Projet Tutoré Gestion des utilisateurs dans un environnement hétérogène

Transcription

1 Projet Tutoré Gestion des utilisateurs dans un environnement hétérogène L A TEX HINDERCHIETTE Aymeric - KILFIGER Estelle - SIMONET Charles - SIVADON Florian 1 Année

2 Contents Remerciements L équipe Introduction au projet tutoré Mise au point Contexte - Présentation La problématique Objectifs Reformulation du sujet Définition du périmètre La mise en place des outils collaboratifs Déroulement temporel de notre projet Première semaine Seconde et troisième semaines Quatrième et cinquième semaines Reste du temps Travail d analyse, de recherche de notre solution Définition de l axe de recherche Solutions éventuelles Centrify Mandriva Directory Server Microsoft Windows Services for Unix Samba + LDAPScripts PhpLdapAdmin LDAP Synchronization Connector La solution retenue PhpLdapAdmin + LDAP Synchronisation Connector PhpLdapAdmin - LSC, la mise en place de notre solution Installation de OpenLDAP Installation de Apache, PHP et PhpLdapAdmin Pré-requis pour LSC Installation de LSC Configuration Les modes de lancement de LSC Les tests Sécurisation Pour résumer Problèmes rencontrés Suite du projet Avis sur le projet Bibliographie - Ressources Annexes

3 Remerciements Tout d abord, nous souhaiterions remercier l entreprise Pharmagest de nous avoir fourni une infrastructure de tests dans leurs locaux. MM. Yohan PARENT et Jérémie CEINTREY, nos tuteurs sur ce projet, de nous avoir accordé leur temps, leur aide et leurs précieux conseils avec une grande gentillesse, ainsi que M.OUDOT Clément, intégrateur et Community Manager du projet LSC, d avoir bien voulu répondre à nos questions avec sympathie. 3 Année

4 Composition de l équipe Etudiants Nom: Charles SIMONET charles.simonet398@gmail.com Nom: Florian SIVADON f.sivadon@gmail.com Nom: Estelle KILFIGER e.kilfiger@laposte.net Nom: Aymeric HINDERCHIETTE aymhinder@gmail.com Tuteurs Nom: Yohan PARENT yohan.parent@gmail.com Nom: Jérémie CEINTREY jeremie.ceintrey@pharmagest.com 4 Année

5 1 Introduction au projet tutoré Le sujet de notre projet tutoré, dans le cadre de la licence professionnelle ASRALL, est "Gestion des Utilisateurs dans un Environnement Hétérogène". Ce sujet nous a été proposé par MM. Yohan PARENT et Jérémie CEINTREY, de l entreprise Pharmagest. Notre travail a été réparti sur 8 semaines à mi-temps, de la semaine 4 (19 Janvier) jusqu au milieu de la semaine 13 (25 Mars), et sera conclu par une soutenance devant un jury et les autres groupes de projets tutorés de notre promotion. 2 Mise au point Avant de parler de l objectif de notre projet tutoré, il nous semble nécessaire de faire une petite mise au point sur les différents termes que nous allons utiliser. Annuaire: Les annuaires électroniques sont un type de base de données spécialisé permettant de stocker des informations de manière hiérarchique et offrant des mécanismes simples pour rechercher l information, la trier, l organiser selon un nombre limité de critères. Ainsi le but d un annuaire électronique est approximativement le même que celui d un annuaire papier, si ce n est qu il offre une grande panoplie de possibilités que les annuaires papier ne sauraient donner. Une base LDAP est optimisée pour la lecture d un nombre important de petits enregistrements et convient donc parfaitement pour stocker des annuaires ou des profils utilisateurs. L utilisation d annuaire ne se limite pas à la recherche de personnes ou de ressources. En effet, un annuaire peut servir à: constituer un carnet d adresses et authentifier des utilisateurs (grâce à un mot de passe) définir les droits de chaque utilisateur recenser des informations sur un parc matériel (ordinateurs, serveurs, leurs adresses IP et adresses MAC,...) décrire les applications disponibles. 5 Année

