Journal Active Directory, Open Directory... et pour Linux ?

Posté par  .
Étiquettes : aucune
0
1
juin
2003
Mon journal à moi,

pour une première question, en voici une.
Je vais peut être dire une bêtise, même... mais sait-on jamais.

De par mon job d'administrateur système, j'ai bien dû assister à une formation pour l'admin de Windows 2000 Server. A priori, ça me rebutait, mais il y a certes des choses intéressantes à y découvrir.

Notamment, Active Directory, permettant d'administrer à partir d'un seul arbre, d'un seul poste, l'ensemble d'un parc informatique, depuis les ressources disponibles (ordinateurs et imprimantes, entre autres) jusqu'aux utilisateurs (et tous les droits qui leurs sont associés).
C'est assez grisant.

Ma question est : existe-t-il un équivalent pour Unix, mis à part l'Open Directory d'Apple ?

En effet, la gestion d'utilisateurs et de groupes est "pas mal", mais me semble avoir certaines limitations par rapport à une gestion via un annuaire, comme AD, OD ou LDAP (sur lequel reposent les deux précédents).


Bref. Je sais que l'authentification LDAP fonctionne sous Unix, mais y-a-t-il plus ? Y a-t-il des projets pour la gestion globale d'un parc informatique (gestion des ressources réseaux et droits d'accès compris) ?

  • # Re: Active Directory, Open Directory... et pour Linux ?

    Posté par  . Évalué à 5.

    avec un annuaire ldap tu peux gérer l'authentification, le dns (avec ldapdns), le système de mail (avec sendmail, postfix, qmail, cyrus-imap,..), les autorisations sous squid (je crois), l'authentification sous proftpd, apache, et n'importe quel intranet en php pour les droits d'accès aux ressources, je crois que le mieux est d'utiliser des serveurs samba avec support des acl mais là je maitrise pas énormément l'équivalent pour unix de active directory est openldap... couplé avec les applications l'utilisant il y a certaines choses qui manquent encore a openldap par rapport à active directory je trouve, comme les aci (controle d'acces stocké dans les attributs de chaque objet)

    • [^] # Re: Active Directory, Open Directory... et pour Linux ?

      Posté par  . Évalué à 2.

      oups je précise que samba peut utiliser openldap comme backend pour sa base d'utilisateurs et de groupes

    • [^] # Re: Active Directory, Open Directory... et pour Linux ?

      Posté par  . Évalué à 1.

      il y a certaines choses qui manquent encore a openldap par rapport à active directory je trouve, comme les aci (controle d'acces stocké dans les attributs de chaque objet) Huh ?

      • [^] # Re: Active Directory, Open Directory... et pour Linux ?

        Posté par  . Évalué à 3.

        ouep, dans active directory les informations de controle d'acces sont stockées dans l'attribut nTSecurityDescriptor de chaque entrée il y est indiqué quel utilisateur ou groupe a accès (et de quel type d'accès il s'agit) à l'entrée considérée ça permet de modifier le contrôle d'accès depuis n'importe quelle application, et via LDAP (donc sans avoir à redémarrer le serveur ldap, comme c'est nécessaire pour l'instant avec openLDAP, puisque le controle d'accès est défini dans le fichier de configuration slapd.conf pour l'instant) OpenLDAP commence à le supporter (attribut opérationnel openLdapAcl), mais on en est encore au stade expérimental (option --enable-aci nécessaire à la compilation) rechercher "aci" dans les archives de la liste openldap-software pour plus d'info, la doc est dans la FAQ sur www.openldap.org, section access control quelque part dans l'arborescence

        • [^] # Re: Active Directory, Open Directory... et pour Linux ?

          Posté par  . Évalué à 1.

          je précise de plus qu'un systeme de ce genre est discuté dans un draft de l'ietf, je n'ai plus l'url sous la main, chercher "ldap acl" dans le moteur de recherche du site de l'ietf en effet le controle d'acces est un des gros pbs du standard ldap, car il n'en fait aps encore partie, et que chacun y va de son modèle, ce qui n'est pas top pour l'intéropérabilité (par contre c'est bien, ça fait des sujets de stage :) )

  • # Re: Active Directory, Open Directory... et pour Linux ?

    Posté par  . Évalué à 3.

    Il y a OpenLDAP http://www.openldap.org/ , qui, lui, est libre et qui, lui, respecte les RFCs. Un OpenLDAP avec la libpam-ldap et la libnss-ldap permet une gestion vraiment transparente des utilisateurs (encore mieux qu'avec NIS). Pour les reste, cf le message de François Beretti, en précisant juste que Exim aussi supporte LDAP et que qmail n'est PAS libre. Au pire, pour les applis n'ayant pas un support natif de LDAP, il reste la bonne vieille méthode unixienne des scripts shells appelants les clients ldap en ligne de commande comme ldapsearch, ou bien les modules PERL (ou autre) LDAP.

  • # Re: Active Directory, Open Directory... et pour Linux ?

    Posté par  . Évalué à 1.

    Ok. Merci à tous pour vos infos et commentaires. Ca me donne des pistes de recherche.

    Merci merci. :-)

  • # Re: Active Directory, Open Directory... et pour Linux ?

    Posté par  . Évalué à 1.

    je suis dans une entreprise qui se lance dans une strategie Open Source. Dans ce cadre nous cherchons une alternative à Windows 200x. Notre problème, gérer l'authentification des utilisateurs de poste XP avec Open LDAP, gerer aussi les systemes de fichiers locaux XP ou W2000x avec ces mêmes outils. Je cherche des piste ... Merci

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.