Utiliser   Améliorer   Prêcher




                      Introduction à
                           LDAP

mercredi 6 mai 20...
Utiliser   Améliorer   Prêcher




                      Introduction à
                           LDAP

mercredi 6 mai 20...
Utiliser   Améliorer   Prêcher



     Sommaire




                                                 
mercredi 6 mai 2009
Utiliser   Améliorer   Prêcher



     Sommaire
            Historique rapide
          

           Les concepts

     ...
Historique




mercredi 6 mai 2009
Historique




mercredi 6 mai 2009
Utiliser   Améliorer   Prêcher



     Historique rapide




                                                    
mercred...
Utiliser   Améliorer   Prêcher



     Historique rapide
            Découle des annuaires X.500
          

           ...
Les concepts LDAP




mercredi 6 mai 2009
Les concepts LDAP




mercredi 6 mai 2009
Utiliser   Améliorer   Prêcher



     LDAP c’est quoi ?




                                                    
mercred...
Utiliser   Améliorer   Prêcher



     LDAP c’est quoi ?
              LDAP signifie Lightweight Directory Access
        ...
Utiliser   Améliorer   Prêcher



     LDAP c’est quoi ?
              LDAP signifie Lightweight Directory Access
        ...
Utiliser   Améliorer   Prêcher



     LDAP c’est quoi ?
              LDAP signifie Lightweight Directory Access
        ...
Utiliser   Améliorer   Prêcher



     Les différences avec un SGBD




                                                  ...
Utiliser   Améliorer   Prêcher



     Les différences avec un SGBD
              Protocole de communication unique
      ...
Utiliser   Améliorer   Prêcher



     Les différences avec un SGBD
            Protocole de communication unique
        ...
Utiliser   Améliorer   Prêcher



     Les différences avec un SGBD
            Protocole de communication unique
        ...
Utiliser   Améliorer   Prêcher



     Les différences avec un SGBD
            Protocole de communication unique
        ...
Utiliser   Améliorer   Prêcher



     Les différences avec un SGBD
            Protocole de communication unique
        ...
Utiliser   Améliorer   Prêcher



     Exemple d’objet LDAP




                                                       
m...
Utiliser   Améliorer   Prêcher



     Exemple d’objet LDAP




                                                       
m...
Utiliser   Améliorer   Prêcher



     Les schémas LDAP




                                                   
mercredi ...
Utiliser   Améliorer   Prêcher



     Les schémas LDAP
              Un schéma définit un ou plusieurs objectClass
      ...
Utiliser   Améliorer   Prêcher



     Les schémas LDAP
            Un schéma définit un ou plusieurs objectClass
        ...
Utiliser   Améliorer   Prêcher



     Les schémas LDAP
            Un schéma définit un ou plusieurs objectClass
        ...
Utiliser   Améliorer   Prêcher



     Les schémas LDAP
            Un schéma définit un ou plusieurs objectClass
        ...
Utiliser   Améliorer   Prêcher



     Les objectClass




                                                
mercredi 6 m...
Utiliser   Améliorer   Prêcher



     Les objectClass
              Il en existe trois types
          

               ...
Utiliser   Améliorer   Prêcher



     Les objectClass
              Il en existe trois types
          

               ...
Utiliser   Améliorer   Prêcher



     Les objectClass
              Il en existe trois types
          

               ...
Utiliser         Améliorer   Prêcher
                      syntaxe:
                      dn, boolean,
                   ...
Utiliser      Améliorer   Prêcher
                                                    syntaxe:
                           ...
Utiliser      Améliorer   Prêcher
                                                    syntaxe:
                           ...
Utiliser   Améliorer   Prêcher



     Le DIT : Directory Information Tree




                                           ...
Utiliser   Améliorer   Prêcher



     Le DIT : Directory Information Tree
              Structure logique d’une hiérarchi...
Utiliser   Améliorer   Prêcher



     Le DIT : Directory Information Tree
            Structure logique d’une hiérarchie,...
Utiliser   Améliorer   Prêcher



     Le DIT : Directory Information Tree
            Structure logique d’une hiérarchie,...
Utiliser   Améliorer   Prêcher



     Le DIT : Directory Information Tree
            Structure logique d’une hiérarchie,...
Utiliser   Améliorer   Prêcher



     Le DIT : Directory Information Tree




                                           ...
Utiliser   Améliorer      Prêcher



     Le DIT : Directory Information Tree
              Sa conception est probablement...
Utiliser   Améliorer   Prêcher



     Le DIT : Directory Information Tree




                                           ...
Utiliser   Améliorer   Prêcher



     Le DIT : Directory Information Tree
              Quelques conventions
          
...
Utiliser   Améliorer    Prêcher



     Le DIT : Directory Information Tree
              Quelques conventions
          ...
Utiliser   Améliorer   Prêcher



     Le DIT : Directory Information Tree
            Exemple d’arbre simple

           ...
LDAP et la gestion d’identité




mercredi 6 mai 2009
LDAP et la gestion d’identité




mercredi 6 mai 2009
Utiliser   Améliorer   Prêcher



     IAM : Pourquoi LDAP ?




