Annuaire LDAP

Posté par  . Modéré par Nÿco.
Étiquettes :
0
10
mar.
2003
Technologie
Je cherche aujourd'hui des infos et des expériences sur le sujet LDAP en entreprise. OpenLDAP me direz-vous ? Oui mais.... je dirais.... Prenons en effet comme contexte de travail celui d'une entreprise où coexistent déjà des serveurs/postes/stations Unix/Linux/Windows et où on cherche à mettre en place un annuaire LDAP unique (ou un nombre le plus restreint possible) pour toute la société.
D'après mes recherches sur le Net OpenLDAP devient peu à peu une référence dans le monde Unix/Linux (il existe aussi l'annuaire de Netscape, I-Planet de Sun ou eDirectory de Novell) mais essayons de creuser une solution la plus OpenSource possible.... le problème vient que du coté Windows Active Directory est vissé dans Windows avec un schéma un peu plus étendu que la normale.

Donc pour moi en entreprise il y a donc trois solutions :

- Solution de facilité (j'ai peur que certaines sociétés utilise cette solution qui nous lie encore un peu plus à Micro$oft en liant DNS+LDAP+....) :

==> Utiliser l'Active Directory en utilisant les modules NSS_LDAP (ou PAM_LDAP c'est du meme tonneau) pour se connecter sur Unix

- Solution complexe mais qui garde une marge de manoeuvre vis à vis de Microsoft tout en le faisant fonctionner avec des outils propres :

==> Utiliser OpenLDAP pour la partie Unix/Linux
==> Utiliser ActiveDirectory pour la partie Windows
==> Synchronisation par extraction LDAP entre les deux avec des scripts

- Solution simple qui évite d'utiliser au maximum les mécanismes de Microsoft mais assez risquée au niveau pérennité (il faut maintenir le produit et éviter que microsoft ajoute des éléments de contournement dans ses services Packs)

==> Utiliser OpenLDAP pour la partie Unix/Linux
==> Dégager la GINA de Microsoft et la remplacer par la pGina pour s'authentifier sur un annuaire LDAP "pur"

Avez-vous mis en place de telles choses ?
Avez-vous des avis sur la question ?
Qui peut faire des tests et nous tenir informer ?

Aller plus loin

  • # Re: Annuaire LDAP

    Posté par  (site web personnel) . Évalué à -7.

    Ca vaut pas de quoi faire une news et encore moins de première page.
    Ca vaudrait un journal si vous voulez mon avis.

    Et bon tant pis, je vais me prendre des XP négatifs mais si je vends une Austin Mini, je peux passer une news en première page ? :)))
    • [^] # Re: Annuaire LDAP

      Posté par  . Évalué à 10.

      Rien que la table des matières demande plus d'effort que 1/3 des infos généralements diffusées sur internet.
      Je ne comprend pas ta remarque. A vrai, je la trouve même particulièrement déplacée.
      Un article pareil devrait être publié dans gnulinuxmag plutôt.

      * Table des matières
      * Introduction
      * l'existant
      o X.500
      o les annuaires en exploitation
      * LDAP
      o Modèles
      o Réplication LDAP
      o Subschema
      o RootDSE
      o Définitions
      o habilitations
      o Connexion à l'annuaire (bind)
      * Compilation, Installation d'Openldap
      o Berkeley DB
      o Openldap
      o Package Openldap RPM
      * Exploitation
      o Modifier le schéma
      o Modifier une entrée, outils shell ldap*
      o Dump et restore de la base
      * Développement
      o concepts
      * Authentification système Unix, connexion à un système
      o Objectifs
      o Authentification système traditionnelle Unix
      o Authentification système NIS+
      o PAM
      o NSS et Pam ldap, outils d'authentification système par LDAP
      * Mise en oeuvre de l'authentification système par LDAP
      o Tcpd
      o lancement
      o configuration
      o Mot de passe administrateur
      o Première initialisation des données
      o Migration des Données système (nis) vers ldap
      o Authentification système
      o Automount (NEW)
      o Contrôle d'accès host
      * Replication
      o Compte de replication
      o Configuration du maître
      o Configuration de l'esclave
      o Mise en place
      o Démonstration
      o Configuration PAM
      * Réplication Partielle (NEW)
      o Principes
      o Initialisation du replica
      o Compte de replication partiel
      o Extraction du subtree ou=people
      o Initialisation du replica
      o Configuration du master
      o Configuration du replica partiel
      o Demarrage et test
      * Groups
      o Création des groupes
      o ACL
      o Exemple d'utilisation
      * Trucs et astuces
      o Index
      o Récuperer le champs userPassword
      o Acces au schema par ldap
      o Erreurs stupides !
      * Références
      • [^] # Re: Annuaire LDAP

