Journal Où est donc passée la version Linux d'Active Directory

Posté par .
Tags : aucun
8
5
déc.
2008
Cher journal ,
Je suis tombé sur un article dans le "Gala de l'info" ( 01 informatique) sur un article où je suis partagé entre l'envi de crier au FUD, au Troll, ou de réfléchir au propos de l'auteur Yann Serra.

Il dit en résumé:
- Que le développement de l'implémentassion libre d'Active Directory est au point mort.
- Que depuis que l'ouverture des specs au développeurs de Samba n'a pas permis d'améliorer le support.
- que Microsoft a compris l'intérêt qu'il y a dans l'ouverture de ses specs.
- Que Microsoft a invité les développeurs de Samba a rencontrer l'équipe de Microsoft pour les aider à mieux comprendre la philosophie d'Active Directory. Que le travail nécessaire dépasserai l'équipe de Samba.
- Que le libre n'est motivé que pour nuire à Microsoft.

Déjà, je ne sais pas si c'est un n-ième FUD orchestré par Microsoft. Comment Microsoft a invité les développeurs de Samba ?

Enfin, j'aimerai lui répondre par une question. La communauté as-t-elle intérêt à perdre son temps à réaliser une implémentassion compatible de l' AD de Microsoft.
L'AD permet de paramétrer plein de choses des comptes utilisateurs, imprimante , gestion des droits, base des postes clients, paramétrages des postes clients, base de certificats, ...

Hormis, la gestion des utilisateurs , la base de certificats, tout le reste est propre à l'environnement de Microsoft et à leurs philosophies.

Par contre, je trouve dommage de ne pas voir apparaître de distribution ou une pratique (inter-distribution) aboutissant à un schéma similaire au couple "Windows Pro", "Windows Serveur".

Genre:
- Gnome interroge un LDAP pour récupérer les paramétrages de l'utilisateur.
- La distribution X interroge un LDAP pour récupérer les listes paquets à installer.
- CUPS interroge un LDAP pour la liste des imprimantes
  • # 01 à la botte ?

    Posté par (page perso) . Évalué à 5.

    J'ai lu un scan de cet article, qui m'a été passé sur irc...
    Je pensais voir un journal là dessus plus tôt !

    C'est à se demander si le journaliste et/ou 01 ne sont pas achetés, tout simplement.
    Et si le journaliste est "sincère" c'est qu'il connais très mal le monde du logiciel libre.

    Je suis également étonné par cette proposition de rendez vous pour faire un AD libre. (en fait je n'y crois pas du tout :D)

    Mais c'est pas comme si il ne citait pas de sources...

    (ah, on me siffle dans l'oreillette que le FUD fait rarement appel aux sources)
    • [^] # Re: 01 à la botte ?

      Posté par . Évalué à 3.

      Je soupsonne plus de Microsoft d'avoir ciblé ses invitations ou ils ont bien choisi leur date.

      Il précise tout de même qu'il n'y avait que 6 personnes qu'une seul s'intéressait au projet.
    • [^] # Re: 01 à la botte ?

      Posté par . Évalué à 8.

      Et si le journaliste est "sincère" c'est qu'il connait très mal le monde du logiciel libre.

      Si c'est bien le meme, il a ete redac'chef de la revue « Login: » (eteinte en 2005). http://fr.wikipedia.org/wiki/Login:

      Cette revue parlait d'informatique alternative, au debut principalement amiga, mais ensuite beaucoup aussi de Linux.
      Le journaliste ne peut donc ignorer le monde du logiciel libre.
    • [^] # Re: 01 à la botte ?

      Posté par . Évalué à 8.

      > Je suis également étonné par cette proposition de rendez vous pour faire un AD libre.

      Des développeurs de Samba ont été invités par MS chez MS et ils ont trouvé la rencontre très fructueuse.

      Il y aura un AD "libre". Red Hat, qui emploie la majorité des développeurs Samba, estime que c'est une question stratégique. Les débuts seront pour Samba 4.
      C'est stratégique car jamais MS ne va faciliter l'inclusion des machines Linux dans un domaine Windows (c'est de bonne guerre). Ici l'idée est de remplacer les serveurs AD de MS par des serveurs AD Linux (libre) qui supporteront Windows et Linux. C'est très très important si Linux veut entrer dans le desktop des entreprises.
      • [^] # Re: 01 à la botte ?

        Posté par (page perso) . Évalué à 8.

        jamais MS ne va faciliter l'inclusion des machines Linux dans un domaine Windows (c'est de bonne guerre)
        Je ne saisi pas trop le "c'est de bonne guerre".