                                                      
...
Utiliser   Améliorer   Prêcher



     IAM : Pourquoi LDAP ?
              Représentation hiérarchique
          

      ...
Utiliser   Améliorer   Prêcher



     IAM : Pourquoi LDAP ?
              Représentation hiérarchique
          

      ...
Utiliser   Améliorer   Prêcher



     IAM : Pourquoi LDAP ?




                                                      
...
Utiliser   Améliorer     Prêcher



     IAM : Pourquoi LDAP ?
              Une gestion des droits fine
          

    ...
Utiliser   Améliorer   Prêcher



     Un petit mot sur le provisionning




                                             ...
Utiliser   Améliorer   Prêcher



     Un petit mot sur le provisionning
              Disposer d’outils permettant d’alim...
Utiliser   Améliorer   Prêcher



     Un petit mot sur le provisionning
            Disposer d’outils permettant d’alimen...
Utiliser   Améliorer   Prêcher



     Un petit mot sur le provisionning
            Disposer d’outils permettant d’alimen...
Utiliser   Améliorer   Prêcher



     Les raisons techniques




                                                       ...
Utiliser   Améliorer   Prêcher



     Les raisons techniques
              protocole d’accès unifié, en résulte une
     ...
Utiliser   Améliorer   Prêcher



     Les raisons techniques
            protocole d’accès unifié, en résulte une
       ...
Utiliser   Améliorer   Prêcher



     Les raisons techniques
            protocole d’accès unifié, en résulte une
       ...
La pratique
                      DSEE, NSS/PAM, Démo




mercredi 6 mai 2009
La pratique
                      DSEE, NSS/PAM, Démo




mercredi 6 mai 2009
Utiliser   Améliorer   Prêcher



     Directory Server Enterprise Edition




                                           ...
Utiliser   Améliorer   Prêcher



     Directory Server Enterprise Edition
              Composante de JES5
          


...
Utiliser   Améliorer   Prêcher



     Directory Server Enterprise Edition
            Composante de JES5
          

   ...
Utiliser   Améliorer   Prêcher



     Directory Server Enterprise Edition
            Composante de JES5
          

   ...
Utiliser   Améliorer   Prêcher



     Directory Server Enterprise Edition
            Composante de JES5
          

   ...
Utiliser   Améliorer   Prêcher



     Utilisation de LDAP pour les NSS




                                              ...
Utiliser   Améliorer   Prêcher



     Utilisation de LDAP pour les NSS
              NameServiceSwitch
          




  ...
Utiliser   Améliorer   Prêcher



     Utilisation de LDAP pour les NSS
              NameServiceSwitch
          

     ...
Utiliser   Améliorer   Prêcher



     Utilisation de LDAP pour les NSS
              NameServiceSwitch
          

     ...
Utiliser   Améliorer   Prêcher



     Utilisation de LDAP pour les NSS
              NameServiceSwitch
          

     ...
Utiliser   Améliorer   Prêcher



     Utilisation de LDAP pour les NSS
              NameServiceSwitch
          

     ...
Utiliser          Améliorer            Prêcher



     à propos de PAM
                       auth: id/pass OK
           ...
Utiliser          Améliorer            Prêcher



     à propos de PAM
              Pour rappel, PAM est une couche      ...
Utiliser          Améliorer            Prêcher



     à propos de PAM
              Pour rappel, PAM est une couche      ...
Utiliser          Améliorer            Prêcher



     à propos de PAM
              Pour rappel, PAM est une couche      ...
Utiliser          Améliorer            Prêcher



     à propos de PAM
              Pour rappel, PAM est une couche      ...
Utiliser   Améliorer   Prêcher



     Les différences entre NSS et PAM




                                              ...
Utiliser   Améliorer   Prêcher



     Les différences entre NSS et PAM
              Les deux sont complémentaires, mais ...
Utiliser    Améliorer   Prêcher



     Les différences entre NSS et PAM
            Les deux sont complémentaires, mais p...
Utiliser    Améliorer   Prêcher



