée à l'aide de l'attribut objectClass. Il faut obligatoirement indiquer la parenté de la classe d'objet en partant de l'objet top et en passant par chaque ancêtre de l'objet. © GIP "CPS" Référence : DIR-CPS Interface_Acces v2.0 Page 9/30 Annuaire CPS – Interfaces d'accès Version 2.0 du 03 mars 2006 Par exemple, l'objet inetOrgPerson a la filiation suivante : objectClass: top objectClass: person objectClass: organizationalPerson objectClass: inetOrgPerson L'objet person a comme attributs : commonName, surname, description, seeAlso, telephoneNumber, userPassword. L'objet fils organizationalPerson ajoute des attributs comme : organizationUnitName, title, postalAddress, etc. L'objet petit-fils inetOrgPerson lui rajoute des attributs comme : mail, labeledURI, uid (userID), photo, etc. Une entrée peut appartenir à un nombre non limité de classes d'objets. Les attributs obligatoires sont dans ce cas la réunion des attributs obligatoires de chaque classe. Le tableau ci-dessous présente des exemples de classes d'objets standard et de classes d'objets crées par le GIP-CPS ainsi que les attributs obligatoires et les attributs optionnels correspondants. Exemples de classes d'objets standards Type d'entrée Attributs obligatoires Attributs optionnels postalAddress postalCode OrganizationalUnit OU telephoneNumber FacsimileTelephoneNumber telephoneNumber postalAddress Organization postalCode O (définit les entrées d'une organisation) businessCategory facsimileTelephoneNumber Exemples de classes d'objets crées par le GIP-CPS Type d'entrée Attributs obligatoires Attributs optionnels mail attribComp civilite personalTitle orientPart cn sitProf cpsPersonne sn Specialisation serialNumber specialite givenName tablPharm typeCarte formeJuridique raisonSociale l businessCategory st cpsStructure postalAddress OU postOfficeBox postalCode telephoneNumber Tableau 1 : exemple de classes d’objets © GIP "CPS" Référence : DIR-CPS Interface_Acces v2.0 Page 10/30 Annuaire CPS – Interfaces d'accès Version 2.0 du 03 mars 2006 2.1.2.2.3. Les OIDs Les objets et leurs attributs sont normalisés par le RFC2256 afin d’assurer l'interopérabilité entre les logiciels. Ils sont issus du schéma de X500, plus des ajouts du standard LDAP ou d'autres consortiums industriels. Ils sont tous référencés par un ‘object identifier’ (OID) unique dont la liste est tenue à jour par l’IANA (Internet Assigned Numbers Authority). Il est possible de modifier le schéma en rajoutant des attributs à un objet (déconseillé) ou en créant un nouvel objet (conseillé) et d'obtenir un OID pour cet objet auprès de l'IANA (fortement conseillé). Un OID est une séquence de nombres entiers séparés par des points. Les OID sont alloués de manière hiérarchique de telle manière que seule l'autorité qui a délégation sur la hiérarchie "1.2.3" peut définir la signification de l'objet "1.2.3.4". Exemples d'OID : OID 2.5 2.5.4 2.5.6 1.3.6.1 1.3.6.1.4.14203 1.2.250.1.71 Description Référence au service X500 Définition des types d'attributs Définition des classes d'objets OID Internet OID OpenLDAP OID du GIP-CPS Tableau 2 : Exemples d'OID 2.1.2.2.4. La définition du schéma Il existe plusieurs formats pour décrire un schéma LDAP : • slapd.conf : fichier de configuration, • ASN.1 : utilisé dans les documents décrivant les standards LDAP et X500. • LDAPv3 : la version 3 du protocole LDAP introduit l'obligation pour un serveur de publier son schéma via LDAP, afin de permettre aux applications clientes d'en connaître le contenu. Le schéma est localisé par l'attribut opérationnel subschemaSubentry de l'entrée rootDSE. La valeur de cet attribut est une liste de DNs (Distinguished Name) qui pointent vers des entrées, dont la classe d'objet est subschema, dans lesquelles sont stockées les descriptions des objets et des attributs. Quand une entrée est créée, le serveur vérifie si sa syntaxe est conforme à sa classe ou ses classes d'appartenances : c'est le processus de Schema Checking. 