D'après mes recherches sur le Net OpenLDAP devient peu à peu une référence dans le monde Unix/Linux (il existe aussi l'annuaire de Netscape, I-Planet de Sun ou eDirectory de Novell) mais essayons de creuser une solution la plus OpenSource possible.... le problème vient que du coté Windows Active Directory est vissé dans Windows avec un schéma un peu plus étendu que la normale.
Donc pour moi en entreprise il y a donc trois solutions :
- Solution de facilité (j'ai peur que certaines sociétés utilise cette solution qui nous lie encore un peu plus à Micro$oft en liant DNS+LDAP+....) :
==> Utiliser l'Active Directory en utilisant les modules NSS_LDAP (ou PAM_LDAP c'est du meme tonneau) pour se connecter sur Unix
- Solution complexe mais qui garde une marge de manoeuvre vis à vis de Microsoft tout en le faisant fonctionner avec des outils propres :
==> Utiliser OpenLDAP pour la partie Unix/Linux
==> Utiliser ActiveDirectory pour la partie Windows
==> Synchronisation par extraction LDAP entre les deux avec des scripts
- Solution simple qui évite d'utiliser au maximum les mécanismes de Microsoft mais assez risquée au niveau pérennité (il faut maintenir le produit et éviter que microsoft ajoute des éléments de contournement dans ses services Packs)
==> Utiliser OpenLDAP pour la partie Unix/Linux
==> Dégager la GINA de Microsoft et la remplacer par la pGina pour s'authentifier sur un annuaire LDAP "pur"
Avez-vous mis en place de telles choses ?
Avez-vous des avis sur la question ?
Qui peut faire des tests et nous tenir informer ?
Aller plus loin
- Presentation LDAP (50 clics)
- Doc LDAP (35 clics)
- Non compatibilité LDAP Microsoft (17 clics)
- AD4Unix (5 clics)
- Solution Active Directory Pure + modules NSS (7 clics)
- pGina (7 clics)
# Re: Annuaire LDAP
Posté par ours Ours (site web personnel) . Évalué à -7.
Ca vaudrait un journal si vous voulez mon avis.
Et bon tant pis, je vais me prendre des XP négatifs mais si je vends une Austin Mini, je peux passer une news en première page ? :)))
[^] # Re: Annuaire LDAP
Posté par Anonyme . Évalué à 10.
Je ne comprend pas ta remarque. A vrai, je la trouve même particulièrement déplacée.
Un article pareil devrait être publié dans gnulinuxmag plutôt.
* Table des matières
* Introduction
* l'existant
o X.500
o les annuaires en exploitation
* LDAP
o Modèles
o Réplication LDAP
o Subschema
o RootDSE
o Définitions
o habilitations
o Connexion à l'annuaire (bind)
* Compilation, Installation d'Openldap
o Berkeley DB
o Openldap
o Package Openldap RPM
* Exploitation
o Modifier le schéma
o Modifier une entrée, outils shell ldap*
o Dump et restore de la base
* Développement
o concepts
* Authentification système Unix, connexion à un système
o Objectifs
o Authentification système traditionnelle Unix
o Authentification système NIS+
o PAM
o NSS et Pam ldap, outils d'authentification système par LDAP
* Mise en oeuvre de l'authentification système par LDAP
o Tcpd
o lancement
o configuration
o Mot de passe administrateur
o Première initialisation des données
o Migration des Données système (nis) vers ldap
o Authentification système
o Automount (NEW)
o Contrôle d'accès host
* Replication
o Compte de replication
o Configuration du maître
o Configuration de l'esclave
o Mise en place
o Démonstration
o Configuration PAM
* Réplication Partielle (NEW)
o Principes
o Initialisation du replica
o Compte de replication partiel
o Extraction du subtree ou=people
o Initialisation du replica
o Configuration du master
o Configuration du replica partiel
o Demarrage et test
* Groups
o Création des groupes
o ACL
o Exemple d'utilisation
* Trucs et astuces
o Index
o Récuperer le champs userPassword
o Acces au schema par ldap
o Erreurs stupides !