     Les différences entre NSS et PAM
            Les deux sont complémentaires, mais p...
Utiliser   Améliorer   Prêcher



     Au cas où




                                               
mercredi 6 mai 2009
Utiliser   Améliorer   Prêcher



     Au cas où




                                               
mercredi 6 mai 2009
Utiliser   Améliorer   Prêcher



     Au cas où




                                               
mercredi 6 mai 2009
Utiliser   Améliorer   Prêcher



     Au cas où




                                               
mercredi 6 mai 2009
Démonstration : DSEE, Solaris




mercredi 6 mai 2009
Démonstration : DSEE, Solaris




mercredi 6 mai 2009
Autres ressources




mercredi 6 mai 2009
Autres ressources




mercredi 6 mai 2009
Utiliser   Améliorer   Prêcher



     Les autres outils




                                                  
mercredi...
Utiliser   Améliorer   Prêcher



     Les autres outils
              OpenLDAP
          




                          ...
Utiliser   Améliorer   Prêcher



     Les autres outils
            OpenLDAP
          

           Apache Directory St...
Utiliser   Améliorer   Prêcher



     Les autres outils
            OpenLDAP
          

           Apache Directory St...
Utiliser   Améliorer   Prêcher



     Les autres outils
            OpenLDAP
          

           Apache Directory St...
Utiliser   Améliorer   Prêcher



     Liens
            http://docs.sun.com/
          

           http://linagora.org...
Prochain SlideShare
Chargement dans…5
×

Ldap

2 945 vues

Publié le

Introduction à LDAP
Utilsiation de LDAP pour les services de nommage sous solaris

Publié dans : Technologie
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
2 945
Sur SlideShare
0
Issues des intégrations
0
Intégrations
16
Actions
Partages
0
Téléchargements
106
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Ldap