        Donc Active Directory ce ne sera pas pour tout de suite. Mais personnellement, si au lieu d'Active Dir j'avais quelque chose de plus simple et plus rationnel (et libre, le pieds) je serais très satisfait. Car Active Dir c'est avant tout un gros truc, non un énorme truc, bien bourrin, avec tellement de choses à savoir que c'est ingérable. Chez nous par exemple, nous avons des sites avec seulement 2 ordinateurs et d'autres avec plus de 20 ; Active Dir est ingérable. Chaque site doit être configuré d'une manière spécifique afin de ne pas pourrir le réseau. Il faut connaître tous les détails du trucs (et il y en a des tonnes) pour que ça se passe bien.
        Je précise que je suis MSCE NT, 2000 et 2003.

        Avis strictement personnel mais le fait qu'Active Dir soit lié à une machine pour être maître d'opérations par exemple, ça me dépasse. L'implémentation est nulle, ce n'est pas une surprise mais bon, ça lasse à force. Dans mon esprit, Active Dir c'est un simple service avec une configuration et un état. La config pourrait être dans la base de registre (rhalala le truc crétin ça aussi) ou dans des fichiers (en réalité c'est dans les deux à la fois, plus compliqué y'a pas), et l'état pourrait être dans des fichiers de données (c'est le cas) ou dans un serveur de base de données. Une fois qu'on sait ça, si on veut déplacer le service qui joue ce rôle, il suffit de le mettre en route sur une autre machine (un simple Windows Xp par exemple), de copier la configuration et létat, et voilà.
        Ben non.
        Tu peux le faire avec des sites web monstrueux, tu peux le faire avec les plus gros serveurs dns du monde, tu peux le faire avec un wiki gigantesque... mais pas avec ton Active Dir sur un pauvre serveur dans une entreprise de 5 personnes. Tu es obligé de te coller la procédure officielle et tout ce qui va avec. Et bien entendu ça ne fonctionne pas sur Windows XP, limitation artificielle bien entendu.
        Vivement qu'on mette ça sur des petites bécanes Unix et qu'on n'entende plus jamais parler des "serveurs" Windows. Ahah, rien que le mot "serveur" m'amuse lorsqu'il est accolé au nom "Windows".

        En plus Active Dir est sensé tout faire. Déjà là il y a un problème. Ca permet de gérer les utilisateurs, les droits, les politiques de sécurité, l'annuaire, la distribution des logiciels, les imprimantes, argh j'arrête. Un truc qui fait tout, en général il le fait mal. C'est d'ailleurs le cas :-)
        • [^] # Re: 01 à la botte ?

          Posté par . Évalué à 10.

          Mmmh, c'est vrai qu'AD est une usine à gaz, mais j'ai du mal à voir comment tu peux espérer les mêmes fonctionnalités en (beaucoup) plus simple.

          Si tu as déjà configuré une authentification centralisée "100% Unix", typiquement à base de Kerberos (et probablement d'un peu de LDAP ou de SGBD pour gérer tes infos utilisateur), c'est déjà bien "gazeux". Et déplacer un service ou renommer une machine n'est _pas_ sans incidence. C'est clair que c'est chiant, mais c'est le prix à payer pour avoir du SSO de manière un peu sûre.

          Rajoute-là dessus une couche de réplication, éventuellement des confiances inter-domaines, et ça commence à devenir acrobatique. Possible, mais acrobatique. Active Directory te fournit tout ça en intégré et en beaucoup moins prise de tête.

          Oui je sais, je suis pro-libre aussi et j'ai longtemps dit qu'on pouvait faire aussi bien qu'AD avec LDAP+Kerberos. Pour avoir encore essayé il y a peu, c'est loin d'être aussi trivial, et je ne parle même pas d'intégrer des fonctionnalités de type GPO.

          Pour moi, la complexité d'AD ne tient pas à sa volonté de gérer "les imprimantes, les politiques, l'annuaire, ...". Le "responsable" n°1, c'est Kerberos. Avec ses dépendances fortes envers le DNS, la synchronisation des horloges, etc. Le responsable n°2, c'est la volonté (consciente ou non) de Microsoft de ne pas trop chambouler les habitudes des utilisateurs++. Sérieusement, les mises-à-jour dynamiques du DNS, ça sert à quelqu'un? Il y a des gens qui montent des réseaux suffisamment complexes pour avoir besoin d'un annuaire centralisé, mais qui refuseraient de gérer leurs noms de manière centralisée?