2.1.2.2.5. Le Distinguished Name Chaque entrée est référencée de manière unique dans le DIT par son Distinguished Name (DN). Le DN représente le nom de l'entrée sous la forme du chemin d'accès depuis le sommet de l'arbre. On peut comparer le DN au path d'un fichier Unix par exemple. © GIP "CPS" Référence : DIR-CPS Interface_Acces v2.0 Page 11/30 Annuaire CPS – Interfaces d'accès Version 2.0 du 03 mars 2006 L'exemple ci-dessous présente de DN : dn: cn=0123456789+givenName=JEAN+sn=DUPONT,ou=012345678900, l=Paris (75), o=GIP-CPS, c=fr Le DN représente le chemin absolu d'accès à l'entrée. Comme pour le système de fichier Unix, par exemple, on peut utiliser un Relative Distinguished Name (RDN) pour désigner l'entrée depuis une position déterminée de l'arbre. 2.1.2.2.6. Le format LDIF LDAP Data Interchange Format (LDIF) permet de représenter les données LDAP sous format texte standardisé. Il est utilisé pour afficher ou modifier les données de la base. LDIF est utilisé dans deux optiques : • faire des imports/exports de la base, • faire des modifications sur des entrées. Une entrée de type personne se représente de la manière suivante : dn: cn=0123456789+givenName=JEAN+sn=DUPONT,ou=012345678900, l= Paris (75), o=GIP-CPS, c=fr givenName: JEAN serialNumber: 2000123456 sn: DUPONT ou: 012345678900 l: Paris (75) modeExercice: Liberal, exploitant ou commerçant postalCode: 75009 cn: 0184004802 st: PARIS LDAP utilise le jeu de caractères Unicode Transformation Format- 8 (UTF-8) pour le stockage des valeurs d'attributs de type texte et celui des DNs. UTF-8 englobant tous les jeux de caractères (isoLatin, Shift- JLS...), on peut employer différentes langues pour les valeurs d'attribut grâce à l'option language code de l'attribut (extension proposée par l'IETF). 2.1.3 Le modèle fonctionnel Les opérations de base sont résumées dans le tableau ci-dessous. Elles permettent d'accéder au serveur ou de modifier la structure de l'arbre et/ou les entrées de l'annuaire. © GIP "CPS" Référence : DIR-CPS Interface_Acces v2.0 Page 12/30 Annuaire CPS – Interfaces d'accès Opération Search Compare Add Modify Delete Rename Bind Unbind Abandon Version 2.0 du 03 mars 2006 Type d'action Recherche Comparaison Description permet d'effectuer une recherche d'attributs dans l'annuaire à partir de critères permet d'effectuer une comparaison du contenu de deux attributs permet d'ajouter une entrée permet de modifier le contenu d'une entrée Mise à jour permet de supprimer un attribut permet de modifier le DN d'une entrée permet effectuer une connexion au serveur Authentification & permet de se déconnecter du serveur contrôle permet d'abandonner une opération en cours Tableau 3 : les neuf opérations de base Remarque : l'opération extented permet de rajouter une opération en plus des opérations de base. L’opération ‘search’ est la seule opération qui puisse être faite sur l’annuaire du GIPCPS depuis l'internet pour la consultation des entrées (pages blanches, pages jaunes). Les autres opérations ne seront pas utilisées et donc pas présentées dans ce document. 