  1. 1. Utiliser Améliorer Prêcher Introduction à LDAP mercredi 6 mai 2009
  2. 2. Utiliser Améliorer Prêcher Introduction à LDAP mercredi 6 mai 2009
  3. 3. Utiliser Améliorer Prêcher Sommaire  mercredi 6 mai 2009
  4. 4. Utiliser Améliorer Prêcher Sommaire Historique rapide   Les concepts  LDAP et la gestion d’identité  Démonstration  Autre ressources  mercredi 6 mai 2009
  5. 5. Historique mercredi 6 mai 2009
  6. 6. Historique mercredi 6 mai 2009
  7. 7. Utiliser Améliorer Prêcher Historique rapide  mercredi 6 mai 2009
  8. 8. Utiliser Améliorer Prêcher Historique rapide Découle des annuaires X.500   L’ensemble du protocole LDAP est aujourd’hui disponible via les RFC  Certains objets sont définis via une RFC c’est le cas par exemple de inetOrgPerson (RFC 2798) − LDAP est une simplification de X.500   Dernière version : LDAPv3 (depuis 1998)  mercredi 6 mai 2009
  9. 9. Les concepts LDAP mercredi 6 mai 2009
  10. 10. Les concepts LDAP mercredi 6 mai 2009
  11. 11. Utiliser Améliorer Prêcher LDAP c’est quoi ?  mercredi 6 mai 2009
  12. 12. Utiliser Améliorer Prêcher LDAP c’est quoi ? LDAP signifie Lightweight Directory Access  Protocol, c’est donc avant tout un protocole de communication, au − même titre que HTTP  mercredi 6 mai 2009
  13. 13. Utiliser Améliorer Prêcher LDAP c’est quoi ? LDAP signifie Lightweight Directory Access  Protocol, c’est donc avant tout un protocole de communication, au − même titre que HTTP On peut donc utiliser le même protocole pour  dialoguer avec un annuaire, quelque soit son origine (et même avec des pseudo annuaires)  mercredi 6 mai 2009
  14. 14. Utiliser Améliorer Prêcher LDAP c’est quoi ? LDAP signifie Lightweight Directory Access  Protocol, c’est donc avant tout un protocole de communication, au − même titre que HTTP On peut donc utiliser le même protocole pour  dialoguer avec un annuaire, quelque soit son origine (et même avec des pseudo annuaires)  Définit des opérations (search, add, modify, delete) − une nomenclature (objets, attributs) − la sécurité (authentification, chiffrement) −  mercredi 6 mai 2009
  15. 15. Utiliser Améliorer Prêcher Les différences avec un SGBD  mercredi 6 mai 2009
  16. 16. Utiliser Améliorer Prêcher Les différences avec un SGBD Protocole de communication unique   mercredi 6 mai 2009
  17. 17. Utiliser Améliorer Prêcher Les différences avec un SGBD Protocole de communication unique   Base de données hiérarchiques Plutôt une vision fonctionnelle que technique − Une entrée du même niveau ne possède pas forcément les  mêmes informations qu’une autre  Représentation sous forme d’un arbre  mercredi 6 mai 2009
  18. 18. Utiliser Améliorer Prêcher Les différences avec un SGBD Protocole de communication unique   Base de données hiérarchiques Plutôt une vision fonctionnelle que technique − Une entrée du même niveau ne possède pas forcément les  mêmes informations qu’une autre  Représentation sous forme d’un arbre Orientée lecture plutôt qu’écriture   mercredi 6 mai 2009
  19. 19. Utiliser Améliorer Prêcher Les différences avec un SGBD Protocole de communication unique   Base de données hiérarchiques Plutôt une vision fonctionnelle que technique − Une entrée du même niveau ne possède pas forcément les  mêmes informations qu’une autre  Représentation sous forme d’un arbre Orientée lecture plutôt qu’écriture   Administration “relativement” plus facile  mercredi 6 mai 2009
  20. 20. Utiliser Améliorer Prêcher Les différences avec un SGBD Protocole de communication unique   Base de données hiérarchiques Plutôt une vision fonctionnelle que technique − Une entrée du même niveau ne possède pas forcément les  mêmes informations qu’une autre  Représentation sous forme d’un arbre Orientée lecture plutôt qu’écriture   Administration “relativement” plus facile  Réplication multi-maîtres plus courante  mercredi 6 mai 2009
  21. 21. Utiliser Améliorer Prêcher Exemple d’objet LDAP  mercredi 6 mai 2009
  22. 22. Utiliser Améliorer Prêcher Exemple d’objet LDAP  mercredi 6 mai 2009
  23. 23. Utiliser Améliorer Prêcher Les schémas LDAP  mercredi 6 mai 2009
  24. 24. Utiliser Améliorer Prêcher Les schémas LDAP Un schéma définit un ou plusieurs objectClass  (types d’objets) ainsi que des attributs  mercredi 6 mai 2009
  25. 25. Utiliser Améliorer Prêcher Les schémas LDAP Un schéma définit un ou plusieurs objectClass  (types d’objets) ainsi que des attributs  Un objectClass définit des attributs obligatoires, optionnels − une éventuelle relation avec d’autres types d’objets −  mercredi 6 mai 2009