6 Les annuaires électroniques possèdent un grand nombre d avantages : Ils sont dynamiques: Un annuaire en ligne (disponible sur le réseau) sera à jour très rapidement, d autant plus que les ressources recensées dans l annuaire peuvent elles-mêmes modifier les informations les concernant (si elles sont habilitées à le faire). Ils sont sûrs: les annuaires en ligne disposent de mécanismes d authentification des utilisateurs grâce à un mot de passe et un nom d utilisateur ainsi que des règles d accès permettant de définir les branches de l annuaire auxquelles l utilisateur peut accéder. Ils sont souples: ils permettent ainsi de classer l information selon des critères multiples et variables. Chaque objet d un annuaire contient plusieurs attributs (obligatoires ou facultatifs). chaque objet peut hériter des attributs d un autre objet. Et Exemple: L objet «person» a comme attributs : commonname, surname,.. L objet fils «organizationalperson» dérivé de l objet «person» ajoute les attributs : title, PostalAddress,... Les objets et les attributs sont normalisés pour assurer les échanges entre les logiciels. Il est possible de modifier un schéma en rajoutant des attributs à un objet (déconseillé) ou en créant un nouvel objet (mieux). Chaque donnée enregistrée dans la base est identifiée par son DN (Distinguished Name). Ce DN est comparable au chemin complet d un fichier. Exemple : dc=mondomaine,dc=fr Pour ajouter ou modifier des données dans la base, il est possible d utiliser le format LDIF. LDIF (LDAP Data Interchange Format) : LDIF est un format standardisé d échange de données, qui permet la représentation des données contenues dans un annuaire LDAP. Il permet également la représentation d opérations sur les données de l annuaire (ajout, suppression, modification). Une entrée peut ressembler à la représentation suivante lorsqu elle est formatée en LDIF : 6 Année

7 Dans cet exemple, dn est le nom de l entrée, ce n est pas un attribut de l entrée. "cn=john Doe" est le RDN de l entrée et "dc=example,dc=org" est le DN de son parent. Les autres lignes montrent les attributs de l entrée. Les noms des attributs sont parfois des abréviations pour les plus courants : cn pour common name, dc pour domain component, sn pour surname. Lightweight Directory Access Protocol (LDAP): L implémentation peut être totalement différente d un serveur à un autre, c est pourquoi il a été nécessaire de définir une interface normalisée permettant d accéder de façon standard aux différents services de l annuaire. C est le rôle du protocole LDAP (Lightweight Directory Access Protocol), qui va fournir un moyen unique (standard ouvert) d effectuer des requêtes sur un annuaire (compatible LDAP). Synchronisation/réplication: Processus de partage d informations pour assurer la cohérence de données entre plusieurs sources de données redondantes, pour améliorer la fiabilité, la tolérance aux pannes, ou la disponibilité. Lorsqu un utilisateur est ajouté, modifié, ou supprimé à l endroit A, le processus de synchronisation entre A et B ajoutera, modifiera, ou supprimera le même utilisateur à l endroit B. 7 Année

8 3 Contexte - Présentation Pharmagest est une entreprise Française située à Villers-lès-Nancy. Elle est spécialisée dans le développement et la commercialisation de solutions informatiques professionnelles pour l industrie pharmaceutique. Partenaire privilégié des pharmaciens, Pharmagest conçoit des solutions informatiques innovantes à destination des officines, et développe une activité e-business et e-media à fort potentiel en direction des laboratoires. La diffusion et la commercialisation des produits du Groupe Pharmagest sont assurées par 27 agences en France et 4 dans les DOM. Pharmagest est notamment connu pour avoir développé LGPI Global Services. LGPI Global Services révolutionne le secteur des logiciels de gestion officinale en offrant aux pharmaciens un outil de travail qui allie modernité et performance. Il s agit de la première solution à se doter d un portail d information Intégré. 4 La problématique Dans un environnement hétérogène contenant des machines sous Windows, GNU/Linux, etc, l entreprise doit gérer les utilisateurs, les groupes, les droits de chaque groupe et utilisateur. Actuellement chez Pharmagest, tout se fait manuellement, c est-à-dire que, par exemple, pour créer un utilisateur il faut faire plusieurs manipulations sur différents outils, le mettre dans les bons groupes sur chaque outil, les bonnes listes de diffusion, lui accorder les accès spécifiques, etc... Tout cela devient rapidement complexe et fastidieux à gérer d autant plus lorsque le nombre d utilisateurs est conséquent. On voit donc apparaître des difficultés à administrer les utilisateurs en raison de la diversité des systèmes d exploitation (MacOS, Linux, Windows, Android, IOS, Windows Phone) et des nombreux outils. 5 Objectifs L objectif est donc de proposer une solution pour gérer de manière simple et homogène un ensemble d utilisateurs dans un environnement hétérogène et uniformiser leur création. Notre solution doit être un outil au-dessus des autres, un outil plus général qui aura pour mission de gérer et faciliter l ajout, suppression et modification des utilisateurs. L idée, ici, est de centraliser l information et d avoir un seul point de contrôle. Les buts sont multiples, en effet cela permettra entre autres de faire gagner du temps aux administrateurs réseaux dans l optique d une recherche d automatisation de la tâche mais également de diminuer la probabilité d erreurs dans la mesure où la solution est vouée à centraliser la gestion des utilisateurs. Cela permettra la création d utilisateurs sur tous les outils en même temps ou presque, pour limiter les risques d erreurs qu on pourrait faire en le créant une fois sur chaque outil par exemple. Pour cela nous devons donc trouver une solution générique à interface unique pour gérer les utilisateurs et visualiser leurs accès. Active Directory, OpenLDAP ou autres outils comme des bases de données doivent cohabiter sans heurt au sein de l entreprise et au sein de notre solution. De plus, nous voulons qu elle soit évolutive pour que Pharmagest puisse, si elle le souhaite, pour une raison quelconque (ajout ou suppression d outil par exemple), pouvoir interconnecter 8 Année

