Articles précédents : Logiciel
- [7] RealNetworks relance le projet Helix
- [13] ePSXe 1.6.0 est enfin sorti !
- [10] OpenML 1.0 SDK (alpha)
- [73] Ruby 1.8.0 est sorti
- [28] Kaoos, des particules libres qui s'animent sur votre écran !
- [159] Gentoo 1.4 est (enfin) sortie
- [24] Opie 1.0 dans les bacs
- [75] MPlayer G2 : un avant-goût
- [66] Eclipse compilé en natif.
- [81] Novell rachète Ximian
Liens connexes
- DHCP+LDAP (3049 hits)
- Authentification LDAP (1374 hits)
- Patch de Brian Masney (428 hits)
Dépêche modérée par
![[fr]](../../../images/fr.png)
DHCP+LDAP (3049 hits)-
Authentification LDAP (1374 hits)
![[en]](../../../images/en.png)
Patch de Brian Masney (428 hits)
> Lire la dépêche (34 commentaires, moyenne: 1,9).
Une nouvelle fois, les produits libres montrent leurs qualités et leur souplesse !
Re: Ajout du support LDAP pour DHCP
D'où sort le schema utilisé ? C'est le gars qui l'a inventé dans son coin ?
La seule RFC concernant LDAP+DHCP que j'avais trouvé était restée à l'état de DRAFT et avait périmé ( http://www.ietf.org/proceedings/99nov/I-D/draft-ietf-dhc-schema-01.(...) ). J'ai mal cherché ou il n'y a toujours pas de RFC entérinée ? (à l'image de la RFC2307)
-
[^]Re: Ajout du support LDAP pour DHCP
Posté par Pierre Jarillon (page perso, ) le 10/08/2003 à 01:05. (lien). Évalué à 2.LDAP est très intéressant mais la structure de l'annuaire emprunté à l'usine à gaz X500 commence à dater.
Il était question de faire une transposition en XML et une DTD ou mieux "XML schema" qui fixe la grammaire de l'annuaire. Où en est le projet ?-
[^]Re: Ajout du support LDAP pour DHCP
Posté par Bernard Massot () le 10/08/2003 à 02:11. (lien). Évalué à 5.LDAP est très intéressant mais la structure de l'annuaire emprunté à l'usine à gaz X500 commence à dater.
LDAP c'est précisément un X500 mais dépourvu de la structure hyper rigide qui faisait de lui une usine à gaz. (enfin afaik)-
[^]Re: Ajout du support LDAP pour DHCP
Posté par Vanhu () le 10/08/2003 à 09:29. (lien). Évalué à 5.Bah tout est dans le nom: X500 est un DAP (Directory Access Protocol), et LDAP est un Lightweight Directory Access Protocol.....
Je suis aussi d'avis de dire qu'il a hérité de ce qui est bien en se débarassant de ce qui etait lourd (mais bon, je suis pas un dieu du X500 non plus....)-
[^]Re: Ajout du support LDAP pour DHCP
Posté par Marc Lacoste (page perso, ) le 11/08/2003 à 09:10. (lien). Évalué à 2.> X500 est un DAP
Ou plutot utilise DAP. X500 est plein d'autres protocoles.
pour LDAP et XML: il ne faut pas prendre XML pour ce que ça n'est pas (est ce bien français cette phrase?). Il serait inutile de faire un schéma XML pour un annuaire LDAP, LDAP n'est qu'un protocole, le stockage des données est libre.
Imagine-t-on de transposer http ou ftp en XML? Non, XML pourrait être utile pour l'échange de données (quoi? ça a été fait pour cela?) d'annuaires, donc comme LDIF. Vu la structure simple de LDIF, il est possible de faire un XSLT pour traduire ça. Et là, il faudrait des DTD/schémas pour ça, pour faire des exports propres à coup sur.
Et puis un standard est là pour ça:
http://www.oasis-open.org/cover/dsml.html(...)
DSML, des annuaires en XML.
-
-
-
[^]Re: Ajout du support LDAP pour DHCP
Posté par Nap () le 11/08/2003 à 08:39. (lien). Évalué à 1.tu veux parler de DSML ?