  26. 26. Utiliser Améliorer Prêcher Les schémas LDAP Un schéma définit un ou plusieurs objectClass  (types d’objets) ainsi que des attributs  Un objectClass définit des attributs obligatoires, optionnels − une éventuelle relation avec d’autres types d’objets − Un attribut définit  une syntaxe (contenu) − une méthode de recherche −  mercredi 6 mai 2009
  27. 27. Utiliser Améliorer Prêcher Les schémas LDAP Un schéma définit un ou plusieurs objectClass  (types d’objets) ainsi que des attributs  Un objectClass définit des attributs obligatoires, optionnels − une éventuelle relation avec d’autres types d’objets − Un attribut définit  une syntaxe (contenu) − une méthode de recherche − Chaque objet d’un schéma est identifié par un  OID  mercredi 6 mai 2009
  28. 28. Utiliser Améliorer Prêcher Les objectClass  mercredi 6 mai 2009
  29. 29. Utiliser Améliorer Prêcher Les objectClass Il en existe trois types  abstract − classe abstraite  structural − classe concrète (instances)  auxiliary − extensions de classes, permet de définir un objectClass qui  pourra être utilisé par plusieurs objets avec des objectClass structural différent  mercredi 6 mai 2009
  30. 30. Utiliser Améliorer Prêcher Les objectClass Il en existe trois types  abstract − classe abstraite  structural − classe concrète (instances)  auxiliary − extensions de classes, permet de définir un objectClass qui  pourra être utilisé par plusieurs objets avec des objectClass structural différent est défini par un nom   mercredi 6 mai 2009
  31. 31. Utiliser Améliorer Prêcher Les objectClass Il en existe trois types  abstract − classe abstraite  structural − classe concrète (instances)  auxiliary − extensions de classes, permet de définir un objectClass qui  pourra être utilisé par plusieurs objets avec des objectClass structural différent est défini par un nom   définit une liste d’attributs obligatoires, une autre d’optionnels  mercredi 6 mai 2009
  32. 32. Utiliser Améliorer Prêcher syntaxe: dn, boolean, directory string Un attribut (utf8), ia5string (ascii), integer equality = recherche egalite sur la valeur ordering = entree possedant cet attribut substr = sous chaine  mercredi 6 mai 2009
  33. 33. Utiliser Améliorer Prêcher syntaxe: dn, boolean, directory string Un attribut (utf8), ia5string (ascii), integer définit  par un nom − Une syntaxe (défini le type de contenu, par exemple un − entier, une chaîne de caractères, etc.) equality = recherche Dès règles de comparaison (EQUALITY, ORDERING, − egalite sur la valeur ordering = entree SUBSTR) possedant cet attribut Par exemple, pour les chaînes de caractères il est possible substr = sous chaine  de définir une recherche sensible ou non à la casse  mercredi 6 mai 2009
  34. 34. Utiliser Améliorer Prêcher syntaxe: dn, boolean, directory string Un attribut (utf8), ia5string (ascii), integer définit  par un nom − Une syntaxe (défini le type de contenu, par exemple un − entier, une chaîne de caractères, etc.) equality = recherche Dès règles de comparaison (EQUALITY, ORDERING, − egalite sur la valeur ordering = entree SUBSTR) possedant cet attribut Par exemple, pour les chaînes de caractères il est possible substr = sous chaine  de définir une recherche sensible ou non à la casse un indicateur de multi-valuation   mercredi 6 mai 2009
  35. 35. Utiliser Améliorer Prêcher Le DIT : Directory Information Tree  mercredi 6 mai 2009
  36. 36. Utiliser Améliorer Prêcher Le DIT : Directory Information Tree Structure logique d’une hiérarchie, représenté  sous forme d’un arbre  mercredi 6 mai 2009
  37. 37. Utiliser Améliorer Prêcher Le DIT : Directory Information Tree Structure logique d’une hiérarchie, représenté  sous forme d’un arbre  Au sein de cet arbre, une entrée est identifiée par son nom - unique - au sein de sa position  mercredi 6 mai 2009
  38. 38. Utiliser Améliorer Prêcher Le DIT : Directory Information Tree Structure logique d’une hiérarchie, représenté  sous forme d’un arbre  Au sein de cet arbre, une entrée est identifiée par son nom - unique - au sein de sa position  Ce nom unique est nommé DN quand il est complet uid=asyd,ou=People,dc=asyd,dc=net − RDN quand il est relatif uid=asyd −  mercredi 6 mai 2009
  39. 39. Utiliser Améliorer Prêcher Le DIT : Directory Information Tree Structure logique d’une hiérarchie, représenté  sous forme d’un arbre  Au sein de cet arbre, une entrée est identifiée par son nom - unique - au sein de sa position  Ce nom unique est nommé DN quand il est complet uid=asyd,ou=People,dc=asyd,dc=net − RDN quand il est relatif uid=asyd − La racine est nommée suffixdn par exemple,  dc=asyd,dc=net  mercredi 6 mai 2009