        Posté par  . Évalué à 7.

        J'ajouterais:
        * Utilisation de LDAP dans des programmes.
        o Buts.
        o Exemple en C.
        - avec Innosoft LDAP Client SDK.
        - avec U-M LDAP SDK.
        o Exemple en JAVA.
        - avec JNDI.
        o Exemple en PERL.
        o Exemple en COM.

        Remarque: non exhaustif.
        • [^] # Re: Annuaire LDAP

          Posté par  (Mastodon) . Évalué à 3.

          Et encore :
          o Exemple en JAVA.
          - avec JNDI.

          - pourquoi éviter JNDI
          - avec l'API Novell d'OpenLDAP
          ...
          o exemples en PHP
          o utiliser les contrôles

          etc.
          • [^] # Re: Annuaire LDAP

            Posté par  . Évalué à 1.

            > - pourquoi éviter JNDI ?

            Oui pourquoi ?
            C'est pas bien JNDI, j'étais pas au courant.
            On peut avoir plus d'info à ce propos ?
            • [^] # Re: Annuaire LDAP

              Posté par  . Évalué à 0.

              C'est du Java (comme l'indique le J).
            • [^] # Re: Annuaire LDAP

              Posté par  (Mastodon) . Évalué à 1.

              Et bien nous avions fait quelques tests avec l'implémentation d'IBM, et elle s'était révélée contre-performante (elle faisait des vérifications qui entrainaient un overhead important, et elle multipliait les connexions à l'annuaire). Pour une même utilisation, une API purement LDAP était nettement plus performante.
              Le pb de JNDI, c'est que c'est l'implémentation d'un concept d'annuaire qui possède une "personnalité" LDAP, ce qui revient à faire une encapsulation. J'estime que conceptuellement, il est plus propre de faire du LDAP (avec l'API ad hoc) directement.

              NB : les tests portaient sur une appli. qui faisait juste des authentifications.
              • [^] # Re: Annuaire LDAP - précision

                Posté par  (Mastodon) . Évalué à 1.

                Pour être tout à fait complet, je dois ajouter que "l'API purement LDAP" utilisée dans le test JNDI vs LDAP natif a été également la sous-couche LDAP de l'implémentation JNDI utilisée !
                On ne pouvait donc pas rejeter les problèmes de performance sur cette couche.
      • [^] # Re: Annuaire LDAP

        Posté par  (site web personnel) . Évalué à 0.

        Un article pareil devrait être publié dans gnulinuxmag plutôt.
        On est d'accord, ce n'est pas une news, il est donc mal placé

        Et sinon la news est mal rédigée, il faudrait mieux dire "j'ai fait un article sur LDAP et je cherche ..." plutot que de dire "Je cherche aujourd'hui des infos et des expériences sur le sujet LDAP en entreprise"

        Les deux approches ne sont pas pareilles

        PS: Merci pour ce copier coller fort intéressant de la table des matières
        • [^] # Re: Annuaire LDAP

          Posté par  . Évalué à 0.

          « On est d'accord, ce n'est pas une news, il est donc mal placé »

          On est de toute évidence pas d'accord sur l'esprit même sur linuxfr.org. Pour toi, c'est un site de « news », avec tout ce que l'emploi d'un anglicisme dans un contexte où il n'enrichit pas sous-entend.
          Pour moi, c'est un site où l'on trouve des informations. Qui peuvent être des dépêches, des éditos ou encore... des articles.

          Concernant le sujet de la dépêche, je reconnais que la formulation aurait largement gagnée à être un peu revue.