* Références
[^] # Re: Annuaire LDAP
Posté par Drikse . Évalué à 7.
* Utilisation de LDAP dans des programmes.
o Buts.
o Exemple en C.
- avec Innosoft LDAP Client SDK.
- avec U-M LDAP SDK.
o Exemple en JAVA.
- avec JNDI.
o Exemple en PERL.
o Exemple en COM.
Remarque: non exhaustif.
[^] # Re: Annuaire LDAP
Posté par Benoît Bailleux (Mastodon) . Évalué à 3.
o Exemple en JAVA.
- avec JNDI.
- pourquoi éviter JNDI
- avec l'API Novell d'OpenLDAP
...
o exemples en PHP
o utiliser les contrôles
etc.
[^] # Re: Annuaire LDAP
Posté par crusher . Évalué à 1.
Oui pourquoi ?
C'est pas bien JNDI, j'étais pas au courant.
On peut avoir plus d'info à ce propos ?
[^] # Re: Annuaire LDAP
Posté par Moby-Dik . Évalué à 0.
[^] # Re: Annuaire LDAP
Posté par Benoît Bailleux (Mastodon) . Évalué à 1.
Le pb de JNDI, c'est que c'est l'implémentation d'un concept d'annuaire qui possède une "personnalité" LDAP, ce qui revient à faire une encapsulation. J'estime que conceptuellement, il est plus propre de faire du LDAP (avec l'API ad hoc) directement.
NB : les tests portaient sur une appli. qui faisait juste des authentifications.
[^] # Re: Annuaire LDAP - précision
Posté par Benoît Bailleux (Mastodon) . Évalué à 1.
On ne pouvait donc pas rejeter les problèmes de performance sur cette couche.
[^] # Re: Annuaire LDAP
Posté par ours Ours (site web personnel) . Évalué à 0.
On est d'accord, ce n'est pas une news, il est donc mal placé
Et sinon la news est mal rédigée, il faudrait mieux dire "j'ai fait un article sur LDAP et je cherche ..." plutot que de dire "Je cherche aujourd'hui des infos et des expériences sur le sujet LDAP en entreprise"
Les deux approches ne sont pas pareilles
PS: Merci pour ce copier coller fort intéressant de la table des matières
[^] # Re: Annuaire LDAP
Posté par Anonyme . Évalué à 0.
On est de toute évidence pas d'accord sur l'esprit même sur linuxfr.org. Pour toi, c'est un site de « news », avec tout ce que l'emploi d'un anglicisme dans un contexte où il n'enrichit pas sous-entend.
Pour moi, c'est un site où l'on trouve des informations. Qui peuvent être des dépêches, des éditos ou encore... des articles.
Concernant le sujet de la dépêche, je reconnais que la formulation aurait largement gagnée à être un peu revue.
« PS: Merci pour ce copier coller fort intéressant de la table des matières »
Tu peux faire de l'humour à ce sujet, si j'étais toi je m'abstiendrais pourtant de ramener la discussion sur un sujet sur lequel j'avais parfaitement tort.
En effet, tu as écris dans ton premier message :
« Ca vaut pas de quoi faire une news et encore moins de première page.
Ca vaudrait un journal si vous voulez mon avis. »
Je doute que tu trouves grand monde qui agrée à ce que tu sous-entend maintenant : à savoir qu'en disant « ça vaudrait un journal », tu voulais dire que tu trouvais cet article riche et touffu. Je pense plutôt que tu n'avais pas suivi le premier lien.
L'intérêt du copier-coller n'était donc pas de dupliquer de l'information. Si tel était le cas, ce message n'aurait pas répondu au tien. Non, son but était de mettre en lumière très clairement - et je pense qu'on peut difficilement faire mieux - le caractère inapproprié de ta remarque, soulignant l'importance du travail effectué, qui décemment serait pas à sa place dans les sombres journaux des utilisateurs de linuxfr.