9 d autres outils à terme à notre solution. On ne veut pas faire une application qui automatise la main de l administrateur, en effet on ne veut pas automatiser la création des utilisateurs mais simplifier leur création et leur intégration dans les annuaires en particulier. Exemple de situation: Les différentes agences de Pharmagest disposent pour la plupart d un annuaire qui leur est propre, la gestion des utilisateurs est donc complexifiée du fait d avoir plusieurs annuaires, non synchronisés entre eux, répartis sur plusieurs agences. En effet un utilisateur qui est créé dans une agence ne l est pas dans une autre, on peut donc vite se perdre. 6 Reformulation du sujet Proposer une solution pour gérer de manière simple et homogène un ensemble d utilisateurs dans l environnement déjà présent et uniformiser leur création, mise à jour et suppression. La solution gérera les utilisateurs, leurs groupes, les droits spécifiques en fonction de leur poste et de leurs besoins. Tout cela dans un environnement hétérogène (Windows, Mac, Linux). Elle s appuiera sur les services d annuaires Active Directory et OpenLDAP déjà présents dans l entreprise. En l occurrence elle ne gérera pas les comptes locaux en raison d un manque de temps. 9 Année

10 7 Définition du périmètre Dans la mesure où le temps du projet est assez court et la complexité/largeur du sujet, nous avons dû définir le périmètre du sujet. Doit-on gérer les comptes locaux? Nous avons donc décidé avec nos tuteurs de projet que notre solution de gestion gérera les utilisateurs, leurs groupes, les droits spécifiques en fonction de leur poste et de leurs besoins. Tout cela dans un environnement hétérogène (Windows, Mac, Linux). Elle s appuiera sur des annuaires LDAP, Active Directory, OpenLDAP déjà présents dans l entreprise. Active Directory, OpenLDAP ou autres bases de données doivent cohabiter sans heurt au sein de l entreprise et au sein de notre solution. De plus, il est nécessaire de garder en mémoire que cette dernière se doit d être générique puisqu il n est pas exclu que d autres types d annuaires viennent se greffer par la suite : IBM Tivoli Directory Server, HP OpenView, etc. 8 La mise en place des outils collaboratifs «La pierre n a point d espoir d être autre chose qu une pierre. Mais, de collaborer, elle s assemble et devient temple.» (Antoine de Saint-Exupéry) Afin d optimiser notre travail de recherche, nous avons décidé de mettre en place des outils de travail pour simplifier la gestion et favoriser la bonne entente de notre groupe de travail. Nous avons donc listé ceux qui nous semblaient utiles pour notre tâche : Applications Google, Framapad, Git, GitHub, Mail, LaTeX, Skype / Hangout. En définitif, nous avons utilisé ces outils : Google Drive -> Pour mettre en commun tous nos documents et ressources. Google Docs -> Nous avons utilisé les Google Docs pour mettre en commun toutes nos idées, ressources. Google Drawing -> Nous l utilisons pour la rédaction de brouillons / schémas. Git / GitHub -> Nous utilisons Git pour toute modification sur le rapport de notre projet. Mail -> Nous utilisons les mails pour tout échange avec nos tuteurs de projet et entre élèves parfois. LaTeX -> Nous l utilisons pour la rédaction du rapport. 10 Année