  40. 40. Utiliser Améliorer Prêcher Le DIT : Directory Information Tree  mercredi 6 mai 2009
  41. 41. Utiliser Améliorer Prêcher Le DIT : Directory Information Tree Sa conception est probablement la phase la  plus délicate de la conception d’un annuaire Une mauvaise conception est lourde de conséquences − Difficile d’effectuer des modifications sur le DIT une fois − mis en place Plusieurs approches possibles (par exemple, pour une − grande société, une hiérarchie par ville, puis par position RH, mais pour une PME, une représentation à plat)  mercredi 6 mai 2009
  42. 42. Utiliser Améliorer Prêcher Le DIT : Directory Information Tree  mercredi 6 mai 2009
  43. 43. Utiliser Améliorer Prêcher Le DIT : Directory Information Tree Quelques conventions  un objet de type ou (organizationalUnit) pour représenter − un noeud un noeud (ou=People) à la racine de l’arbre pour y stocker − les comptes utilisateurs (chez certains (mauvais) éditeurs d’application cette valeur est codée en dur) aujourd’hui, utilisation de la forme dc=domain,dc=tld en tant − que suffixdn (plutôt que o=organization)  mercredi 6 mai 2009
  44. 44. Utiliser Améliorer Prêcher Le DIT : Directory Information Tree Quelques conventions  un objet de type ou (organizationalUnit) pour représenter − un noeud un noeud (ou=People) à la racine de l’arbre pour y stocker − les comptes utilisateurs (chez certains (mauvais) éditeurs d’application cette valeur est codée en dur) aujourd’hui, utilisation de la forme dc=domain,dc=tld en tant − que suffixdn (plutôt que o=organization) Rien n’oblige à suivre ces conventions  rajout de contacts privés sous une entrée utilisateur (ce − qui donnerait cn=Mlle X,cn=Bruno Bonfils,ou=People,dc=guses,dc=org) utilisation de o=organization en tant que suffixdn −  mercredi 6 mai 2009
  45. 45. Utiliser Améliorer Prêcher Le DIT : Directory Information Tree Exemple d’arbre simple dc=guses,dc=org  ou=People − ou=Special users   ou=Contacts  ou=Members ou=Group −  mercredi 6 mai 2009
  46. 46. LDAP et la gestion d’identité mercredi 6 mai 2009
  47. 47. LDAP et la gestion d’identité mercredi 6 mai 2009
  48. 48. Utiliser Améliorer Prêcher IAM : Pourquoi LDAP ?  mercredi 6 mai 2009
  49. 49. Utiliser Améliorer Prêcher IAM : Pourquoi LDAP ? Représentation hiérarchique  Un noeud pour les employés d’une société, un autre pour − les fournisseurs, un pour les prestataires, etc. Au sein d’un même noeud, des utilisateurs peuvent − posséder des informations différentes Typiquement, les administrateurs Unix posséderont  l’objectClass posixAccount  mercredi 6 mai 2009
  50. 50. Utiliser Améliorer Prêcher IAM : Pourquoi LDAP ? Représentation hiérarchique  Un noeud pour les employés d’une société, un autre pour − les fournisseurs, un pour les prestataires, etc. Au sein d’un même noeud, des utilisateurs peuvent − posséder des informations différentes Typiquement, les administrateurs Unix posséderont  l’objectClass posixAccount Gestion des groupes  Au moins trois manières de gérer les groupes − Un objet group avec un attribut multivaleur uniqueMember   Certains annuaires proposent des groupes dynamiques, leur liste est calculée à partir d’une requête LDAP  mercredi 6 mai 2009
  51. 51. Utiliser Améliorer Prêcher IAM : Pourquoi LDAP ?  mercredi 6 mai 2009
  52. 52. Utiliser Améliorer Prêcher IAM : Pourquoi LDAP ? Une gestion des droits fine  ACL ou ACI en fonction des annuaires − Permet de limiter les accès sur les objets, les attributs − (lecture, écriture) Interdire la consultation de l’annuaire par un prestataire − Modifications sur le noeud Prestataire par les membres − d’un groupe Manager  mercredi 6 mai 2009
  53. 53. Utiliser Améliorer Prêcher Un petit mot sur le provisionning  mercredi 6 mai 2009
  54. 54. Utiliser Améliorer Prêcher Un petit mot sur le provisionning Disposer d’outils permettant d’alimenter un  annuaire, mais orienté fonctionnel  mercredi 6 mai 2009
  55. 55. Utiliser Améliorer Prêcher Un petit mot sur le provisionning Disposer d’outils permettant d’alimenter un  annuaire, mais orienté fonctionnel  Des outils spécifiques Sun Identity Manager (IDM), Novell Identity Manager, − Microsoft Identity Lifecycle Manager Permet de rajouter des workflows, des rapports, une − conformité légale (Sarbanes Oxley)  mercredi 6 mai 2009
