Journal RedHat Directory Server

Posté par Nap le 02 juin 2005 à 17:46.

Étiquettes :

juin

2005

Bonjour tout le monde

Personne n'en a encore parlé, ou alors je file m'acheter des lunettes :

RedHat vient de sortir RedHat Directory Server.

C'est je pense un effort commercial très important et sur lequel il placent beaucoup d'espoir. Ce produit est issu de Netscape Directory Server, racheté à AOL pour 25 millions de dollars dans mon souvenir.

http://www.redhat.com/software/rha/directory/(...)

RDS est évidemment Open Source, et le pendant du projet chez Fedora dispose de son site à lui :

http://directory.fedora.redhat.com/(...)

La licence est une version modifiée de la GPL, pour permettre de construire des plugins propriétaires.

http://directory.fedora.redhat.com/wiki/Annotated_GPL_Exception_Lic(...)

Son grand concurrent Open Source est OpenLDAP

http://www.openldap.org(...)

il y a aussi plein de copain open source, que m'ont gentiment indiqué des DLFPiens sur un précédent journal : http://linuxfr.org/~nap/18222.html(...)

Ses grands concurrents commerciaux sont les suivants :
- SUN One Directory Server, qui doit avoir les boules car il est aussi issu de Netscape Directory Server, mais SUN a du le payer infiniment plus cher que RedHat
- Novell eDirectory
- Microsoft Active Directory

Cette énumération montre dans quelle cour de récréation vient d'entrer RedHat, et l'importance que doit représenter ce projet.

Si j'ai le temps de regarder les fonctionnalités de la bête (on parle d'une puissante architecture de certificats), je ferai une dépêche.

Ah, DLFP m'informe que les lunettes, c'est pour bientôt, ainsi que les pilules pour la mémoire. Quelqu'un a déjà causé de ça, mais c'était avant la sortie, et puis il y a au moins 5 jours, et puis on a bien parlé mille fois du TCE, qui est loin d'avoir l'importance concrète pour le libre qu'a RDS.
http://linuxfr.org/~special_k/18256.html(...)

# Vis à vis de la concurrence

Posté par sk le 02 juin 2005 à 20:30. Évalué à 1.

C'est vrai que c'est passé assez inaperçu, alors que le choix d'un annuaire en entreprise a un impact direct sur ce qu'on va retrouver au niveau OS sur le reste du parc.

Cependant, RedHat ne joue pas encore dans la même cours que SUN et Novell (je sais j'exclue AD là, mais j'ai encore du mal à le considérer comme un annuaire généraliste). SUN One a plus grand chose à voir avec iPlanet maintenant (il y a plein de fonctionnalités en plus, notamment de méta-annuaire).
Je pense cependant que RedHat va tenter de s'aligner et fournir en opensource les services de meta-annuaire qui vont bien. Je pense que c'est surtout sur çà que se démarquent les différents annuaires actuels.

Il reste donc pas mal de boulot encore pour RedHat, mais ca reste malgré tout une petite révolution. La route a beau être encore longue, la pente est douce :)
- [^] # Re: Vis à vis de la concurrence
  
  Posté par oops (site web personnel) le 02 juin 2005 à 20:46. Évalué à 4.
  
  > (il y a plein de fonctionnalités en plus, notamment de méta-annuaire)
  
  La demande de "meta-annuaire" reste marginal ( de mon expérience )
  et surtout plus un buzz qu'autre chose
  
  Quelles sont les autres fonctionalités en plus ?
  - [^] # Re: Vis à vis de la concurrence
    
    Posté par sk le 02 juin 2005 à 21:06. Évalué à 0.
    
    > La demande de "meta-annuaire" reste marginal ( de mon expérience )
    
    De la mienne, ca représente 90% des demandes des entreprises là où je bosse (et je peux t'assurer que le marché des méta-annuaires n'est pas du tout marginal par rapport à l'annuaire pur).
    C'est pas bien compliqué à comprendre pourquoi: la plupart des entreprises ont déjà un AD pour leur(s) domaine(s) et aimeraient pas avoir à synchroniser des comptes. Même raisonnement pour celles qui ont leur messagerie sous Exchange ou Notes. Ou celles qui ont des progiciels sous SAP. Je pense qu'il y a encore beaucoup d'autres exemples.
    
    Pour les autres fonctionnalités de Directory Server, il suffit de visiter le lien que l'auteur de ce journal a pris la peine de copier (en vrac: réplication, PKI, solidité, etc.)
    - [^] # Re: Vis à vis de la concurrence
      
      Posté par Raoul Volfoni (site web personnel) le 02 juin 2005 à 22:28. Évalué à 3.
      
      > Même raisonnement pour celles qui ont leur messagerie sous Exchange ou Notes. Ou celles qui ont des progiciels sous SAP.
      
      Puis-je te demander en quelques lignes ce qui caractérise un méta-annuaire stp? J'ai un peu de mal à suivre mais j'aimerai bien comprendre. ;)
      
      Merci.
      - [^] # Re: Vis à vis de la concurrence
        
        Posté par sk le 02 juin 2005 à 23:02. Évalué à 4.
        
