Bonjour,
je fait partie d'une asso dont l'intéret principal est de gérer le réseau de la résidence universitaire locale.
pour le moment les scripts de firewall/ de dhcp/ du bind et du samba sont modifiés par des scripts internes.
le pb est que le serveur principal est encore en 2.2 (firewall sous ipchains)
et que certains scripts nécessitent une mise à jour importante.
De plus il ya plusieurs serveurs et la conf est recopiées aussi par des scripts internes tout moches.
On m'a parlé de LDAP, qu'il pouvait interfacer des serveurs dhcp, samba ...
et qu'il permettait de tout centraliser et de mettre à jour facilement.
est-ce que c vrai ?
est ce que c'est si bien que ça ?
est-ce que vous connaissez un projet ou ceci serait déja implémenté ?
# oui
Posté par elamapi . Évalué à 1.
Est ce que c'est bien ? bonne question, et tu auras probablement toute les réponses.
Disont que ca va te permettre de centraliser les données (utilisateurs ou autres) sur LDAP.
A toi de voir si sur le principe ca te convient.
[^] # Re: oui
Posté par Erwann Robin (site web personnel) . Évalué à 1.
et aussi de simplifier l'administration ;-)
# LDAP c'est bon mangez-en
Posté par eolyte . Évalué à 2.
ben perso, j'interface entre autre les utilisateurs Samba/Linux ainsi que la config DHCP dans un annuaire LDAP, et j'en suis très content. C'est propre, facilement sauvegardable. D'ailleurs, depuis que je l'utilise, ma productivité s'est "enlargée" de 142%, et mon lama nain de Papouasie a le poil plus soyeux.
Plus sérieusement, voici quelques liens qui devraient te servir :
LDAP+DHCP : http://www.xenux.net/index.php?article=28&skin=skin1(...)
LDAP+Samba : http://www.unav.es/cti/ldap-smb-howto.html(...)
et surtout les smbldap-tools, incoutournables : http://www.idealx.org/prj/samba/index.fr.html(...)
Si t'as besoin d'exemples de config précises, demande toujours.
[^] # Re: LDAP c'est bon mangez-en
Posté par Erwann Robin (site web personnel) . Évalué à 1.
merci pour les liens, il faut un serveur dhcp patché ?
j'avait déja regardé IdealiX mais le serveur samba est je dirait moins prioritaire que le dhcp, le bind ou le firewall !
(pas de changements des fichiers de conf à caque nouvelle machine)
[^] # Re: LDAP c'est bon mangez-en
Posté par sk . Évalué à 1.
http://www.newwave.net/~masneyb/(...)
et pour Bind 9:
http://www.venaas.no/ldap/bind-sdb/(...)
Pour le firewall, il y a une autre solution, mais je sais pas si ca convient exactement à ce que tu cherches:
http://www.nufw.org/(...)
Ca avait fait l'objet d'une dépêche sur DLFP il y a quelques temps et ca a le mérite de très bien s'interfacer avec ldap.
[^] # Re: LDAP c'est bon mangez-en
Posté par Erwann Robin (site web personnel) . Évalué à 1.
cad qu'il faut taper un mdp à chaque fois quon veut aller sur le net ?
c pas pratique du tout pour des connexions permanentes ca !
# Si LDAP c etait bien
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à -3.
Avouez que ca le fait des Licences et de Masters qui peuvent pas se logguer sur leur compte à la fac car le serveur LDAP fait des siennes (d'après ce que j ai compris d'un prof).
C‘etait mon coup de gueule, pardon, mais c'est lié au journal...
[^] # Re: Si LDAP c etait bien
Posté par Benjamin (site web personnel) . Évalué à 1.
Ldap sur Woody, depuis quelques semaines, ldap crashe régulièrement (base visiblement corrompue) mais de manière insidieuse (pas 'kill sigfault', non, juste des connexions affreusement lentes et échouant 90% du temps)
puis soudain, plus rien, plus de données, les fichiers sont là mais ldap refuse de les ouvrir etc.
Et quand à restaurer le dump, ca prends du temps, trop de temps à mon gout ...
Bref, mauvaise expérience avec ldap, désolé ...
[^] # Re: Si LDAP c etait bien
Posté par lezardbreton . Évalué à 4.
[^] # Re: Si LDAP c etait bien
Posté par Benjamin (site web personnel) . Évalué à 1.
... Je connais d'autres logiciels qui tout en étant dinausoresques n'en étaient pas problématiques à ce point pour autant (genre mysql-server, apache 1 ...)
D'où ce manque de confiance en openldap. De plus, la mise à jour en backports pose de nombreux problèmes de ce côté, une migration vers mysql s'est donc naturellement imposée, pour des questions de stabilité dans le temps, ainsi que de faible consommation d'I/Os.
[^] # Re: Si LDAP c etait bien
Posté par Nap . Évalué à 3.
[^] # Re: LDAP c'est bien, et ça se sait !
Posté par Benoît Bailleux (Mastodon) . Évalué à 2.
[^] # Re: Si LDAP c etait bien
Posté par EppO (site web personnel) . Évalué à 0.
Comment restaurer un serveur LDAP en moins de 5min ?
- Etape 1: faire une sauvegarde dans un fichier LDIF de manière journaliere (un slapcat dans un cron par exemple).
- Etape 2: au moment du crash, arreter le serveur LDAP (de toute manière il répond à aucune requete). Virer tous les *.db dans /var/lib/ldap, et faire un slapadd du fichier LDIF de backup.