          « PS: Merci pour ce copier coller fort intéressant de la table des matières »

          Tu peux faire de l'humour à ce sujet, si j'étais toi je m'abstiendrais pourtant de ramener la discussion sur un sujet sur lequel j'avais parfaitement tort.

          En effet, tu as écris dans ton premier message :
          « Ca vaut pas de quoi faire une news et encore moins de première page.
          Ca vaudrait un journal si vous voulez mon avis. »

          Je doute que tu trouves grand monde qui agrée à ce que tu sous-entend maintenant : à savoir qu'en disant « ça vaudrait un journal », tu voulais dire que tu trouvais cet article riche et touffu. Je pense plutôt que tu n'avais pas suivi le premier lien.

          L'intérêt du copier-coller n'était donc pas de dupliquer de l'information. Si tel était le cas, ce message n'aurait pas répondu au tien. Non, son but était de mettre en lumière très clairement - et je pense qu'on peut difficilement faire mieux - le caractère inapproprié de ta remarque, soulignant l'importance du travail effectué, qui décemment serait pas à sa place dans les sombres journaux des utilisateurs de linuxfr.
          • [^] # Re: Annuaire LDAP

            Posté par  (site web personnel) . Évalué à 2.

            Bon dans ce cas je vais mieux expliquer ce que je pense Concernant le sujet de la dépêche, je reconnais que la formulation aurait largement gagnée à être un peu revue. C'est évidemment ca qui pose problème En gros, l'énoncé de la news le transforme en simple recherche d'infos supplémentaires, donc quelque chose qui irait plus à voir avec les journaux (style est-ce que ce matos est supporté, je cherche une solution pour faire un partage de connexion Internet, voici une news sympa qu'on a refusé de modérer), et je ne préjuge pas de la qualité de ces dit journaux, ils apportent très souvent des lectures intéressantes, simplement ils ont un ton plus léger. ... alors que ca aurait pu montrer ce qu'en est la doc (cad bcp d'infos utiles) Et pour l'histoire de la mini, je prendrais en citation la news Je cherche aujourd'hui des infos et des expériences sur le sujet LDAP en entreprise. OpenLDAP me direz-vous ? Oui mais.... je dirais.... Prenons en effet comme contexte de travail celui d'une entreprise où coexistent déjà des serveurs/postes/stations Unix/Linux/Windows et où on cherche à mettre en place un annuaire LDAP unique (ou un nombre le plus restreint possible) pour toute la société. Franchement ...
        • [^] # Re: Annuaire LDAP

          Posté par  . Évalué à 0.

          J'ajoutes que ton « si je vends une Austin Mini, je peux passer une news en première page » enterre définitivement ton argumentation sur le fait qu'il s'agisse d'un article et que les articles n'auraient pas la place sur linuxfr. Devons-nous faire la démonstration que cette phrase signifiait que tu considérais cet article comme vide, sans aucun intérêt ?
          • [^] # Re: Annuaire LDAP

            Posté par  . Évalué à 3.

            Je pense comme lui que venir demander des infos sur openldap, c'est beaucoup pour une news de première page. A moins bien sûr que j'ai mal compris le principe du «site d'actualités», je vois mal le rapport avec ce qui bouge dans le monde du logiciel libre. C'est un peu comme si les chroniques de cinéma passaient en première page, si tu veux. Bon évidemment, en lisant on se rend compte qu'il a déjà travaillé sur la question et alors oui une news peut l'aider à obtenir des contributions. Mais il a franchement foiré le texte de sa news et en la lisant j'ai eu la même impression que philippe le trolleur. Mes 2 centimes...
    • [^] # Re: Annuaire LDAP

      Posté par  (site web personnel) . Évalué à 10.

      Il s'agit de la section RTFM, spécialement dédiée aux appels à commentaires.

      LDAP et l'interopérabilité sont suffisamment importants pour modérer la question (plutôt bien rédigée, pas gratuite, et force est de consater que c'est le résultat d'une petite enquête) et en première page.

      Bien entendu, je peux me tromper.
  • # Re: Annuaire LDAP

    Posté par  . Évalué à 10.

