Administration LDAP : sortie de LDAP Account Manager 0.5 et phpldapadmin 0.9.7

Posté par . Modéré par Sylvain Rampacek.
Tags :
0
29
sept.
2005
Internet
Les deux outils Libres les plus couramment cités et utilisés pour la gestion des serveurs LDAP via une interface web viennent de sortir une nouvelle version :

LDAP Account Manager (LAM) est sorti en version 0.5

LAM est particulièrement orienté gestion de comptes utilisateurs. Il permet en effet :
- la gestion des comptes ou groupes Unix (posix)
- la gestion des utilisateurs et machines Samba 2.x/3
- la gestion des quotas
- le support des mots de passes hachés
- la sortie en PDF pour les comptes des utilisateurs/groupes/machines.
Par ailleurs, il supporte le LDAP+SSL est multi-langue (Anglais, Français, Allemand, Hongrois et Japonais) et est entièrement en UTF-8. La version 0.5 sort après 3 releases candidates, elles ont toutes apportées un nombre important d'ajouts et de modifications depuis la 0.4.1. Le ChangeLog donne les détails du travail réalisé en seulement deux mois de développement.

phpldapadmin est sorti en version 0.9.7

phpldapadmin est un projet plus important que LAM, il s'agit de gérer plus complètement un serveur LDAP. Il propose de nombreuses fonctionnalités:
- Gestion du LDAP en arborescence
- Permet la copie ou la suppression récursive d'arborescences complètes
- Ajout/suppression/Copie/Renommage des entrées
- Visualisation et édition des attributs des images
- Recherche
- Export au format LDIF et DSML
- Import au format LDIF
- Gestion des mots de passes hachés (sha, crypt, md5, blowfish, md5crypt)
- Détermine automatiquement le DN du serveur LDAP
- Gestion des hyperliens
- Support d'un dizaine de langues
Cette nouvelle version arrive après la 0.9.6 sortie en avril, elle apporte notamment le support complet du PHP5 et un nouveau moteur de templates et de configuration qui utilise des fichiers XML

Si certains connaissent plus complètement ces projets ou ont eu l'occasion de les comparer, leurs expériences sont les bienvenues.

Aller plus loin

  • # JXplorer

    Posté par (page perso) . Évalué à 2.

    Personnellement, j'utilise JXplorer que je trouve très bien et qui marche nickel.
    http://pegacat.com/jxplorer/(...)

    A propos de LDAP, quelqu'un sait si Thunderbird peut utiliser en ECRITURE un carnet d'adresse sur serveur LDAP ?
    • [^] # Re: JXplorer

      Posté par . Évalué à 2.

      A propos de LDAP, quelqu'un sait si Thunderbird peut utiliser en ECRITURE un carnet d'adresse sur serveur LDAP ?

      Pas que je sache, c'est pas trop son rôle en plus.
      • [^] # Re: JXplorer

        Posté par . Évalué à 3.

        ca pourrait être pratique pour synchroniser un carnet d'adresses partagé en LDAP avec le carnet dynamique de thundebird, pour pouvoir profiter de ces adresses facilement en utilisant d'autres MUA (genre mutt en ssh externe).

        Dans ce genre d'utilisation, Thunderbird savait sortir l'ensemble de son carnet d'adresse sous format LDIF (avec un schéma qui peut-être différent de celui choisi pour le carnet d'adresse mais bon...)
    • [^] # Re: JXplorer

      Posté par . Évalué à 2.

      C'est vrai que personne ne le fait, pourtant ça ne devrait pas être très compliquer, il y a juste quelques points à gérer :
      - où créer les objets ? Il faut une interface avec un browser pour choisir l'emplacement des entrées à ajouter
      - quel schéma utiliser ? Il faut une interface pour configurer les attributs LDAP correspondant aux champs particuliers des entrées
      - comment gérer les problèmes de droits d'accès ? Tu peux avoir le droit de modifier seulement certains attributs
      - stocker les identifiants permettant de s'authentifier (dans le password manager)
    • [^] # Re: JXplorer

      Posté par . Évalué à 1.

      De mémoire il a une contrainte non-négligeable: il ne propose pas de hasher (crypt, MD5, SHA-1, MD5CRYPT...) les mots de passes (champ Password). Par conséquent, les mots de passe sont nécessairement stockés en clair. Ceci peut être souhaité pour certains usage. Exemple: un RADIUS utilise l'annuaire pour des authentification par challenge comme MS-CHAPv2 (au travers d'un EAP-PEAP ou EAP-TTLS, sinon MS-CHAPv2 c'est mal, CQFD). Mais pour un annuaire utilisé par des services tels que PAM (auth UNIX), Apache, etc ... il faut pouvoir hasher les mots de passe si la politique n'est pas clairement un stockage en clair.

      J'utilise conjointement GQ (interface GTK+) et PhpLdapAdmin: c'est un bon compromis pour à peu près tout faire. (GQ ne propose pas le hashage MD5CRYPT contrairement a phpLdapAdmin, ce qui est requis pour faire de l'authentification UNIX/PAM avec autre chose que la vieille fonction de hashage crypt()).
      • [^] # Re: JXplorer

        Posté par . Évalué à 2.

        Par conséquent, les mots de passe sont nécessairement stockés en clair


        Cela dépend fortement de l'implémentation du serveur. Par exemple, si un jour tu utilises IBM Tivoli Directory Server, tu verras que ce serveur demande obligatoirement les mots de passe en clair, mais qu'il les chiffre lui-même avant de les stocker avec un algo que l'on peut choisir dans la configuration du serveur.
  • # Authentification centralisée : en cas de panne ?

    Posté par (page perso) . Évalué à 1.

    Bonjour,

    Dans le cas d'un serveur LDAP servant de serveur d'authentification centralisée, c'est-à-dire étant utilisé par différents services comme samba, un MTA, éventuellement apache, etc... que se passe-t-il quand le serveur LDAP tombe en panne ?

    Quelles sont les solutions pour limiter la casse ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.