DSMLv2 permet de remplacer le protocole LDAP (syntaxe ASN.1 encodée en BER) par du XML pour décrire les requêtes et les réponses faites à un annuaire LDAP (bref, pour remplacer le protocole LDAP)
mais personne ne touchera à la structure de données des annuaires LDAP... dont je ne pense pas qu'elle date d'ailleurs...
d'ailleurs il y a d'autres chantiers qui eux sont essentiels, comme la normalisation des méthodes de contrôle d'accès aux données de l'annuaire, ou la gestion du schéma...-
[^]Re: Ajout du support LDAP pour DHCP
Posté par Marc Lacoste (page perso, ) le 11/08/2003 à 09:22. (lien). Évalué à 2.> DSML [...] remplacer le protocole LDAP
Ce n'est pas ce que j'ai compris :
" DSML is an XML-Schema, not an access protocol. DSML still depends on an access protocol such as LDAP to get data from individual directories. DSML provides a standard for creating XML documents from the information that LDAP delivers. "
Soit, DSML n'est pas un protocole d'accès, il repose sur LDAP, mais propose un schéma XML pour l'information d'un annuaire LDAP.
source [faq DSML] http://www.oasis-open.org/cover/dsmlFAQ200104.html(...)
Mais bon, DSML a l'air un peu mort, là. dsml.org est down, et il n'y a personne pour ça à oasis-open.org.
> d'autres chantiers qui eux sont essentiels
ouais, et ldup pas mal aussi. maintenant, chacun y va de son protocole à lui de méta annuaire. pas terrible.-
[^]Re: Ajout du support LDAP pour DHCP
Posté par Nap () le 11/08/2003 à 09:44. (lien). Évalué à 2.en fait ça c'est la FAQ de DSMLv1, qui avait pour objectif de décrire la structure d'une annuaire via XML
avec DSMLv2 ils ont changé d'objectif, pour décrire les requêtes et les réponses, et donc le protocole LDAP
The Directory Services Markup Language version 2.0 (DSMLv2) is "an XML application that provides a method for expressing directory queries, updates, and the results of these operations. Whereas DSML version 1 provides a means for representing directory contents XML documents, DSML version 2 with bindings such as the SOAP Request/Response Binding, allows for directories to be manipulated via XML. DSMLv2 focuses on extending the reach of LDAP directories. Therefore, as in DSMLv1, the design approach is not to abstract the capabilities of LDAP directories as they exist today, but instead to faithfully represent LDAP directories in XML. The difference is that DSMLv1 represented the state of a directory while DSMLv2 represents the operations that an LDAP directory can perform and the results of such operations. Therefore the design approach for DSMLv2 is to express LDAP requests and responses as XML document fragments."
source : http://xml.coverpages.org/ni2001-11-30-a.html(...)
c'est pas très clair mais bon... je le comprends comme ça :)
quant à dsml.org il a été volé :-/
c'est assez hallucinant d'ailleurs, à ce niveau là, de se faire voler un nom de domaine-
[^]DSML
Posté par Marc Lacoste (page perso, ) le 11/08/2003 à 10:04. (lien). Évalué à 2.> c'est la FAQ de DSMLv1
mmmh.. c'est bien ce que je craignais.
> DSMLv2 [...] décrire les requêtes et les réponses, et donc le protocole LDAP
Comme je dis plus haut, je trouve que c'est un contre emploi. LDAP marche bien comme protocole, et XML sert à décrire l'information, pas à faire du (relativement) bas niveau. Comme ils disent, ça ressemble à SOAP.
Enfin si c'est pour permettre à un brouteur de se connecter facilement à un annuaire, pourquoi pas. Le machin n'est qu'une traduction du protocole.
> dsml.org il a été volé
o_O
C'est dingue. Il y a un miroir quelque part?