  • # Autre solution

    Posté par  . Évalué à 8.

    Jai déjà vu cette question quelquepart, moi ..... et j'ai donc déjà répondu qu'il existe une autre variante (je connais pas pGina): Passer par Samba pour les postes Windows, puisque les versions récentes de Samba savent tout à fait causer à un LDAP.

    Sinon, je maintiens aussi que OpenLDAP c'est bien, et qu'un annuaire bien fait peut vraiment centraliser toute l'administration d'une entreprise, des comptes utilisateurs à la génération de "doc administrative" (noms, adresses, numéros de telephone, etc...) en passant par les comptes mails, la PKI, les groupes, etc......
    • [^] # Re: Autre solution

      Posté par  (site web personnel) . Évalué à 4.

      Normal que tu es vu la question qq part.... c'est la meme personne qui a pose la question ;-)

      pGina est un remplacement OpenSource de la GINA de microsoft, elle permettrait (j'ai pas essayé et j'apprécierais que quelqu'un essaye et nous dise quoi) de se connecter à un annuaire LDAP standard

      GINA cela signifie "Graphical Identification and Authentication" (http://www.laboratoire-microsoft.org/dicos/dicos/20.asp(...)), en gros pGina remplace le logon standard de microsoft par un OpenSource (comme le client Novell le fait)

      Pour info je connais bien Samba.... merci.... je sais qu'on peut le connecter à LDAP.... mais quid de l'authentification des postes windows NT/2000 ? Tu créés des comptes locaux sur toutes les machines ? D'où ma question.....

      Je sais qu'OpenLDAP fonctionne (nombre d'utilisateurs dans ton annuaire ?) mais ma question serait plus de trouver une solution qui fonctionne en milieu hétérogène
      • [^] # Re: Autre solution

        Posté par  . Évalué à 6.

        pGina est un remplacement OpenSource de la GINA de microsoft, elle permettrait (j'ai pas essayé et j'apprécierais que quelqu'un essaye et nous dise quoi) de se connecter à un annuaire LDAP standard

        Bah des que je suis d'humeur a flinguer un Windows, j'essaie..... mais bon, va déjà falloir que je soie d'humeur à en démarrer un......

        Pour info je connais bien Samba.... merci.... je sais qu'on peut le connecter à LDAP.... mais quid de l'authentification des postes windows NT/2000 ? Tu créés des comptes locaux sur toutes les machines ? D'où ma question.....

        Non, tu crées une fiche sur le LDAP (avec plein de champs qui vont bien, mais y'a moyen d'automatiser ca par des scripts, IdealX fournit une flopée de scripts "a sa sauce" et j'avais commencé à étudier le développement de quelques scripts qui simplifient la vie, c'est pas tres dur), et zou, t'as le compte UNIX, le compte mail et le compte Windows qui existent.

        Seul impératif actuellement: un premier login sous UNIX pour créer le homedir (par pam_mkhomedir), mais meme ca ca doit pouvoir se configurer/bricoler.

        Apres, je sais pas si j'ai acces a toutes les subtilites, pour ce que je fais d'un Windows, mais je peux me connecter depuis le Win, en m'authentifiant sur le domaine, et mon profil est bien créé dans le homedir sur le serveur.....

        Je sais qu'OpenLDAP fonctionne (nombre d'utilisateurs dans ton annuaire ?) mais ma question serait plus de trouver une solution qui fonctionne en milieu hétérogène


        Euh, dans mon LDAP a moi perso que j'ai, ca doit pas dépasser les 4 utilisateurs, mais je connais d'autres annuaires OpenLDAP qui tournent avec plusieurs milliers de comptes (désolé, je peux pas divulguer plus d'infos dessus). Et dans plusieurs de ces cas (dont le mien, "pour tester"), c'est en environnement hétérogène.
        • [^] # Re: Autre solution

          Posté par  (site web personnel) . Évalué à 4.