[^] # Re: Annuaire LDAP
Posté par ours Ours (site web personnel) . Évalué à 2.
[^] # Re: Annuaire LDAP
Posté par Anonyme . Évalué à 0.
[^] # Re: Annuaire LDAP
Posté par Ramso . Évalué à 3.
[^] # Re: Annuaire LDAP
Posté par Nÿco (site web personnel) . Évalué à 10.
LDAP et l'interopérabilité sont suffisamment importants pour modérer la question (plutôt bien rédigée, pas gratuite, et force est de consater que c'est le résultat d'une petite enquête) et en première page.
Bien entendu, je peux me tromper.
# Re: Annuaire LDAP
Posté par Laurent . Évalué à 10.
- http://www.mandrakesecure.net/en/docs/ldap-auth.php(...)
- http://www.tldp.org/HOWTO/LDAP-HOWTO/(...)
- http://www.unav.es/cti/ldap-smb-howto.html(...)
- http://samba.idealx.org/dist/samba-ldap-howto.pdf(...)
- http://us3.samba.org/samba/ftp/docs/htmldocs/Samba-LDAP-HOWTO.html(...)
- http://www.metaconsultancy.com/whitepapers/ldap-linux.htm(...)
- http://www.securityfocus.com/infocus/1427(...)
- http://www.securityfocus.com/infocus/1428(...)
- http://www.padl.com/Contents/Documentation.html(...)
[^] # Re: Annuaire LDAP
Posté par Benjamin (site web personnel) . Évalué à 7.
http://www.xenux.net/?article=22(...)
http://blink.homelinux.org/article/ldap-intranet.html(...)
Voila !!!!
[^] # Re: Annuaire LDAP
Posté par Gauthier (Mastodon) . Évalué à 2.
http://www-sop.inria.fr/semir/personnel/Laurent.Mirtain/ldap-livre.(...)
http://www.faqs.org/rfcs/rfc1960.html(...)
http://www.padl.com/OSS/pam_ldap.html(...)
http://www.rudedog.org/auth_ldap/1.6/auth_ldap.html(...)
http://www.mandrakesecure.net/en/docs/ldap-auth.php(...)
http://www.redhat.com/docs/manuals/linux/RHL-7.2-Manual/ref-guide/s(...)
# Autre solution
Posté par Vanhu . Évalué à 8.
Sinon, je maintiens aussi que OpenLDAP c'est bien, et qu'un annuaire bien fait peut vraiment centraliser toute l'administration d'une entreprise, des comptes utilisateurs à la génération de "doc administrative" (noms, adresses, numéros de telephone, etc...) en passant par les comptes mails, la PKI, les groupes, etc......
[^] # Re: Autre solution
Posté par Jean-Yves LENHOF (site web personnel) . Évalué à 4.
pGina est un remplacement OpenSource de la GINA de microsoft, elle permettrait (j'ai pas essayé et j'apprécierais que quelqu'un essaye et nous dise quoi) de se connecter à un annuaire LDAP standard
GINA cela signifie "Graphical Identification and Authentication" (http://www.laboratoire-microsoft.org/dicos/dicos/20.asp(...)), en gros pGina remplace le logon standard de microsoft par un OpenSource (comme le client Novell le fait)
Pour info je connais bien Samba.... merci.... je sais qu'on peut le connecter à LDAP.... mais quid de l'authentification des postes windows NT/2000 ? Tu créés des comptes locaux sur toutes les machines ? D'où ma question.....
Je sais qu'OpenLDAP fonctionne (nombre d'utilisateurs dans ton annuaire ?) mais ma question serait plus de trouver une solution qui fonctionne en milieu hétérogène
[^] # Re: Autre solution
Posté par Vanhu . Évalué à 6.
Bah des que je suis d'humeur a flinguer un Windows, j'essaie..... mais bon, va déjà falloir que je soie d'humeur à en démarrer un......
Pour info je connais bien Samba.... merci.... je sais qu'on peut le connecter à LDAP.... mais quid de l'authentification des postes windows NT/2000 ? Tu créés des comptes locaux sur toutes les machines ? D'où ma question.....