2.1.3.1. La recherche avec la commande ldapsearch La commande ldapsearch est fournie en standard dans OpenLDAP. ldapsearch –h hostname –p port – s scope –b baseDN filter [attributes] • • • • • • hostname : correspond au nom de la machine sur laquelle pointe l'annuaire. Le hostname de l'annuaire du GIP-CPS est 'annuaire.gip-cps.fr'. port : correspond au numéro de port pour accéder à l'annuaire. Le port pour accéder à l'annuaire du GIP-CPS est le port 389 (standard). scope : correspond à la profondeur de recherche dans l'annuaire. baseDN : correspond à l'endroit de l'arbre où va commencer la recherche. attributes : correspond à la liste des attributs que l'on souhaite consulter. filter : correspond aux filtres qui peuvent être mise en place lors d'une recherche. Revenons plus en détail sur les points énoncés ci-dessus. • La baseDN Cette information permet de préciser l'endroit de l'arbre où doit commencer la recherche. • Les attributs Les attributs utilisables dans l'annuaire du GIP-CPS sont présentés dans le document [1]. © GIP "CPS" Référence : DIR-CPS Interface_Acces v2.0 Page 13/30 Annuaire CPS – Interfaces d'accès Version 2.0 du 03 mars 2006 Nous avons par exemple l'attribut personaltitle qui permet de définir la profession du personnel de santé ou encore l'attribut type de carte qui permet de connaître le type de carte du professionnel de santé. • Le scope Le scope définit la profondeur de la recherche dans le DIT. Le schéma ci-dessous présente les différentes portées d'une recherche en fonction de la base de recherche définie. Figure 2 : les différents scopes lors d'une recherche Le scope peut être donc "base", "one" ou "sub" selon le résultat souhaité. • Le filtre Le filtre de recherche s'exprime suivant une syntaxe spécifique dont la forme générale est : (< operateur>(< operation de recherche>)(< operation de recherche>)...) Ce filtre décrit une ou plusieurs conditions exprimées sous forme d'expressions régulières sensées désigner un ou plusieurs objets de l'annuaire, sur lesquels on souhaite appliquer l'opération voulue. Le tableau ci-dessous récapitule les opérateurs de recherche disponibles. © GIP "CPS" Référence : DIR-CPS Interface_Acces v2.0 Page 14/30 Annuaire CPS – Interfaces d'accès Filtre Approximation ~ Egalite = Comparaison >, >=,< , <= Présence * ET & OU | Négation ! Syntaxe (sn~=Martin) (sn=Martin) (sn>Martin) (sn=*) (&(sn=Martin)(ou=pharmacien)) (|(ou=pharmacien)(ou=pharmacien en formation) (!(typeCarte=CPS) Version 2.0 du 03 mars 2006 Interprétation correspond à une recherche dont le nom à une orthographe voisine de Martin correspond à une recherche dont le nom à une orthographe exactement égale à Martin correspond à une recherche où les noms sont situés alphabétiquement après Martin correspond à une recherche de toutes les entrées qui possèdent un attribut sn correspond à une recherche de toutes les entrées dont le nom est Martin et la profession pharmacien correspond à une recherche de toutes les entrées dont la profession est soit pharmacien, soit pharmacien en formation correspond à une recherche de toutes les entrées qui ne possèdent pas de carte CPS Tableau 4 : les opérateurs de recherche Valeurs usuelles pour l'annuaire du GIP-CPS : • adresse : "annuaire.gip-cps.fr" • port ldap : "389" (port standard) • port ldap sécurisé : "636" (port sécurisé standard) • baseDN : "o=gip-cps, c=fr" Exemple : prenons l'exemple de la recherche de tous les établissements de santé dans le département de la Creuse. La requête ldapsearch est la suivante : ldapsearch –h annuaire.gip-cps.fr –p 389 –s sub –b "l=Creuse (23), o=gip-cps, c=fr" "(objectclass=cpsStructure)" > structure_Creuse.ldif Remarque : A la fin de l'exécution de cette requête le message suivant est apparu : 'ldap_search: Sizelimit exceeded'. Ce message est dû au fait que la requête a été lancée