          Non, tu crées une fiche sur le LDAP (avec plein de champs qui vont bien, mais y'a moyen d'automatiser ca par des scripts, IdealX fournit une flopée de scripts "a sa sauce" et j'avais commencé à étudier le développement de quelques scripts qui simplifient la vie, c'est pas tres dur), et zou, t'as le compte UNIX, le compte mail et le compte Windows qui existent.

          Seul impératif actuellement: un premier login sous UNIX pour créer le homedir (par pam_mkhomedir), mais meme ca ca doit pouvoir se configurer/bricoler.

          Apres, je sais pas si j'ai acces a toutes les subtilites, pour ce que je fais d'un Windows, mais je peux me connecter depuis le Win, en m'authentifiant sur le domaine, et mon profil est bien créé dans le homedir sur le serveur.....


          Donc tu utilise Samba comme PDC et tes windows 2000 ne sont pas en mode natif mais en mode compatibilite NT en gros.... (je viens de relire ton mail)
          • [^] # Re: Autre solution

            Posté par  . Évalué à 2.

            Donc tu utilise Samba comme PDC et tes windows 2000 ne sont pas en mode natif mais en mode compatibilite NT en gros....

            Euh... je suis pas un expert Microsoft, donc je peux pas te garantir.....

            Je sais que, coté Win, j'ai fait (du moins en apparence) à peu près la meme chose sous un 98 que sous un XP, sauf que coté XP j'ai du changer une valeur dans la base de registre (quoique j'ai du refaire d'autres modifs apres, donc si ca se trouve, c'est pas indispensable).....

            Mais je n'ai pas eu un gros warning "attention, vous etes sur le point d'utiliser le mode obsolète de compatibilité NT qui est pas bien".............
          • [^] # Re: Autre solution

            Posté par  . Évalué à 2.

            oui tout a fait, pour l'instant samba ne peut authentifier des postes 2000/XP qu'en mode NT4.
            samba 3 (version cvs alpha) peut joindre un domaine active directory en tant que serveur membre, et partager des ressources, mais pas encore agir en tant que controleur AD
            mais les avancées sont importantes et a terme il le fera, en effet tout les composants nécessaires sont là :
            samba
            openldap
            MIT kerberos

            reste aux developpeurs de samba a faire le boulot de développement et d'intégration
        • [^] # Re: Autre solution

          Posté par  (site web personnel) . Évalué à 4.

          Seul impératif actuellement: un premier login sous UNIX pour créer le homedir (par pam_mkhomedir), mais meme ca ca doit pouvoir se configurer/bricoler.

          Les scripts d'Idealix a priori permettent de créer automatiquement la home directory, sans aucun soucis.
          ex : ./smbldap-useradd.pl -m

          Pour ma part par soucis de simplicité pour les administrateurs Windows souhaitant ajouter des Users Windows dans l'annuaire, j'ai des scripts via un serveur HTTPS, qui permettent également des créer de nouvelles entrées LDAP ainsi que leur home directory et maildir !

          En revanche c'est clair que l'intégration des machines de type Windows 2000 Serveurs, Windows 2000 Pro et Windows XP nécissitent un "bidouillage" dans la base de registre, qui ne semble en surface ne pas poser de problème, mais ...


          PS: au fait vanhu, when you want pour qu'on finisse La doc !!!!
      • [^] # Re: Autre solution

        Posté par  (site web personnel) . Évalué à 1.

        http://pgina.cs.plu.edu/index.html(...)

        juste pour faire gagner du temps.
        Le programme est numérté en 1.6, ce qui signifie qu'il est stable, je pense.

        quelqu'un a déja essayé ?
  • # Re: Annuaire LDAP

    Posté par  (site web personnel) . Évalué à 4.

    J'ai mis en place dans une société un annuaire LDAP basé sur
    OpenLDAP selon le 2ème schéma, à savoir :

    - OpenLDAP sous Unix (pour l'accès à l'Intranet, la gestion des
    droits sur le Squid, l'accès aux machines Unix, l'accès aux
    ressources Samba)
    - ActiveDirectory sous Windows (pour l'accès aux clients Windows,
    le courrier électronique)

    Le tout est synchronisé par des scripts.
    Cela marche sans pb. (jusqu'à présent) dans une société de
    100 machines clientes sous Windows, et 100 autres sous MacOS
    (pas MacOSX : MacOS avec AFP pour la gestion Unix)
    • [^] # Re: Annuaire LDAP

      Posté par  (site web personnel) . Évalué à 1.