Non, tu crées une fiche sur le LDAP (avec plein de champs qui vont bien, mais y'a moyen d'automatiser ca par des scripts, IdealX fournit une flopée de scripts "a sa sauce" et j'avais commencé à étudier le développement de quelques scripts qui simplifient la vie, c'est pas tres dur), et zou, t'as le compte UNIX, le compte mail et le compte Windows qui existent.
Seul impératif actuellement: un premier login sous UNIX pour créer le homedir (par pam_mkhomedir), mais meme ca ca doit pouvoir se configurer/bricoler.
Apres, je sais pas si j'ai acces a toutes les subtilites, pour ce que je fais d'un Windows, mais je peux me connecter depuis le Win, en m'authentifiant sur le domaine, et mon profil est bien créé dans le homedir sur le serveur.....
Je sais qu'OpenLDAP fonctionne (nombre d'utilisateurs dans ton annuaire ?) mais ma question serait plus de trouver une solution qui fonctionne en milieu hétérogène
Euh, dans mon LDAP a moi perso que j'ai, ca doit pas dépasser les 4 utilisateurs, mais je connais d'autres annuaires OpenLDAP qui tournent avec plusieurs milliers de comptes (désolé, je peux pas divulguer plus d'infos dessus). Et dans plusieurs de ces cas (dont le mien, "pour tester"), c'est en environnement hétérogène.
[^] # Re: Autre solution
Posté par Jean-Yves LENHOF (site web personnel) . Évalué à 4.
Seul impératif actuellement: un premier login sous UNIX pour créer le homedir (par pam_mkhomedir), mais meme ca ca doit pouvoir se configurer/bricoler.
Apres, je sais pas si j'ai acces a toutes les subtilites, pour ce que je fais d'un Windows, mais je peux me connecter depuis le Win, en m'authentifiant sur le domaine, et mon profil est bien créé dans le homedir sur le serveur.....
Donc tu utilise Samba comme PDC et tes windows 2000 ne sont pas en mode natif mais en mode compatibilite NT en gros.... (je viens de relire ton mail)
[^] # Re: Autre solution
Posté par Vanhu . Évalué à 2.
Euh... je suis pas un expert Microsoft, donc je peux pas te garantir.....
Je sais que, coté Win, j'ai fait (du moins en apparence) à peu près la meme chose sous un 98 que sous un XP, sauf que coté XP j'ai du changer une valeur dans la base de registre (quoique j'ai du refaire d'autres modifs apres, donc si ca se trouve, c'est pas indispensable).....
Mais je n'ai pas eu un gros warning "attention, vous etes sur le point d'utiliser le mode obsolète de compatibilité NT qui est pas bien".............
[^] # Re: Autre solution
Posté par Nap . Évalué à 2.
samba 3 (version cvs alpha) peut joindre un domaine active directory en tant que serveur membre, et partager des ressources, mais pas encore agir en tant que controleur AD
mais les avancées sont importantes et a terme il le fera, en effet tout les composants nécessaires sont là :
samba
openldap
MIT kerberos
reste aux developpeurs de samba a faire le boulot de développement et d'intégration
[^] # Re: Autre solution
Posté par Benjamin (site web personnel) . Évalué à 4.
Les scripts d'Idealix a priori permettent de créer automatiquement la home directory, sans aucun soucis.
ex : ./smbldap-useradd.pl -m
Pour ma part par soucis de simplicité pour les administrateurs Windows souhaitant ajouter des Users Windows dans l'annuaire, j'ai des scripts via un serveur HTTPS, qui permettent également des créer de nouvelles entrées LDAP ainsi que leur home directory et maildir !
En revanche c'est clair que l'intégration des machines de type Windows 2000 Serveurs, Windows 2000 Pro et Windows XP nécissitent un "bidouillage" dans la base de registre, qui ne semble en surface ne pas poser de problème, mais ...