Mais ça me conforte dans mon idée que cette standardisation est au point mort. Comme le DSML TC chez oasis, comme les créateurs dataconnection.com.-
[^]Re: DSML
Posté par Nap () le 11/08/2003 à 10:54. (lien). Évalué à 2.Comme je dis plus haut, je trouve que c'est un contre emploi
je pense exactement pareil
mais à mon avis ca permet de faire plaisir aux décideurs pressés, des que tu mets "XML" qque part, ca fait bien
pas de mirroirs pour dsml.org, c'est la honte, ca donne des trucs rigolos : par exemple l'url du namespace dsml :
<?xml version="1.0"?>
<dsmlRequest xmlns="http://www.dsml.org/DSML/v2">-
[^]Re: DSML
Posté par Marc Lacoste (page perso, ) le 11/08/2003 à 12:56. (lien). Évalué à 1.> faire plaisir aux décideurs pressés, des que tu mets "XML" qque part, ca fait bien
Le JDnet, 01 et consorts trouvent que XML, c'est bien ©
(mais y voient pas les enjeux, les pauvres)
> l'url du namespace dsml :
<?xml version="1.0"?>
<dsmlRequest xmlns="http://www.dsml.org/DSML/v2(...)">
Euh, là, c'est un mauvais effet de bord... Je n'avais jamais pensé à ce genre de choses. Et pareil pour le schéma?
Un des grands avantages d'XML à mes yeux, c'est l'universalisme et la durée de vie des informations. Mais là, on perd ces avantages. Pour assurer la pérennité, faudrait-il inscrire le schéma dans chaque document? (et donc, pas d'espace de nommage) et du coup perdre la réutilisabilité du schéma...
Une mauvaise nouvelle pour moi.-
[^]Re: DSML
Posté par Nap () le 11/08/2003 à 13:23. (lien). Évalué à 1.tu veux parler de l'inaccessibilité du fichier ?
la j'avoue que je m'yconnais pas trop...
il suffit de le mettre sur un autre serveur web et de changer l'url je pense...
on peut recuperer le schema et le namespace quelque part dans les méandre de l'immonde site d'oasis. ce site, j'ai l'impression que les pages changent a chaque fois que j'y vais, et qu'un peu durs de la feuille, ils confondent "important" et "n'importe où" pour classer les documents
sinon en ce qui me concerne, j'utilise en ce moment xml pour decrire des informations sur des objets LDAP, et je n'utilise pas DSML, j'ai du faire mon propre schéma pour mes besoins :-/. tu m'étonnes que tout le monde s'en foute du nom de domaine volé :-)-
[^]pérénnité d'XML
Posté par Marc Lacoste (page perso, ) le 11/08/2003 à 13:44. (lien). Évalué à 1.> tu veux parler de l'inaccessibilité du fichier ?
Oui, quand le schéma/namespace n'est plus dispo, le fichier xml tout seul perd beaucoup d'intéret.
> il suffit de le mettre sur un autre serveur web et de changer l'url
Non, la pérennité, c'est de pouvoir relire, modifier ce qui a été écrit il y a deux sciècles. Mais si le schéma est perdu, caca. Il faudrait garantir la pérénnité des urls.
Finalement on se retrouve avec un fichier pas plus explicite qu'un texte à plat.-
[^]Re: pérénnité d'XML
-
-
-
-
-
-
-
-
-
Re: Ajout du support LDAP pour DHCP
C'est vrai, il faut surtout penser à normaliser tout ça, sinon, on va faire de l'Active Directory bis.
Les annuaires et LDAP sont promis à un très bel avenir. A l'image d'Internet, des Unix like et du libre, normalisons !
Je pense depuis longtemps à une solution de gestion centralisée, basée sur un annuaire permettant d'alimenter, si possible sans scripts de conversion, un DHCP, un DNS...
C'est vrai qu'une fois qu'on a la partie DHCP, on peut avoir le DNS mis à jour automatiquement via les mises à jour dynamiques.
-
[^]Re: Ajout du support LDAP pour DHCP
Posté par Vanhu () le 09/08/2003 à 19:15. (lien). Évalué à 5.Oui et non.
La normalisation, c'est bien, mais ca retire de la souplesse.