      Tu synchronise dans les 2 sens ? Ou seulement de Win vers Linux ou Linux vers Win ?

      Tes scripts interrogent l'un (les deux) par des demandes LDAP ou par un autre moyen ?
      • [^] # Re: Annuaire LDAP

        Posté par  (site web personnel) . Évalué à 2.

        Je ne synchronise que dans un sens : d'Unix vers Windows.

        Pour un changement de mot de passe par exemple, l'utilisateur
        doit se connecter sur le serveur Unix via l'Intranet & PHP, y
        change son mot de passe, et ensuite un script va faire la modif'
        sur le serveur Windows.

        Pour la synchronisation d'Unix vers Windows, tout se passe
        au travers de l'interface HTTP livrée avec le module jeneme-
        souviensplusdunom sous Windows.
  • # Quelques URL que je n'ai pas pu mettre...

    Posté par  (site web personnel) . Évalué à 7.

    En farfouillant encore dans mes bookmarks j'ai encore les éléments suivants :

    Encore de la DOC
    http://www.cru.fr/ldap/(...)
    http://www.microsoft.com/windows2000/techinfo/planning/activedirect(...)

    Des browsers Java qui permettent de "voir" ce qu'on fait.... voir plus
    http://www.iit.edu/~gawojar/ldap/(...)
    http://www.pegacat.com/jxplorer/(...)
  • # Re: Annuaire LDAP

    Posté par  . Évalué à 5.

    <mon exp>

    Bon alors, j'ai justement déjà été confronté à ce problème.
    Archi : réseau NT pour les postes en local, serveur HP-UX et une équipe archi pro-libre (c/libre/open-source/gnu...)

    Ca a été vite réglé :

    Deux "vieux" pc (PII 500 Mhz 512 Mo RAM) dédié, openBSD (saurais pas dire quelle version) et openLDAP. Une balance TCP entre les deux en cas de plantage et rulez => User + de 5000.

    Pour active directory la solution choisi a été de faire des extractions LDIF automatique (avec rechargement auto aussi ;)). Entre les deux openLDAP, un outil assure la synchro.

    Voila

    </mon exp>
    • [^] # Re: Annuaire LDAP

      Posté par  (site web personnel) . Évalué à 2.

      Tu as utilisé quoi comme balance TCP ?
    • [^] # Re: Annuaire LDAP

      Posté par  . Évalué à 2.

      Pour active directory la solution choisi a été de faire des extractions LDIF automatique (avec rechargement auto aussi ;)). Entre les deux openLDAP, un outil assure la synchro.

      Comment avez vous choisit de faire les extraction LDIF ? Vous avez réalisé vos propres scripts ?

      Et qu'elle est l'outils utilisé pour la synchro entre les deux openLDAP ?
      • [^] # Re: Annuaire LDAP

        Posté par  . Évalué à 1.

        Et qu'elle est l'outils utilisé pour la synchro entre les deux openLDAP ?

        Je suppose qu'il a utilisé slurpd: c'est un outil spécifique de .... réplication d'annuaire :-)
        • [^] # Re: Annuaire LDAP

          Posté par  . Évalué à 2.

          Pour la réplication d'annaire openLDAP, je dirais la même chose, c'est surtout la réplication AD<->OpenLDAP que je me pose la question :)
  • # Licence D'utilisation

    Posté par  (site web personnel) . Évalué à 3.

    J'ai eu beau chercher, je n'ai trouver aucune licence (libre, restreinte, fermée ...). L'auteur pourrait-il nous renseigner sur la chose, ou ajouter la mention légale dans le document directement ? Merci d'avance :)
  • # Deux URLs supplémentaires :

    Posté par  (site web personnel) . Évalué à 3.

    Cet article m'a valu quelques mails interessants..... donc je partage :

    http://acctsync.sourceforge.net/(...)
    http://www.samag.com/documents/s=7666/sam0211f/0211f.htm(...)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.