          Maintenant c'est vrai qu'un AD est sur-dimensionné pour bien des réseaux. Le mec qui veut simplement la version sécurisée de son bon vieux "workgroup" de 10 postes, il ne devrait pas avoir besoin d'un AD, c'est certain. Mais s'il veut les trucs sympas (SSO, essentiellement, et éventuellement quelques éléments de stratégie, mais généralement pas des masses), un PDC Samba est insuffisant. Et globalement, à part Kerberos (ou le très peu fiable NTLM), il risque d'avoir à retaper ses mots de passe à tire-larigot. Et ça, de nos jours, ça se tolère de moins en moins (surtout si on leur impose des mots de passe "sérieux").

          Un AD "simple", c'est pour moi un AD sans Kerberos. Et un AD sans Kerberos, c'est à-priori un AD sans SSO. Le gros de la complexité ne réside pas dans des services périphériques facilement débrayables, il réside dans un des piliers de ce type d'architecture, et ça ne va pas être évident à ébranler (on _pourrait_ bricoler des trucs, notamment à base d'agents SSH et de services PAM qui vont bien, mais ça serait Unix-only - sauf à ressortir pGina des cartons, et encore - et pas forcément plus simple).
          • [^] # Re: 01 à la botte ?

            Posté par . Évalué à 2.

            Sérieusement, les mises-à-jour dynamiques du DNS, ça sert à quelqu'un? Il y a des gens qui montent des réseaux suffisamment complexes pour avoir besoin d'un annuaire centralisé, mais qui refuseraient de gérer leurs noms de manière centralisée?

            Ca nous sert a nous certainement.

            Exemple typique :

            Je recois une machine toute neuve, j'installe l'OS dessus, je joins la machine au domaine --> n'importe qui peut y acceder par nom ou qu'il soit dans la societe.

            Et vu le nombre gigantesque de machines qu'on a, la quantite d'infos qui transite par partages, le besoin d'un developpeur de pouvoir se connecter a distance a une machine de test, ... je n'oses imaginer comment cela fonctionnerait sans cela...
            • [^] # Re: 01 à la botte ?

              Posté par (page perso) . Évalué à 5.

              je n'oses imaginer comment cela fonctionnerait sans cela...

              avec des DNS centralisés, pas besoin d'en mettre dans chaque serveur AD... c'est cela aussi qui ajoute à ta complexité intrinsèque.
              • [^] # Re: 01 à la botte ?

                Posté par . Évalué à 2.

                De ce que j'en sais, t'as pas besoin d'un serveur DNS par serveur AD, tu peux avoir un DNS central si tu veux.
            • [^] # Re: 01 à la botte ?

              Posté par (page perso) . Évalué à 3.

              Est-ce vraiment très différent de ce qu'on fait avec LDAP et YP ? As-t'on vraiment besoin d'une infrastructure proprio décrite comme lourdingue ci-avant pour arriver à ce résultat ???
            • [^] # Re: 01 à la botte ?

              Posté par . Évalué à 3.

              Oui, enfin utiliser un truc aussi "lourd" que le DNS dynamique d'AD pour "juste" permettre de nommer rapidement les machines temporaires et/ou transitoires, c'est un peu excessif (et ça rajoute aussi de la gestion : vieillissement des enregistrements, etc.).

              Des solutions "plus légères" existent : pré-configurer des entrées DNS par défaut selon un gabarit, utiliser mDNS/Bonjour/RendezVous, etc.

              Ou alors je n'ai rien compris à ta problématique.
              • [^] # Re: 01 à la botte ?

                Posté par . Évalué à 2.

                C'est pas juste pour ca, il y a toute l'authentification qui vient avec evidemment, c'est du SSO sur toute la ligne.

                Evidemment qu'on pourrait utiliser autre chose qu'AD si tout ce qu'on voulait etait un DNS dynamique, mais on veut la facilite de gestion complete :

                - Le departement IT peut avoir un oeil sur les machines automatiquement
                - GPO (nos regles IPSEC passent dedans par exemple)
                - SSO
                - DNS dynamique
                ...

                Alors on pourrait prendre AD sans DynDNS et utiliser un autre service a la place peut-etre, mais je vois mal en quoi ca simplifierait les choses
                • [^] # Re: 01 à la botte ?

                  Posté par . Évalué à 2.

                  En fait, reproduire l AD dans un environnement Linux, il faudrait avoir un LDAP dans lequel on definit ou reutilise une structure generique.

                  Des scripts scrute et applique les configuration du LDAP au poste.
                  Ces scripts pourrait etre adapter très simplement au specifite des distribution.
                  • [^] # Re: 01 à la botte ?

                    Posté par . Évalué à 1.