- Etape 3: redémarrer le serveur LDAP.
D'ailleurs avec un peu de dextérité, en 1min c'est fait ;)
[^] # Re: Si LDAP c etait bien
Posté par Nap . Évalué à 5.
slapd (2.0.23-6.3) [security]
OpenLDAP server (slapd).
2.0.23 !!
Bon dieu allez trainer sur la ML OpenLDAP, si vous dîtes "j'ai un souci avec la 2.0.23", ils vont répondre "cete version est une antiquité qui ne peut convenir qu'à un conservateur de musée ou un spécialiste de la préhistoire, nous vous suggérons d'upgrader vers une version datant du siècle actuel, comme une 2.2.x par exemple"
[^] # Re: Si LDAP c etait bien
Posté par sk . Évalué à 5.
Avec des raisonnements comme ça, on va pas bien loin...
# LDAP réseau étudiant
Posté par symoon . Évalué à 2.
A l'ENST Bretagne (ResEl), nous avons interfacé le LDAP avec le firewall, bind, dhcp, nos scripts d'inscription maison, notre interface d'administration, et de l'authentification apache-ssl un peu partout.
Cela marche très bien, sauf évidemment que le LDAP devient le point de faiblesse du système entier, c'est pourquoi il faut mieux monter un réplicat pour éviter toute mauvaise surprise (exemple la mise à jour de libsasl7 sous woody qui faisait segfaulter le LDAP).
Tu peux nous contacter sur #resel sur Rezosup, et également sur #federez lieu de discussion avec d'autres assoces de réseaux étudiants.
[^] # Re: LDAP réseau étudiant
Posté par sk . Évalué à 1.
[^] # Re: LDAP réseau étudiant
Posté par symoon . Évalué à 3.
Le firewall n'autorise l'accès à internet qu'à un couple mac/ip spécifié. Donc un spoof d'ip ne permettra pas d'aller sur le net, de même une machine non enregistrée sera redirigée sur un site d'inscription.
Le propriétaire est alors invité à saisir ses login/password pour ajouter une machine.
[^] # Re: LDAP réseau étudiant
Posté par Stephane Wirtel (site web personnel) . Évalué à 1.
[^] # Re: LDAP réseau étudiant
Posté par symoon . Évalué à 2.
pas de documentation
disons que c'est "juste" un script perl qui va bien, qui fait les requêtes ldap et qui ajoute les règles en fonction des résultats.
Une fois le tableau récupéré du ldap, poru chaque couple :
system( "$IPTABLES -t filter -A int_to_ext_$trange -s $ip -m state --state NEW -m mac --mac-source $mac -j ACCEPT");
Je vais pas copier tout le script ici, tu peux nous contacter par irc pour plus de détails.
[^] # Re: LDAP réseau étudiant
Posté par elamapi . Évalué à 0.
Sinon, imaginer les temps de latence !
A chaque paquets réseau -> une requette LDAP -> meme avec une Implémentation qui tue sur une machine de mort -> gros lag
[^] # Re: LDAP réseau étudiant
Posté par Erwann Robin (site web personnel) . Évalué à 1.
suffit de rajoutter une regle à chaque nouvelle machine.
le truc c'est que là elles sont stockées dans une bdd mysql et qu'on se préparait à faire un script à la main mais si LDAP marche bien, ca doit pas etre dur de lire la bdd mysql pour remplir LDAP et d'utiliser LDAP ensuite ...
[^] # Re: LDAP réseau étudiant
Posté par sk . Évalué à 1.
Mais effectivement, avec cette solution tu dois obtenir un résultat (presque) équivalent du point de vue des connexions vers l'extérieur, pour un temps de configuration largement moindre. Cependant, les spoofs d'adresses ips sont gênants dans 95% des cas pour uniquement les gens/serveurs qui sont derrière le firewall.
[^] # Re: LDAP réseau étudiant
Posté par Prosper . Évalué à 2.
Une adresse MAC ca se change, tu fais comment dans ce cas ?
[^] # Re: LDAP réseau étudiant
Posté par symoon . Évalué à 3.
Je sais bien :-/ dans ce cas, on ne peut évidemment rien empêcher, mais on a toujours le cache des switchs pour pouvoir remonter à la chambre en cause en cas de soucis, a posteriori.
De l'authentification 802.1x sur les switchs seraient la solution, malheureusement tous nos switchs ne disposent de son support.
Quant à la solution des vlans, les vlans par port empêcheraient un pc portable de se balader de chambre en chambre.
J'ai bien une idée d'émuler du 802.1x avec des vlans et une authentification https (en gros, par défaut, un pc n'aurait accès qu'au serveur d'auth https, une fois l'auth réussie, la configuration des switchs serait modifiée pour permettre l'accès à cette @mac), mais ça demande du temps.
Enfin, si quelqu'un m'apprend que cela existe déjà, je suis preneur :-)
[^] # Re: LDAP réseau étudiant
Posté par fasthm . Évalué à 1.
news était passée sur dlfp au sujet d'une boite qui avait monté
des bornes d'accés pour portables avec achat d'une durée de
connexion, avec un système d'authentification du portable pour
débiter le crédit.
ct dans une station de sport d'hiver si mes souvenirs sont exacts.
La gent féminine, pas la "gente", pas de "e" ! La gent féminine ! Et ça se prononce comme "gens". Pas "jante".
[^] # Re: LDAP réseau étudiant
Posté par sk . Évalué à 0.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.