        Rapidement, un méta-annuaire est un annuaire permettant de "consolider" des objets en provenances de plusieurs sources de données. Ces sources de données peuvent être un annuaire ActiveDirectory, une base de comptes Lotus, des fichiers csv déposés dans un répertoire, une application Java, etc.
        
        L'intérêt pratique, c'est de n'avoir qu'une seule base à modifier. Tu modifies ton mot de passe dans le méta-annuaire et c'est répercuté automatiquement sur tous les autres services rattachés, et inversement (tu modifies ton mot de passe dans AD, c'est répercuté dans le meta).
        Ce sont souvent des solutions très très souples. Par exemple, si tu as un fichier csv en entrée, tu peux faire en sorte que l'annuaire crée automatiquement certains attributs parfois manquants (uid, mdp aléatoire, etc.), fasse certaines actions (supprimer un autre objet dans l'annuaire, envoyer un mail d'alerte, etc.)
        En une phrase, un méta annuaire, c'est un annuaire avec pleins de backends/sources de données différents.
        
        [^] # Re: Vis à vis de la concurrence
        
        Posté par Nap le 02 juin 2005 à 23:15. Évalué à 5.
        
        A ce propos, le standard SPML (service provisionning markup language) de chez OASIS vise à standardiser ce genre de mécanisme de gestion centralisée des différentes ressources informatisées, comme la création de comptes dans différentes bases en une seule action d'administration, avec des agents s'échangeant des informations en SPML.
    - [^] # Re: Vis à vis de la concurrence
      
      Posté par Nap le 02 juin 2005 à 22:41. Évalué à 3.
      
      C'est pas bien compliqué à comprendre pourquoi: la plupart des entreprises ont déjà un AD pour leur(s) domaine(s) et aimeraient pas avoir à synchroniser des comptes.
      
      Une autre solution est possible : ma boîte développe un soft qui remplace l'authentification windows par une authentification sur un annuaire LDAP (donc éventuellement RedHat DS, je sens que la demande va arriver). On stocke les identifiants windows dans l'annuaire (chiffrés par une clé dérivée du mot de passe LDAP), donc après l'authentification on va récupérer et déchiffrer les identifiants Windows, et on ouvre une session sur le domaine. Plus besoin de méta-annuaire.
    - [^] # Re: Vis à vis de la concurrence
      
      Posté par oops (site web personnel) le 03 juin 2005 à 00:18. Évalué à 1.
      
      >De la mienne, ca représente 90% des demandes des entreprises là où je bosse
      
      Très peu de mon coté.
      Mais comme on fait uniquement du libre ...
      
      >la plupart des entreprises ont déjà un AD
      
      Je confirme....on a pas les mêmes clients :))
      
      Je pense qu'un peu de perl-python-php pour les ajouts / modifications / suppressions est souvent tout aussi efficace que les meta-bousin très cher....
      ( bon je te l'accorde PERL et script c'est moins sexy que meta, "consolider" des objets etc ... )
      
      > Pour les autres fonctionnalités de Directory Server
      
      Non je voulais dire qu'est ce que NDS a de mieux que Directory Server a part les fonctions de "meta-annuaires". ;)
      - [^] # Re: Vis à vis de la concurrence
        
        Posté par Nap le 03 juin 2005 à 00:25. Évalué à 2.
        
        Il va falloir regarder du coté de la gestion de la PKI, de la réplication, des mécanismes SASL... pas encore étudié tout ça :)
# Support des acls sur les branches ?

Posté par Jean-Yves LENHOF (site web personnel) le 03 juin 2005 à 08:27. Évalué à 1.

Un truc qui était sympa sur le DS Iplanet était la possibilité de rajouter les ACLs dynamiquement sur les feuilles.... C'est beaucoup moins lourd que OpenLDAP où il faut faire la manip sur le fichier de conf & faire un arrêt-relance.

Quelqu'un sait si celui de RedHat est équipé avec le support des ACLs ?
- [^] # Re: Support des acls sur les branches ?
  
  Posté par Nap le 03 juin 2005 à 08:40. Évalué à 2.
  
  tout-à-fait !
  
  http://www.redhat.com/docs/manuals/dir-server/ag/7.1/acl.html#10137(...)
  
  à noter qu'OpenLDAP supportera bientôt cette fonctionnalité (cf. mon précédent journal)
- [^] # Re: Support des acls sur les branches ?
  
  Posté par Benoît Bailleux (Mastodon) le 06 juin 2005 à 15:34. Évalué à 2.
  
  Les ACI (c'est leur nom) sont déjà possibles avec OpenLDAP, mais il me semble (pas pu vérifier) que c'est expérimental pour l'instant.
  Voir http://www.openldap.org/faq/data/cache/758.html(...)
  
  D'après la note de release d'OpenLDAP 2.3 (c'est pour bientôt), ça devrait y être disponible : http://www.openldap.org/lists/openldap-announce/200505/msg00000.htm(...)
  - [^] # Re: Support des acls sur les branches ?
    
    Posté par Rado R. le 16 juin 2005 à 04:41. Évalué à 1.
    
    Pour info, Open-Xchange utilise dèjà les ACI
    
    http://mirror.open-xchange.org/(...)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.