Or, l'un des principaux avantages de LDAP, c'est justement d'etre souple, donc de pouvoir s'adapter aux besoins de chacun (et pas l'inverse).
Apres, il "suffit" que les programmes soient suffisamment configurables (ce qui n'a pas l'air d'etre le cas de ce demon DHCP pour l'instant) pour pouvoir parametrer le filtre de requete, et les attributs recuperes, et zou, on fait ce qu'on veut.
Donc oui a une normalisation des "bases" (ce qui est déjà fait, avec les Inetorgperson, Posixaccount, etc...), mais oui aussi a une certaine souplesse d'utilisation des annuaires !!!
J'ai déjà vu ça quelque part...
C'est toi l'anonyme qui a posté cette news sur http://gcu-squad.org(...) ?
Re: Ajout du support LDAP pour DHCP
petite question :
dans l'article de Benjamin Jakubowski il est précisé ces paramètres dans /etc/nsswitch.conf :
passwd: files ldap
group: files ldap
shadow: files ldap
que g transformé pour un pc portable (mdk9.1) en :
passwd: ldap [UNAVAIL=continue] files
group: ldap [UNAVAIL=continue] files
shadow: ldap [UNAVAIL=continue] files
en effet, le pc portable est nomade.
donc tout vas bien quand le pc est relié au réseau local, la connection ldap ce fait et donc je peux ouvrir ma session avec mon compte ldap. et quand le portable n'est pas connecté au réseau local, je peux ouvrir ma session avec mon compte local (donc /etc/passwd).
MAIS quand le portable est connecté à internet via gprs (avec bluetooth et tout le bazard), il faut attendre une à 2 minute pour que la recherche de compte passe de "ldap" à "file".
ce qui est logique.
ma question est : peut-on réduire ce délai ? ou alors, peut-on définir la recherche ldap uniquement sur un périphérique réseau du genre eth0 et pas ppp0 ??
-
[^]Re: Ajout du support LDAP pour DHCP
Posté par Vanhu () le 10/08/2003 à 09:35. (lien). Évalué à 5.ma question est : peut-on réduire ce délai ? ou alors, peut-on définir la recherche ldap uniquement sur un périphérique réseau du genre eth0 et pas ppp0 ??
Dans le ldap.conf, pas a ma connaissance, mais indirectement, tu peux.
Le moyen le plus "simple" qui me vient a l'esprit (mais pas forcément le plus subtil :-) est de passer par des règles de filtrage: tu configure ton netfilter pour faire un REJECT (qui va donc poliment prévenir l'emetteur du SYN que la connexion est refusée) sur le port LDAP (389, ou 636 si c'est en LDAP/SSL) sur l'interface ppp0....
Normalement, le delai devrait passer a a peine quelques secondes....
Ou alors, tu mets en place un système de VPN entre ton portable et ton serveur, comme ca tu pourras carrément t'authentifier avec le compte LDAP dans ce cas de figure :-)-
[+] [^]Re: Ajout du support LDAP pour DHCP
-
[+] [^]Re: Ajout du support LDAP pour DHCP
Posté par vga1523 () le 11/08/2003 à 15:19. (lien). Évalué à -1.ok, je prend note :
dire merci -- > -1
que faut-il faire pour être plussé ? insulter les gents qui donne un coup de main ?-
[^]Re: Ajout du support LDAP pour DHCP
Posté par Nap () le 11/08/2003 à 15:39. (lien). Évalué à 0.un -1 c'est pas méchant, à la base le système de XP sert à cacher les commentaires qui ne servent pas la discussion, le tien en fait partie, il ne descendra pas plus bas que -1 je pense (sinon ok c'est de l'abus)
aller [-1] vu que je sers pas la discussion :)
-
-
-
Re: Ajout du support LDAP pour DHCP
Je pense savoir ce que sont le LDAP et le DHCP néanmoins, je saisis beaucoup moins bien l'interaction qu'il peut y avoir entre les deux. J'ai regardé le premier lien DHCP+LDAP mais je ne vois pas trop.