en utilisant le profil PO (authentification anonyme et dans ce cas le nombre de réponse à une requête est limité à 10). Pour plus d'informations concernant les profils se reporter au document [2] qui décrit les différents profils de connexion et les droits associés correspondants. © GIP "CPS" Référence : DIR-CPS Interface_Acces v2.0 Page 15/30 Annuaire CPS – Interfaces d'accès Version 2.0 du 03 mars 2006 2.1.3.2. La recherche en utilisant l'outil Ldap Browser Editor 2.8.1 A titre d'exemple, nous allons rechercher toutes les personnes titulaires d'une carte CPS à partir du nœud GIP-CPS et afficher un certain nombre d'attributs : cn, nom, prénom, profession et code postal. • Pour rechercher des personnes, nous allons préciser au niveau du champ "Filter" la valeur : objectclass=cpsPersonne • Les éléments que l'on souhaite afficher doivent être précisés au niveau du champ "Attribute" Sélectionner le scope dans lequel la recherche va se porter. Cliquer sur le bouton "search". La fenêtre suivante apparaît : Le résultat de la requête est de la forme suivante : © GIP "CPS" Référence : DIR-CPS Interface_Acces v2.0 Page 16/30 Annuaire CPS – Interfaces d'accès Version 2.0 du 03 mars 2006 Remarque : Le nombre de réponses est limité à 10 car le profil utilisé est le profil P0. Ce profil correspond à une authentification anonyme. Pour plus d'informations concernant les profils se reporter au document [2] qui décrit les différents profils de connexion et les droits associés correspondants. Pour sauvegarder le résultat de la requête, il faut cliquer sur le bouton La fenêtre suivante apparaît : Dans le champ "LDIF file" préciser le nom du fichier résultat suivi de l'extension '.ldif' puis cliquer sur le bouton sauvegardé. afin de préciser l'endroit où le fichier résultat doit être Cliquer sur le bouton pour exporter les données. © GIP "CPS" Référence : DIR-CPS Interface_Acces v2.0 Page 17/30 Annuaire CPS – Interfaces d'accès Version 2.0 du 03 mars 2006 Lorsque l'export est terminé la fenêtre suivante apparaît : Le contenu du fichier est dans ce cas du type : dn: cn=0398765432+givenName=JEAN+sn=DUPONT,ou=Orthoptiste, o=GIP-CPS, c=fr givenName: JEAN sn: DUPONT personalTitle: Orthoptiste cn: 0398765432 dn: cn=0723456789+givenName=SOPHIE+sn=MARTIN,ou=Orthoptiste, o=GIP-CPS, c=fr givenName: SOPHIE sn: MARTIN personalTitle: Orthoptiste cn: 0723456789 Remarque : Il est possible que l'export du résultat d'une requête donne le résultat suivant : dn:: Y249MDQyMjYwMDE2MytnaXZlbk5hbWU9UEhJTElQUEUrc249U0FNVUVMLG91PUF1ZGlvLVBy b3Row6lzaXN0ZSwgbz1HSVAtQ1BTLCBjPWZy givenName: PHILIPPE sn: DURAND personalTitle:: QXVkaW8tUHJvdGjDqXNpc3Rl cn: 0422334455 Il faut savoir que les fichiers exportés au format 'ldif' respectent la norme LDIF. Pour certains attributs, dont la valeur comporte des caractères étendus comme des accents, le codage se fait en base 64. Pour pouvoir décoder ces attributs, il suffit d'utiliser un outil tel que 'Base-64 Encoding' par exemple. L'utilisation d'un tel outil va permettre de pouvoir obtenir le résultat suivant, beaucoup plus exploitable : © GIP "CPS" Référence : DIR-CPS Interface_Acces v2.0 Page 18/30 Annuaire CPS – Interfaces d'accès Version 2.0 du 03 mars 2006 dn: cn=0422334455+givenName=PHILIPPE+sn=DURAND,ou=Audio-Prothésiste, o=GIPCPS, c=fr givenName: PHILIPPE sn: DURAND personalTitle: Audio-Prothésiste cn: 0422600163 2.1.3.3. La recherche à partir du site web de l'annuaire du GIP-CPS A partir de ce site (http://annuaire.gip-cps.fr/), il est possible de faire les opérations de consultation suivantes : • pages blanches, • pages jaunes, • structure, • CRL. © GIP "CPS" Référence : DIR-CPS Interface_Acces v2.0 Page 19/30 Annuaire CPS – Interfaces d'accès Version 2.0 du 03 mars 2006 2.1.3.3.1. Recherche au niveau des pages blanches Une recherche au niveau des pages blanches va permettre de rechercher des informations concernant une personne dans un département donné (les champs 'Département' et 'Nom' étant obligatoires). Il est possible d'affiner la requête en précisant le secteur d'activité et la profession. Selon la profession sélectionnée, il est de nouveau possible d'affiner la requête en précisant la spécialité et les orientations particulières. Exemple de requête : consultation de toutes les personnes dont le nom commence par 'Dur' dans le département de l'Ain. © GIP "CPS" Référence : DIR-CPS Interface_Acces v2.0 Page 20/30 Annuaire CPS – Interfaces d'accès Version 2.0 du 03 mars 2006 Le résultat de la requête est le suivant : © GIP "CPS" Référence : DIR-CPS Interface_Acces v2.0 Page 21/30 Annuaire CPS – Interfaces d'accès Version 2.0 du 03 mars 2006 Remarque : Le nombre de réponses est limité à 10 car le profil utilisé est le profil P0. Ce profil correspond à une authentification anonyme. Pour plus d'informations concernant les profils se reporter au document [2] qui décrit les différents profils de connexion et les droits associés correspondants. 2.1.3.3.2. Recherche au niveau des pages jaunes Une recherche au niveau des pages jaunes va permettre de rechercher des informations concernant une profession dans un département donné (les champs 'Département' et 'Profession' étant obligatoires). Il est possible d'affiner la requête en précisant la spécialité et le secteur d'activité. Selon la spécialité sélectionnée, il est de nouveau possible d'affiner la requête en précisant les orientations particulières et les attributions complémentaires de la profession recherchée. Exemple de requête : consultation de tous les médecins dont la spécialité est la 'Médecine générale (polyvalente en milieu hospitalier)' et l'orientation particulière est 'homéopathie' dans le département de l'Ain. © GIP "CPS" Référence : DIR-CPS Interface_Acces v2.0 Page 22/30 Annuaire CPS – Interfaces d'accès Version 2.0 du 03 mars 2006 Le résultat de la requête est le suivant : Remarque : Le nombre de réponses est limité à 10 car le profil utilisé est le profil P0. Ce profil correspond à une authentification anonyme. Pour plus d'informations concernant les profils se reporter au document [2] qui décrit les différents profils de connexion et les droits associés correspondants. 2.1.3.3.3. Recherche au niveau des structures Une recherche au niveau des structures va permettre de rechercher des informations concernant les structures pour un département donné (le champ 'Département' étant obligatoire). Il est possible d'affiner la requête en précisant le secteur d'activité de la structure recherchée. Exemple de requête : consultation dans le département de l'Ain de toutes les structures dont le secteur d'activité correspond aux 'Cabinets individuels'. © GIP "CPS" Référence : DIR-CPS Interface_Acces v2.0 Page 23/30 Annuaire CPS – Interfaces d'accès Version 2.0 du 03 mars 2006 Le résultat de la requête est le suivant : © GIP "CPS" Référence : DIR-CPS Interface_Acces v2.0 Page 24/30 Annuaire CPS – Interfaces d'accès Version 2.0 du 03 mars 2006 Remarque : Le nombre de réponses est limité à 10 car le profil utilisé est le profil P0. Ce profil correspond à une authentification anonyme. Pour plus d'informations concernant les profils se reporter au document [2] qui décrit les différents profils de connexion et les droits associés correspondants. 