Journal LDAP, c bien ?

Posté par  (site web personnel) .
Étiquettes : aucune
0
21
oct.
2004
Bonjour,
je fait partie d'une asso dont l'intéret principal est de gérer le réseau de la résidence universitaire locale.
pour le moment les scripts de firewall/ de dhcp/ du bind et du samba sont modifiés par des scripts internes.

le pb est que le serveur principal est encore en 2.2 (firewall sous ipchains)
et que certains scripts nécessitent une mise à jour importante.

De plus il ya plusieurs serveurs et la conf est recopiées aussi par des scripts internes tout moches.

On m'a parlé de LDAP, qu'il pouvait interfacer des serveurs dhcp, samba ...
et qu'il permettait de tout centraliser et de mettre à jour facilement.

est-ce que c vrai ?
est ce que c'est si bien que ça ?
est-ce que vous connaissez un projet ou ceci serait déja implémenté ?

  • # oui

    Posté par  . Évalué à 1.

    oui les serveurs SAMBA et DHCP peuvent s'interfacer avec un serveur LDAP.

    Est ce que c'est bien ? bonne question, et tu auras probablement toute les réponses.
    Disont que ca va te permettre de centraliser les données (utilisateurs ou autres) sur LDAP.

    A toi de voir si sur le principe ca te convient.

  • # LDAP c'est bon mangez-en

    Posté par  . Évalué à 2.

    Salut,

    ben perso, j'interface entre autre les utilisateurs Samba/Linux ainsi que la config DHCP dans un annuaire LDAP, et j'en suis très content. C'est propre, facilement sauvegardable. D'ailleurs, depuis que je l'utilise, ma productivité s'est "enlargée" de 142%, et mon lama nain de Papouasie a le poil plus soyeux.

    Plus sérieusement, voici quelques liens qui devraient te servir :

    LDAP+DHCP : http://www.xenux.net/index.php?article=28&skin=skin1(...)
    LDAP+Samba : http://www.unav.es/cti/ldap-smb-howto.html(...)
    et surtout les smbldap-tools, incoutournables : http://www.idealx.org/prj/samba/index.fr.html(...)

    Si t'as besoin d'exemples de config précises, demande toujours.

    • [^] # Re: LDAP c'est bon mangez-en

      Posté par  (site web personnel) . Évalué à 1.

      ok
      merci pour les liens, il faut un serveur dhcp patché ?
      j'avait déja regardé IdealiX mais le serveur samba est je dirait moins prioritaire que le dhcp, le bind ou le firewall !
      (pas de changements des fichiers de conf à caque nouvelle machine)

  • # Si LDAP c etait bien

    Posté par  (site web personnel) . Évalué à -3.

    Si LDAP c etait bien, les élèves (dont moi) et les profs (!!!) d'informatique de ma fac pourraient se logguer depuis longtemps... Mais là, on attend encore d'avoir acces à nos comptes...

    Avouez que ca le fait des Licences et de Masters qui peuvent pas se logguer sur leur compte à la fac car le serveur LDAP fait des siennes (d'après ce que j ai compris d'un prof).

    C‘etait mon coup de gueule, pardon, mais c'est lié au journal...

    • [^] # Re: Si LDAP c etait bien

      Posté par  (site web personnel) . Évalué à 1.

      Si ldap c'était vraiment bien, et bien ça aurait tenu mieux que ça les quelques soucis, reboots malheureux, et autres crashs intempestifs ...

      Ldap sur Woody, depuis quelques semaines, ldap crashe régulièrement (base visiblement corrompue) mais de manière insidieuse (pas 'kill sigfault', non, juste des connexions affreusement lentes et échouant 90% du temps)
      puis soudain, plus rien, plus de données, les fichiers sont là mais ldap refuse de les ouvrir etc.

      Et quand à restaurer le dump, ca prends du temps, trop de temps à mon gout ...

      Bref, mauvaise expérience avec ldap, désolé ...

      • [^] # Re: Si LDAP c etait bien

        Posté par  . Évalué à 4.

        Heu, vous parlez de LDAP, le protocole, ou de son implémentation sur un logiciel comme openldap ?

        • [^] # Re: Si LDAP c etait bien

          Posté par  (site web personnel) . Évalué à 1.

          En effet, je parle d'openldap de woody, qui, bien qu'étant dynausoresque, reste problématique ...

          ... Je connais d'autres logiciels qui tout en étant dinausoresques n'en étaient pas problématiques à ce point pour autant (genre mysql-server, apache 1 ...)