Quelqu'un peut m'éclairer ? La récupération d'infos via DHCP se fait après authentification LDAP ? Ou un poste de travail récupère les informations concernant le serveur LDAP via DHCP ?
-
[^]Re: Ajout du support LDAP pour DHCP
Posté par Vanhu () le 11/08/2003 à 12:13. (lien). Évalué à 2.Simple: la conf du DHCP est dans le LDAP.
Tu as donc, dans ton annuaire LDAP, des fiches pour les utilisateurs (qui regroupent eventuellement un inetorgperson, un posixaccount, un smbaccount, etc...), des fiches de machines (qui regroupent eventuellement les infos DHCP, les infos SMB, les infos DNS, et je sais pas quoi d'autre), etc.....-
[^]Re: Ajout du support LDAP pour DHCP
Posté par Volnai () le 11/08/2003 à 13:27. (lien). Évalué à 1.Ouais...Je veut bien mais quand meme, un dhcp c'est mieux quand c'est leger je trouve...Monter un LDAP pour faire du dhcp ca fait un peu usine a gaz. Et puis si le leasing dhcp est un peu court, il va falloir souvent mettre jour les info dans l'annuaire. Et un annuaire c'est plutot fait pour lire dedans que pour ecrire dessus (perso j'ecris jamais rien sur les pages jaunes).
Je dit pas que c'est mal, mais bon, qu'est ce que ca apporte vraiment ? Ok, un ldap on peut l'interroger, struturer ces données, mais bon, ecrire un parser perl pour les logs du daemon dhcp c'est pas non plus trop dur.-
[^]Re: Ajout du support LDAP pour DHCP
-
[^]Re: Ajout du support LDAP pour DHCP
Posté par Vanhu () le 11/08/2003 à 14:02. (lien). Évalué à 3.Monter un LDAP pour faire du dhcp ca fait un peu usine a gaz
Euh, oui, je trouve aussi, mais quand on a deja un LDAP qui centralise plein de choses, bah ca devient tout de suite plus intéressant !
Et puis si le leasing dhcp est un peu court, il va falloir souvent mettre jour les info dans l'annuaire
?????
C'est les infos de config du serveur DHCP qu'on stocke dans le LDAP, les infos "runtime" continuent a etre stockees en memoire/dans /var ou je sais pas ou ailleurs !
Je dit pas que c'est mal, mais bon, qu'est ce que ca apporte vraiment ? Ok, un ldap on peut l'interroger, struturer ces données, mais bon, ecrire un parser perl pour les logs du daemon dhcp c'est pas non plus trop dur.
Je crois que tu as pas bien compris ce qu'on met dans le LDAP...
On va avoir par exemple une fiche (euh, me souviens plus des noms d'attributs exacts, on va dire que c'est un schema "maison" :-):
dn: cn=PC1,ou=computers,o=worldcompany,dc=com
objectclass: top
objectclass: SMBHost
objectclass: DHCPHost
objectclass: DNSHost
SMBHostname: PC1
SMBDomain: WORLDCOMPANY
SMBDomainController: SERVER1
DHCPMACAddress: 00:aa:11:22:33:4a # vous embetez pas a verifier si c'est une MAC valide, hein :-)
DHCPLease: 3600 # value in seconds
DHCPIP: 192.168.2.1
DNSHostName: pc1.worldcompany.com
etc....
Une fiche sur le LDAP regroupe (toutes ?) les infos de conf de la machine.-
[^]Re: Ajout du support LDAP pour DHCP
Posté par Volnai () le 11/08/2003 à 14:16. (lien). Évalué à 1.Oui, c'est vrai, je suis d'accord que quand on a deja un LDAP, ca peut etre bien de tout centraliser.