  56. 56. Utiliser Améliorer Prêcher Un petit mot sur le provisionning Disposer d’outils permettant d’alimenter un  annuaire, mais orienté fonctionnel  Des outils spécifiques Sun Identity Manager (IDM), Novell Identity Manager, − Microsoft Identity Lifecycle Manager Permet de rajouter des workflows, des rapports, une − conformité légale (Sarbanes Oxley) Des éditeurs fonctionnels  Calendra (Directory Management) − Sun Directory Editor −  mercredi 6 mai 2009
  57. 57. Utiliser Améliorer Prêcher Les raisons techniques  mercredi 6 mai 2009
  58. 58. Utiliser Améliorer Prêcher Les raisons techniques protocole d’accès unifié, en résulte une  adoption quasi systématique par les éditeurs d’applications  mercredi 6 mai 2009
  59. 59. Utiliser Améliorer Prêcher Les raisons techniques protocole d’accès unifié, en résulte une  adoption quasi systématique par les éditeurs d’applications  sécurisation SSL/STARTTLS −  mercredi 6 mai 2009
  60. 60. Utiliser Améliorer Prêcher Les raisons techniques protocole d’accès unifié, en résulte une  adoption quasi systématique par les éditeurs d’applications  sécurisation SSL/STARTTLS − réplication multi-maîtres  haute disponibilité −  mercredi 6 mai 2009
  61. 61. La pratique DSEE, NSS/PAM, Démo mercredi 6 mai 2009
  62. 62. La pratique DSEE, NSS/PAM, Démo mercredi 6 mai 2009
  63. 63. Utiliser Améliorer Prêcher Directory Server Enterprise Edition  mercredi 6 mai 2009
  64. 64. Utiliser Améliorer Prêcher Directory Server Enterprise Edition Composante de JES5   mercredi 6 mai 2009
  65. 65. Utiliser Améliorer Prêcher Directory Server Enterprise Edition Composante de JES5   Est composé de un serveur LDAP, un proxy − une instance de configuration − un composant de la webconsole − un agent cacao −  mercredi 6 mai 2009
  66. 66. Utiliser Améliorer Prêcher Directory Server Enterprise Edition Composante de JES5   Est composé de un serveur LDAP, un proxy − une instance de configuration − un composant de la webconsole − un agent cacao − Attention, pas de version 6.2 en  production !  mercredi 6 mai 2009
  67. 67. Utiliser Améliorer Prêcher Directory Server Enterprise Edition Composante de JES5   Est composé de un serveur LDAP, un proxy − une instance de configuration − un composant de la webconsole − un agent cacao − Attention, pas de version 6.2 en  production ! et même pas de 6.2 tout court... −  mercredi 6 mai 2009
  68. 68. Utiliser Améliorer Prêcher Utilisation de LDAP pour les NSS  mercredi 6 mai 2009
  69. 69. Utiliser Améliorer Prêcher Utilisation de LDAP pour les NSS NameServiceSwitch   mercredi 6 mai 2009
  70. 70. Utiliser Améliorer Prêcher Utilisation de LDAP pour les NSS NameServiceSwitch  Permet de résoudre l’ensemble des tables de − correspondance (nom <-> valeur) du système résolution de nom d’hôte en adresse IP (DNS)   translation de nom d’utilisateurs, groupes en UID/GID  d’autres tables plus OS spécifiques comme celle utilisée par autofs  mercredi 6 mai 2009
  71. 71. Utiliser Améliorer Prêcher Utilisation de LDAP pour les NSS NameServiceSwitch  Permet de résoudre l’ensemble des tables de − correspondance (nom <-> valeur) du système résolution de nom d’hôte en adresse IP (DNS)   translation de nom d’utilisateurs, groupes en UID/GID  d’autres tables plus OS spécifiques comme celle utilisée par autofs Permet d’utiliser une autre source de données (réseau) − pour des fichiers comme /etc/passwd /etc/group /etc/ shadow, etc.  mercredi 6 mai 2009
  72. 72. Utiliser Améliorer Prêcher Utilisation de LDAP pour les NSS NameServiceSwitch  Permet de résoudre l’ensemble des tables de − correspondance (nom <-> valeur) du système résolution de nom d’hôte en adresse IP (DNS)   translation de nom d’utilisateurs, groupes en UID/GID  d’autres tables plus OS spécifiques comme celle utilisée par autofs Permet d’utiliser une autre source de données (réseau) − pour des fichiers comme /etc/passwd /etc/group /etc/ shadow, etc. Les interfaces (API) exposées sont les mêmes, quelque − soit la source de données  mercredi 6 mai 2009
  73. 73. Utiliser Améliorer Prêcher Utilisation de LDAP pour les NSS NameServiceSwitch  Permet de résoudre l’ensemble des tables de − correspondance (nom <-> valeur) du système résolution de nom d’hôte en adresse IP (DNS)   translation de nom d’utilisateurs, groupes en UID/GID  d’autres tables plus OS spécifiques comme celle utilisée par autofs Permet d’utiliser une autre source de données (réseau) − pour des fichiers comme /etc/passwd /etc/group /etc/ shadow, etc. Les interfaces (API) exposées sont les mêmes, quelque − soit la source de données Attention, le service NSS n’est pas lié à l’authentification −  mercredi 6 mai 2009