                    Il est certainement possible de faire qqe chose similaire a AD sur Linux, le probleme c'est simplement que personne ne l'a encore fait (a ma connaissance).

                    Il est sur que la variete des distribs ne simplifie pas la chose cependant...
          • [^] # Re: 01 à la botte ?

            Posté par (page perso) . Évalué à 5.

            des solutions comme MDS proposent déjà pas mal de choses
            http://wiki.mandriva.com/fr/Mandriva_Directory_Server

            Le N°2 de magnum détaille quelques points lors d'un entretien avec les développeurs
            http://wiki.mandriva.com/fr/MAGNUM (tu peux télécharger le PDF sous licence CC-by-sa)
  • # Microsoft a compris l'intérêt qu'il y a dans l'ouverture de ses specs

    Posté par . Évalué à 7.

    Ils veulent qu'on implémente leurs brevets pour dans quelques temps nous demander de payer ? Du coup je comprend pourquoi c'est au point mort !

    Juste comme ça, le développeur intéressé travail pour Novel ?
  • # Qui a dit que Samba ne servait à rien ?!

    Posté par (page perso) . Évalué à 8.

    Salut,
    Je répond rarement au journaux mais c'est trop.

    Samba je l'utilise tout les jours au boulot en tant que contrôleur de domaine (PDC), couplé avec OpenLdap et Cups. Malheureusement à cause de contraintes lié à un autre logiciel métier je ne peux envisager une migration des postes utilisateurs vers du Linux et comme il est hors de question qu'un serveur Windows pose sont alèse dans ma salle je me débrouille pour faire communiquer tout ce petit monde.

    J'attend avec impatience samba 4 stable en prod pour avoir la gestion des GPO et sûrement tout un tas de truc super pratique.

    Une question philosophique : Est-ce que l'enfermement dans un shéma proche de celui d'un AD ne serait pas faire comme Microsoft ?

    Même si l'idée est attirante, je pense que faire un système complet type AD reviendrait à contraindre les administrateurs à être totalement lié à une solution. Vous allez me dire, oui mais c'est sur des standard et c'est ouvert. C'est là qu'intervient le double tranchant. Pour garder ça liberté il faut avoir le choix au niveau des modules utilisé, mais pour avoir une solution complète il faut que chaque modules soit capable de communiquer entre-eux et de façon transparente. Comme il n'existe pas de standard (XMPP peut être), la solution ne peut être dev que par une seul communauté/société.

    Ensuite vient la question de l'interopérabilité... Il me semble que Linux et le logiciel libre au sens large apporte une grande importance à cette liberté ?

    Born to Kill EndUser !

    • [^] # Re: Qui a dit que Samba ne servait à rien ?!

      Posté par . Évalué à 2.

      J'ai pas tout compris et surtout je ne vois pas ce que XMPP vient faire ici, mais bon ne m'intéressant pas trop à AD, je ne dois pas connaître certains trucs nécessaire à la compréhension.
      • [^] # Re: Qui a dit que Samba ne servait à rien ?!

        Posté par (page perso) . Évalué à 4.

        Active Directory est un service Microsoft basé sur la norme LDAP mais très très loin du standard LDAP. Il a pour but de stocker les comptes utilisateurs, l'authentification et les GPO (Group Policy Object) un petit lien pour plus de détails : http://fr.wikipedia.org/wiki/Strat%C3%A9gies_de_groupe . La base AD est aussi utilisé pour Exchange, SQL server et tout un tas d'outils spécifique à l'environnement Windows. Actuellement pour faire communiquer Windows avec Linux en terme de partage de fichiers, d'authentification il faut passer par Samba. Dans une configuration simple il gère juste les accès aux fichiers partagés. C'est la configuration "grand public" entre le pc des parents en Windows et celui du morbac (le geek ado enfermé dans la chambre du fond) lui est en Linux.

        La ou ça devient vraiment intéressant et la où Samba montre toute ces capacités c'est dans un environnement d'entreprise. Un petit cas, tout les serveurs sont en Linux / Unix et tout les postes utilisateurs sont en Windows (à cause de différent logiciel qui ne fonctionne que sur Windows). Pour reproduire le shema AD il faut s'équiper de OpenLdap pour centraliser les comptes utilisateurs, Cups pour gérer les spool des imprimantes réseaux, Samba lui est chargé de faire l'interface de communication entre tout ces services, gérer les connexions, les partages de fichiers côtés serveurs. Voila comment j'utilise Samba au boulot, entre serveur Linux / Unix je passe par nfs bien plus simple à mettre en place et à faire fonctionner mais ça ne fait pas la même chose.