PS: au fait vanhu, when you want pour qu'on finisse La doc !!!!
[^] # Re: Autre solution
Posté par Misc (site web personnel) . Évalué à 1.
juste pour faire gagner du temps.
Le programme est numérté en 1.6, ce qui signifie qu'il est stable, je pense.
quelqu'un a déja essayé ?
# Re: Annuaire LDAP
Posté par Sylvain Briole (site web personnel) . Évalué à 4.
OpenLDAP selon le 2ème schéma, à savoir :
- OpenLDAP sous Unix (pour l'accès à l'Intranet, la gestion des
droits sur le Squid, l'accès aux machines Unix, l'accès aux
ressources Samba)
- ActiveDirectory sous Windows (pour l'accès aux clients Windows,
le courrier électronique)
Le tout est synchronisé par des scripts.
Cela marche sans pb. (jusqu'à présent) dans une société de
100 machines clientes sous Windows, et 100 autres sous MacOS
(pas MacOSX : MacOS avec AFP pour la gestion Unix)
[^] # Re: Annuaire LDAP
Posté par Jean-Yves LENHOF (site web personnel) . Évalué à 1.
Tes scripts interrogent l'un (les deux) par des demandes LDAP ou par un autre moyen ?
[^] # Re: Annuaire LDAP
Posté par Sylvain Briole (site web personnel) . Évalué à 2.
Pour un changement de mot de passe par exemple, l'utilisateur
doit se connecter sur le serveur Unix via l'Intranet & PHP, y
change son mot de passe, et ensuite un script va faire la modif'
sur le serveur Windows.
Pour la synchronisation d'Unix vers Windows, tout se passe
au travers de l'interface HTTP livrée avec le module jeneme-
souviensplusdunom sous Windows.
# Quelques URL que je n'ai pas pu mettre...
Posté par Jean-Yves LENHOF (site web personnel) . Évalué à 7.
Encore de la DOC
http://www.cru.fr/ldap/(...)
http://www.microsoft.com/windows2000/techinfo/planning/activedirect(...)
Des browsers Java qui permettent de "voir" ce qu'on fait.... voir plus
http://www.iit.edu/~gawojar/ldap/(...)
http://www.pegacat.com/jxplorer/(...)
# Re: Annuaire LDAP
Posté par Anonyme . Évalué à 5.
Bon alors, j'ai justement déjà été confronté à ce problème.
Archi : réseau NT pour les postes en local, serveur HP-UX et une équipe archi pro-libre (c/libre/open-source/gnu...)
Ca a été vite réglé :
Deux "vieux" pc (PII 500 Mhz 512 Mo RAM) dédié, openBSD (saurais pas dire quelle version) et openLDAP. Une balance TCP entre les deux en cas de plantage et rulez => User + de 5000.
Pour active directory la solution choisi a été de faire des extractions LDIF automatique (avec rechargement auto aussi ;)). Entre les deux openLDAP, un outil assure la synchro.
Voila
</mon exp>
[^] # Re: Annuaire LDAP
Posté par Frédéric Massot (site web personnel) . Évalué à 2.
[^] # Re: Annuaire LDAP
Posté par caesarus . Évalué à 2.
Comment avez vous choisit de faire les extraction LDIF ? Vous avez réalisé vos propres scripts ?
Et qu'elle est l'outils utilisé pour la synchro entre les deux openLDAP ?
[^] # Re: Annuaire LDAP
Posté par Vanhu . Évalué à 1.
Je suppose qu'il a utilisé slurpd: c'est un outil spécifique de .... réplication d'annuaire :-)
[^] # Re: Annuaire LDAP
Posté par caesarus . Évalué à 2.
# Licence D'utilisation
Posté par Maz (site web personnel) . Évalué à 3.
# Deux URLs supplémentaires :
Posté par Jean-Yves LENHOF (site web personnel) . Évalué à 3.
http://acctsync.sourceforge.net/(...)
http://www.samag.com/documents/s=7666/sam0211f/0211f.htm(...)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.