          D'où ce manque de confiance en openldap. De plus, la mise à jour en backports pose de nombreux problèmes de ce côté, une migration vers mysql s'est donc naturellement imposée, pour des questions de stabilité dans le temps, ainsi que de faible consommation d'I/Os.

          • [^] # Re: Si LDAP c etait bien

            Posté par  . Évalué à 3.

            chaque logiciel est différent, et il se trouve que OpenLDAP 2.0.x n'est pas considéré par ses développeurs comme une version utilisable.

        • [^] # Re: LDAP c'est bien, et ça se sait !

          Posté par  (Mastodon) . Évalué à 2.

          Je trouve que l'amalgame : 
          LDAP (un protolcole)             une (très) vieille version non maintenue
et                           =   et
les serveurs l'implémentant      un admin. pas top
          est effectivement un peu abusif ...

      • [^] # Re: Si LDAP c etait bien

        Posté par  (site web personnel) . Évalué à 0.

        Effectivement le slapd version woody (et même pendant un bout de temps sur sarge), et impossible d'en trouver la cause: sur des suppression/ajout/edition dans l'arbre, la requete ne finissait pas et le serveur LDAP ne répondait plus à aucune requete, un slapcat s'arretait dès le début, à croire qu'il n'y avait plus rien dans le LDAP. Depuis un certain temps, j'ai changé de backend LDAP avec ldbm (au lieu de dbm). Il n'est pas recommandé par les auteurs de OpenLDAP mais les debianistes le trouvent assurément plus stable. Depuis que je l'ai mis, plus aucun blocage de requete. Mais de toute façon, avec les versions récentes de la sarge, c'était de moins en moins fréquent (mais quand même random). D'ailleurs, cela m'a permis d'optimiser le backup:
        Comment restaurer un serveur LDAP en moins de 5min ?
        - Etape 1: faire une sauvegarde dans un fichier LDIF de manière journaliere (un slapcat dans un cron par exemple).
        - Etape 2: au moment du crash, arreter le serveur LDAP (de toute manière il répond à aucune requete). Virer tous les *.db dans /var/lib/ldap, et faire un slapadd du fichier LDIF de backup.
        - Etape 3: redémarrer le serveur LDAP.
        D'ailleurs avec un peu de dextérité, en 1min c'est fait ;)

      • [^] # Re: Si LDAP c etait bien

        Posté par  . Évalué à 5.

        vous me faites marrer les gars :

        slapd (2.0.23-6.3) [security]
        OpenLDAP server (slapd).


        2.0.23 !!

        Bon dieu allez trainer sur la ML OpenLDAP, si vous dîtes "j'ai un souci avec la 2.0.23", ils vont répondre "cete version est une antiquité qui ne peut convenir qu'à un conservateur de musée ou un spécialiste de la préhistoire, nous vous suggérons d'upgrader vers une version datant du siècle actuel, comme une 2.2.x par exemple"

    • [^] # Re: Si LDAP c etait bien

      Posté par  . Évalué à 5.

      Ca serait quand même bien de rappeler que la stabilité et la sécurité d'un système sont plus souvent liés à l'admin qu'au système lui-même...

      Avec des raisonnements comme ça, on va pas bien loin...

  • # LDAP réseau étudiant

    Posté par  . Évalué à 2.

    Tu parles de réseau étudiant, ça me parle :)
    A l'ENST Bretagne (ResEl), nous avons interfacé le LDAP avec le firewall, bind, dhcp, nos scripts d'inscription maison, notre interface d'administration, et de l'authentification apache-ssl un peu partout.

    Cela marche très bien, sauf évidemment que le LDAP devient le point de faiblesse du système entier, c'est pourquoi il faut mieux monter un réplicat pour éviter toute mauvaise surprise (exemple la mise à jour de libsasl7 sous woody qui faisait segfaulter le LDAP).

    Tu peux nous contacter sur #resel sur Rezosup, et également sur #federez lieu de discussion avec d'autres assoces de réseaux étudiants.

    • [^] # Re: LDAP réseau étudiant

      Posté par  . Évalué à 1.

      L'interfacage avec le firewall j'ai un peu de mal à voir l'intérêt, à moins que tu ne parles d'un firewall avec authentification. Tu peux donner plus de détails ?

      • [^] # Re: LDAP réseau étudiant

        Posté par  . Évalué à 3.

        Les machines des étudiants sont inscrites dans le ldap, avec l'ip et la mac associée.

        Le firewall n'autorise l'accès à internet qu'à un couple mac/ip spécifié. Donc un spoof d'ip ne permettra pas d'aller sur le net, de même une machine non enregistrée sera redirigée sur un site d'inscription.
        Le propriétaire est alors invité à saisir ses login/password pour ajouter une machine.