  74. 74. Utiliser Améliorer Prêcher à propos de PAM auth: id/pass OK account: user’s account is valid (validité du mot de passe, exp session: set up and terminate login session passwd: modification du mot de passe  mercredi 6 mai 2009
  75. 75. Utiliser Améliorer Prêcher à propos de PAM Pour rappel, PAM est une couche auth: id/pass OK  account: user’s account is valid (validité du mot de passe, exp d’abstraction pour gérer l’authentification session: set up and terminate login session passwd: modification du mot de passe Plus précisément, pour gérer quatre étapes liées à − l’authentification (auth, account, session, password)  mercredi 6 mai 2009
  76. 76. Utiliser Améliorer Prêcher à propos de PAM Pour rappel, PAM est une couche auth: id/pass OK  account: user’s account is valid (validité du mot de passe, exp d’abstraction pour gérer l’authentification session: set up and terminate login session passwd: modification du mot de passe Plus précisément, pour gérer quatre étapes liées à − l’authentification (auth, account, session, password) Au même titre que les NSS, PAM permet  d’utiliser différents modules  mercredi 6 mai 2009
  77. 77. Utiliser Améliorer Prêcher à propos de PAM Pour rappel, PAM est une couche auth: id/pass OK  account: user’s account is valid (validité du mot de passe, exp d’abstraction pour gérer l’authentification session: set up and terminate login session passwd: modification du mot de passe Plus précisément, pour gérer quatre étapes liées à − l’authentification (auth, account, session, password) Au même titre que les NSS, PAM permet  d’utiliser différents modules  Permet d’empiler les modules  mercredi 6 mai 2009
  78. 78. Utiliser Améliorer Prêcher à propos de PAM Pour rappel, PAM est une couche auth: id/pass OK  account: user’s account is valid (validité du mot de passe, exp d’abstraction pour gérer l’authentification session: set up and terminate login session passwd: modification du mot de passe Plus précisément, pour gérer quatre étapes liées à − l’authentification (auth, account, session, password) Au même titre que les NSS, PAM permet  d’utiliser différents modules  Permet d’empiler les modules  Attention, PAM ne gère que l’authentification ! (répond OK ou KO à une demande de vérification d’un couple login / mot de passe)  mercredi 6 mai 2009
  79. 79. Utiliser Améliorer Prêcher Les différences entre NSS et PAM  mercredi 6 mai 2009
  80. 80. Utiliser Améliorer Prêcher Les différences entre NSS et PAM Les deux sont complémentaires, mais peuvent  s’utiliser indépendamment l’un de l’autre  mercredi 6 mai 2009
  81. 81. Utiliser Améliorer Prêcher Les différences entre NSS et PAM Les deux sont complémentaires, mais peuvent  s’utiliser indépendamment l’un de l’autre  PAM peut s’utiliser dans le cadre d’une authentification apache aucun UID/GID n’est nécessaire − vérification du login/mot de passe suffisant −  mercredi 6 mai 2009
  82. 82. Utiliser Améliorer Prêcher Les différences entre NSS et PAM Les deux sont complémentaires, mais peuvent  s’utiliser indépendamment l’un de l’autre  PAM peut s’utiliser dans le cadre d’une authentification apache aucun UID/GID n’est nécessaire − vérification du login/mot de passe suffisant − Une session système (login local, ssh)  nécessite un UID/GID (entre autre) l’utilisateur doit donc être présent dans la table NSS − passwd  mercredi 6 mai 2009
  83. 83. Utiliser Améliorer Prêcher Au cas où  mercredi 6 mai 2009
  84. 84. Utiliser Améliorer Prêcher Au cas où  mercredi 6 mai 2009
  85. 85. Utiliser Améliorer Prêcher Au cas où  mercredi 6 mai 2009
  86. 86. Utiliser Améliorer Prêcher Au cas où  mercredi 6 mai 2009
  87. 87. Démonstration : DSEE, Solaris mercredi 6 mai 2009
  88. 88. Démonstration : DSEE, Solaris mercredi 6 mai 2009
  89. 89. Autres ressources mercredi 6 mai 2009
  90. 90. Autres ressources mercredi 6 mai 2009
  91. 91. Utiliser Améliorer Prêcher Les autres outils  mercredi 6 mai 2009
  92. 92. Utiliser Améliorer Prêcher Les autres outils OpenLDAP   mercredi 6 mai 2009
  93. 93. Utiliser Améliorer Prêcher Les autres outils OpenLDAP   Apache Directory Studio  mercredi 6 mai 2009
  94. 94. Utiliser Améliorer Prêcher Les autres outils OpenLDAP   Apache Directory Studio  Apache Directory Server  mercredi 6 mai 2009
  95. 95. Utiliser Améliorer Prêcher Les autres outils OpenLDAP   Apache Directory Studio  Apache Directory Server  Penrose  mercredi 6 mai 2009
  96. 96. Utiliser Améliorer Prêcher Liens http://docs.sun.com/   http://linagora.org/ pour des supports de formation LDAP, OpenLDAP  http://google.com/  etc.  mercredi 6 mai 2009

×