3. Chargement des CRLs La mise à jour des CRLs se fait tous les jours ouvrés. Chaque CRL contient sa date d'effet ainsi que la date et l'heure prévisionnelle de publication de la CRL suivante. La période de validité des d'une CRL est de 2 jours ouvrés. Il existe deux canaux pour récupérer les CRLs du GIP-CPS : • Le canal HTTP avec le site nominal dont l'URL est 'annuaire.gip-cps.fr/crl/' • Le canal LDAP au travers d'un client LDAP en utilisant le hostname 'annuaire.gip-cps.fr' et le port '389'. Nous allons présenter chacun des canaux ci-dessous. 3.1. Le canal LDAP • 3.1.1. La commande ldapsearch Chargement de la CRL de classe 1 de la CPS2bis. ldapsearch -h annuaire.gip-cps.fr -p 389 -1 -s sub -b "ou=ac-classe-1, o=gip-cps, c=fr" "(objectclass=pkiCA)" certificateRevocationList;binary > crl-2bis-classe-1.ldif Pour charger les autres CRLs de la CPS2bis, il suffit de modifier le nom de l'unité organisationnelle "ou=ac-classe-1" par la classe que l'on souhaite charger. • Chargement de la CRL de classe 1 de la CPS2ter. ldapsearch -h annuaire.gip-cps.fr -p 389 -1 -s sub -b "cn=gip-cps classe-1, ou=gipcps professionnel, o=gip-cps, c=fr" "(objectclass=CPS-2ter-AC)" certificateRevocationList;binary > crl-2ter-classe-1.ldif La classe 1 de la CPS2ter se trouve sous l'unité organisationnelle "gip-cps professionnel". © GIP "CPS" Référence : DIR-CPS Interface_Acces v2.0 Page 25/30 Annuaire CPS – Interfaces d'accès Version 2.0 du 03 mars 2006 3.1.2. Avec LDAP Browser • Prenons l'exemple de chargement de la CRL de classe 1 de la CPS2bis. Cliquer sur le bouton puis préciser le nom du fichier qui contiendra la CRL de classe 1 et définir l'endroit ou ce fichier doit être sauvegardé en cliquant sur le bouton . © GIP "CPS" Référence : DIR-CPS Interface_Acces v2.0 Page 26/30 Annuaire CPS – Interfaces d'accès • Version 2.0 du 03 mars 2006 Prenons l'exemple du chargement de la CRL de classe 2 de la CPS2ter. Cliquer sur le bouton puis préciser le nom du fichier qui contiendra la CRL de classe 1 et définir l'endroit ou ce fichier doit être sauvegardé en cliquant sur le bouton . © GIP "CPS" Référence : DIR-CPS Interface_Acces v2.0 Page 27/30 Annuaire CPS – Interfaces d'accès Version 2.0 du 03 mars 2006 3.2. Le canal HTTP Le chargement des CRLs se fait à partir du site nominal http://annuaire.gip-cps.fr/crl/. Ce site permet de charger toutes les CRLs du GIP-CPS des cartes CPS2bis et 2Ter, les certificats serveur et les certificats de confidentialité. Prenons l'exemple du chargement de la CRL de classe 1 : AC-CLASSE-1.crl. Cliquer sur le bouton 'Téléchargement'. La fenêtre suivante apparaît : Cliquer sur 'Enregistrer' et sélectionner le répertoire destination souhaité : © GIP "CPS" Référence : DIR-CPS Interface_Acces v2.0 Page 28/30 Annuaire CPS – Interfaces d'accès Version 2.0 du 03 mars 2006 Cliquer sur 'Enregistrer' pour enregistrer le fichier. 3.2.2. Chargement des CRLs de la carte 2Ter Prenons l'exemple du chargement de la CRL de classe 1 : GIP-CPS CLASSE-1.crl. Cliquer sur le bouton 'Téléchargement'. La fenêtre suivante apparaît : Cliquer sur 'Enregistrer' et sélectionner le répertoire destination souhaité : © GIP "CPS" Référence : DIR-CPS Interface_Acces v2.0 Page 29/30 Annuaire CPS – Interfaces d'accès Version 2.0 du 03 mars 2006 Cliquer sur 'Enregistrer' pour enregistrer le fichier. © GIP "CPS" Référence : DIR-CPS Interface_Acces v2.0 Page 30/30
Documents pareils
Guide de configuration LDAP
IceWarp utilise LDBM comme base de données pour stocker les données.
Suffix
Cette ligne identifie le noeud principal de l'arbre sous lequel les données vont être stockées. Toutes les
connexions cli...