        • [^] # Re: LDAP réseau étudiant

          Posté par  (site web personnel) . Évalué à 1.

          aurais-tu une documentation sur l'interfaçage du firewall avec LDAP ? Parce que cela m'intéresse.

          • [^] # Re: LDAP réseau étudiant

            Posté par  . Évalué à 2.

            aurais-tu une documentation sur l'interfaçage du firewall avec LDAP ?

            pas de documentation
            disons que c'est "juste" un script perl qui va bien, qui fait les requêtes ldap et qui ajoute les règles en fonction des résultats.
            Une fois le tableau récupéré du ldap, poru chaque couple :
            system( "$IPTABLES -t filter -A int_to_ext_$trange -s $ip -m state --state NEW -m mac --mac-source $mac -j ACCEPT");

            Je vais pas copier tout le script ici, tu peux nous contacter par irc pour plus de détails.

            • [^] # Re: LDAP réseau étudiant

              Posté par  . Évalué à 0.

              Effectivement, je ne pense pas , mais je peux me tromper, qu'il existe de FW qui aille directement lire EN TEMPS REEL les regles dans LDAP (tout au plus va t il les lires pour les charger toutes d'un coup).

              Sinon, imaginer les temps de latence !

              A chaque paquets réseau -> une requette LDAP -> meme avec une Implémentation qui tue sur une machine de mort -> gros lag

              • [^] # Re: LDAP réseau étudiant

                Posté par  (site web personnel) . Évalué à 1.

                heula !
                suffit de rajoutter une regle à chaque nouvelle machine.
                le truc c'est que là elles sont stockées dans une bdd mysql et qu'on se préparait à faire un script à la main mais si LDAP marche bien, ca doit pas etre dur de lire la bdd mysql pour remplir LDAP et d'utiliser LDAP ensuite ...

        • [^] # Re: LDAP réseau étudiant

          Posté par  . Évalué à 1.

          OK, mais ces 2 trucs peuvent être faits via une configuration de VLAN qui va bien (et si tu as les switchs qui le permettent).
          Mais effectivement, avec cette solution tu dois obtenir un résultat (presque) équivalent du point de vue des connexions vers l'extérieur, pour un temps de configuration largement moindre. Cependant, les spoofs d'adresses ips sont gênants dans 95% des cas pour uniquement les gens/serveurs qui sont derrière le firewall.

        • [^] # Re: LDAP réseau étudiant

          Posté par  . Évalué à 2.

          Le firewall n'autorise l'accès à internet qu'à un couple mac/ip spécifié. Donc un spoof d'ip ne permettra pas d'aller sur le net, de même une machine non enregistrée sera redirigée sur un site d'inscription.

          Une adresse MAC ca se change, tu fais comment dans ce cas ?

          • [^] # Re: LDAP réseau étudiant

            Posté par  . Évalué à 3.

            Une adresse MAC ca se change, tu fais comment dans ce cas ?

            Je sais bien :-/ dans ce cas, on ne peut évidemment rien empêcher, mais on a toujours le cache des switchs pour pouvoir remonter à la chambre en cause en cas de soucis, a posteriori.

            De l'authentification 802.1x sur les switchs seraient la solution, malheureusement tous nos switchs ne disposent de son support.

            Quant à la solution des vlans, les vlans par port empêcheraient un pc portable de se balader de chambre en chambre.

            J'ai bien une idée d'émuler du 802.1x avec des vlans et une authentification https (en gros, par défaut, un pc n'aurait accès qu'au serveur d'auth https, une fois l'auth réussie, la configuration des switchs serait modifiée pour permettre l'accès à cette @mac), mais ça demande du temps.
            Enfin, si quelqu'un m'apprend que cela existe déjà, je suis preneur :-)

            • [^] # Re: LDAP réseau étudiant

              Posté par  . Évalué à 1.

              ça doit plus ou moins exister, il y a quelques mois (années), une
              news était passée sur dlfp au sujet d'une boite qui avait monté
              des bornes d'accés pour portables avec achat d'une durée de
              connexion, avec un système d'authentification du portable pour
              débiter le crédit.

              ct dans une station de sport d'hiver si mes souvenirs sont exacts.

              La gent féminine, pas la "gente", pas de "e" ! La gent féminine ! Et ça se prononce comme "gens". Pas "jante".

          • [^] # Re: LDAP réseau étudiant

            Posté par  . Évalué à 0.

            On RTFM le manuel du switch et on se rend compte qu'il est capable de filtrer les macs... (et ca n'importe quel switch 3com ou cisco le fait)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.