Si c'est pour mettre les info de config, je suis d'accord aussi (je suis cool hein)
Par contre, je ne comprend pas, tu dis que les infos de lease restent dans /var, mais tu les met aussi dans ta 'fiche machine'...Dans ce cas, il va falloir mettre a jour le ldap regulierement. Bon ok, j'exagere un peu, dans la plupart des reseaux il n'y aura pas beaucoup de modifiation de fiches machines, mais imagine un reseaux wireless par exemple. Dans ce cas les fiches machines vont devoir etre modifiés tout le temps (mise a jour des addresses mac, ip et tout), et un annuaire n'est pas fait pour fonctionner comme ca. Meme si je suis sur que ca marcherais bien quand meme :)-
[^]Re: Ajout du support LDAP pour DHCP
Posté par Vanhu () le 11/08/2003 à 18:39. (lien). Évalué à 1.Par contre, je ne comprend pas, tu dis que les infos de lease restent dans /var, mais tu les met aussi dans ta 'fiche machine'...
Euh, ouais, j'aurais du appeler ca DHCPMinLease, DHCPDefaultLease, etc...., mais comme je suis une grosse feignasse d'informaticien, j'ai fait rapide....
Je redis donc bien: on met dans le LDAP ce qui serait dans le dhcpd.conf sinon !
-
-
[^]Re: Ajout du support LDAP pour DHCP
Posté par Nap () le 11/08/2003 à 14:30. (lien). Évalué à 1.je te plusserais bien si il me restait des votes mais j'ai tout utilisé aujourd'hui :)
merci pour ton explication, le howto gardant son nez dans la ligne de commande, j'avais pas compris grand chose...
je ne connais pas bien DHCP : ca permet aussi de gérer des machine dont on ne connait rien a priori non ?
dans ce cas, il va utiliser quoi comme valeurs ? une ip n'existant pas dans une fiche ldap, et un nom d'hote au pif ? ou il va créer une fiche a ce moment la ?-
[^]Re: Ajout du support LDAP pour DHCP
Posté par Vanhu () le 11/08/2003 à 18:43. (lien). Évalué à 1.je te plusserais bien si il me restait des votes mais j'ai tout utilisé aujourd'hui :)
Bah a demain, alors :-)
merci pour ton explication, le howto gardant son nez dans la ligne de commande, j'avais pas compris grand chose...
Bah c'est un peu ma faute, puisque je n'ai toujours pas remis le nez dans une grosse doc centralisant tout ce qui tourne autour de LDAP, et effectivement, Benj se sert a moitie de certains de ses articles sur Xenux comme "pense bete".
Mais on va y bosser, des que l'un de nous reveille l'autre :-)
je ne connais pas bien DHCP : ca permet aussi de gérer des machine dont on ne connait rien a priori non ?
Tout a fait. On peut reserver une conf a une machine dont on connait l'adresse MAC, par exemple, mais ca peut aussi servir a attribuer une configuration a des machines totalement "anonymes".
dans ce cas, il va utiliser quoi comme valeurs ? une ip n'existant pas dans une fiche ldap, et un nom d'hote au pif ? ou il va créer une fiche a ce moment la ?
Bah la j'ai créé une fiche correspondant a une machine, apres, pour ce que j'avais survolé de la conf DHCP en général, et de son report dans un LDAP, y'a moyen de créer des fiches "génériques", exactement de la meme facon qu'on crée des zones dans le dhcpd.conf.
-
-
[^]Re: Ajout du support LDAP pour DHCP
Posté par cumulus () le 11/08/2003 à 17:36. (lien). Évalué à 0.Ok je comprends mieux mais quelque chose me turlupine encore. Sachant que la machine va recevoir ses infos réseaux via le ldap, comment elle va faire pour y accéder si elle n'a pas encore son adresse ip par exemple ? C'est un peu l'oeuf ou la poule non ?
Question pertinente ou alors j'ai toujours rien compris ? =)-
[^]Re: Ajout du support LDAP pour DHCP
Posté par Vanhu () le 11/08/2003 à 18:45. (lien). Évalué à 2.T'as rien compris :-)
En fait, le poste client va emettre une requete DHCP "normale", qui va etre prise en compte par le serveur DHCP, qui va interroger le LDAP pour connaitre la conf a renvoyer, et va la renvoyer au client.
C'est donc Client DHCP <=> Serveur DHCP <=> Serveur LDAP.
-
-
-
-
Cette page a été générée par Templeet en 0.1458s (dont 0.0398 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.