        Ce qui ressort du journal est : Pourquoi il n'existe pas un équivalent à Active Directory dans le monde Linux ? Pourquoi l'équipe de Samba et autres s'acharnent à vouloir re-créer un Active Directory pour plate-forme Linux et compatible avec Windows ?

        L'exemple du monde professionnel montre pourquoi Samba est nécessaire.

        Maintenant ma question philosophique. Avant je rappel une petite phrase de mon commentaire précédente :
        Ensuite vient la question de l'interopérabilité... Il me semble que Linux et le logiciel libre au sens large apporte une grande importance à cette liberté ?
        L'enfermement dans une solution global, même dev par une communauté, fait perdre la liberté de choix malheureusement c'est à mon avis le seul moyen d'avoir une solution qui prend en charge la totalité du problème. C'est un peu le serpent qui se mord la queue.

        Pourquoi j'ai parlé de XMPP ? Dans le cas d'un projet qui est dev uniquement pour un environnement Linux / Unix, il me semble que c'est un bon protocole pour faire communiquer ce petit monde. Après je ne connais pas les détails de ce protocole. Mais une solution faite uniquement pour Linux / Unix va à l'encontre de l'interopérabilité des systèmes.

        Malgré tout le mal qu'on peut dire d'AD, la base et l'idée est pas trop mal et il n'est pas forcement nécessaire de re-inventer la roue par pure idéologie.

        Born to Kill EndUser !

        • [^] # Re: Qui a dit que Samba ne servait à rien ?!

          Posté par . Évalué à 9.

          Active Directory est un service Microsoft basé sur la norme LDAP mais très très loin du standard LDAP.

          Oui et non. Le LDAP de l'AD est très proche de la norme LDAP (ils ont juste rajouté une méthode d'authentification un peu meilleure mais non standard, si j'ai bonne mémoire). Les difficultés elles viennent pour beaucoup des schémas (manière de ranger les données) utilisés, qui n'ont pas grand chose à voir avec les schémas "classiques" des serveurs LDAP libres et/ou antérieurs. Mais d'un autre côté, la norme LDAP spécifie l'accès aux données, et pas leur structure, donc pas grand chose à leur reprocher de ce côté-là (d'autant que, de manière générale, dès que tu veux faire dialoguer des implémentations vraiment différentes d'LDAP, tu galères... Microsoft ou pas). D'ailleurs, sur les versions récentes de 2003 server (et sur 2008, je suppose), des schémas "Unix-friendly" sont installables très facilement (ce qui permet de définir des noeuds de type "posixAccount" sans s'emmerder à installer ServicesForUnix). Et de toutes manières, tu pouvais déjà avant définir tes propres schémas dans le LDAP Microsoft.

          L'autre gros ajout, ça a été de coupler LDAP à Kerberos (pour une authentification plus "user-friendly" ET plus sécurisée). Comme je l'ai dit plus haut, c'est ça la véritable "nouveauté" de l'AD, puisqu'elle permet de ne plus saisir son mot de passe une seule fois et - via un ticket obtenu à cette occasion - de propager cette authentification aux autres "noeuds" du système. Et là, effectivement, le Kerberos de Microsoft ne s'entend pas très bien avec les implémentations libres (MIT Kerberos et Heimdal). Cela dit, pour en avoir fait le test récemment, ça s'est amélioré, et il est désormais envisageable d'exploiter l'authentification "intégrée Windows" sur un serveur Apache sans passer quinze jours à tout configurer. En tout état de cause, la notion de même de "jonction LDAP/Kerberos" n'est - à ma connaissance - pas normalisée à l'heure actuelle, ce qui contribue encore davantage à la complexité de la chose.

          Par contre, comme je le notais plus haut, Kerberos reste une technologie "de précision". Il est terriblement dépendant de la structure de ton DNS (ce qui ne se marie que très modérément avec les "mises-à-jour dynamiques" implémentées par Microsoft, mais tant pis), de la synchronisation des horloges de tes PCs, etc. Et il reste difficile à appréhender pour un néophyte. Comme c'est bien emballé dans un packaging à la Microsoft, la plupart des admins Windows n'ont jamais à mettre les mains dedans. Mais je garantis que dès qu'on le fait, c'est très très très fun. Sans compter que les outils "avancés" fournis pas MS ne sont pas toujours très fonctionnels, et qu'il vaut mieux prendre le temps de faire toutes les mises à jour possibles avant d'attaquer ce genre de manipulation.
  • # implémentassion ?

    Posté par (page perso) . Évalué à 4.

    Je trouve que implémentassion est un bien joli mot. C'est dommage qu'il soit systématiquement souligné en rouge par mon correcteur orthographique...

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.