11 Nous avons décidé de ne pas utiliser Framapad puisque cette solution est similaire à Google Docs, mais Docs nous semblait plus user-friendly, et les possibilités que nous offrent les applications Google comme la mise en forme, la création de schémas avec Google Drawing, tout cela nous a convaincus d utiliser la solution de Google. Nous n avons pas aussi utilisé Skype / Hangout car nous nous voyons très souvent "physiquement" dans les créneaux horaires de projet tutoré fixés dans notre emploi du temps ou en cours. L utilisation d un logiciel de visioconférence ne nous a donc pas paru nécessaire. En ce qui concerne l utilisation des applications Google, ce qui peut paraître contradictoire avec la licence ASRALL mais la simplicité, l efficacité, la rapidité ainsi que la possibilité de chat des applications nous ont séduits. De plus toutes les informations qui se trouvent sur ces applications ne sont pas sensibles comme des mots de passe, etc. S y trouvent seulement des idées, résultats de recherches ou autres schémas de notre solution. 9 Déroulement temporel de notre projet Notre travail s est principalement déroulé de cette manière : Après avoir mis en place tous les outils collaboratifs nécessaires à notre travail, nous avons tout d abord accompli un gros travail d analyse, de recherche de solutions, afin de trouver celle qui répondrait le mieux à nos besoins. Il s agit de la première grosse partie de notre rapport, où nous énumérons ces solutions, leurs avantages, leurs inconvénients, et pourquoi nous avons retenu / n avons pas retenu cette solution. Ensuite, après avoir retenu notre solution, notre travail était de la mettre en place dans un environnement virtuel, avec une batterie de tests à effectuer, puis dans l infrastructure qui nous a été fournie par Pharmagest. 9.1 Première semaine La première semaine, nous avons reformulé le sujet puis nous l avons présenté à notre tuteur lors de notre premier rendez-vous pour être sûrs d avoir bien compris ce qu il attendait de nous. Lors de ce même rendez-vous nous avons défini le périmètre du sujet car celui-ci peut être très ambigu. Ensuite nous nous sommes penchés sur le fonctionnement général de LDAP. 9.2 Seconde et troisième semaines Lors de la seconde semaine nous avons recherché les solutions possibles pour répondre au sujet de notre projet. Les recherches se sont déroulées principalement sur internet et par contact professionnel. 9.3 Quatrième et cinquième semaines Pour la troisième semaine nous avons isolé une solution puis nous l avons étudiée plus en profondeur. Nous avons aussi rédigé une Road Map pour la mise en place de la solution et la mise en place des tests. 11 Année

12 9.4 Reste du temps Pour le reste du temps nous avons fait une rapide présentation de notre solution dans les locaux de Pharmagest. Ensuite nous avons mis en pratique notre solution dans un environnement local et effectué des tests. 10 Travail d analyse, de recherche de notre solution 10.1 Définition de l axe de recherche Avant de se lancer à corps perdu dans la recherche de notre solution, nous avons défini un axe de recherche précis afin de ne pas perdre de vue notre objectif, ce qui passe par une reformulation de notre sujet, que nous avons exprimée ainsi : "Proposer une solution pour gérer de manière simple et homogène un ensemble d utilisateurs dans l environnement déjà présent et uniformiser leur création, mise à jour et suppression. La solution gérera les utilisateurs, leurs groupes, les droits spécifiques en fonction de leur poste et de leurs besoins. Tout cela dans un environnement hétérogène (Windows, Mac, Linux). Elle s appuiera sur les services d annuaires Active Directory et OpenLDAP déjà présents dans l entreprise. En l occurrence, elle ne gérera pas les comptes locaux en raison d un manque de temps." Nous recherchons donc une solution que l on situerait à un niveau "au-dessus" des services d annuaires, qui permettrait d effectuer une gestion centralisée des utilisateurs, et qui ainsi répliquerait les utilisateurs sur chacun des annuaires afin d atteindre notre objectif Solutions éventuelles Pour la recherche de la solution qui nous conviendrait, nous avons établi une liste de logiciels ayant des caractéristiques qui nous permettraient de répondre à notre problématique. Dans cette liste, nous avons éliminé des logiciels sans les tester, en voyant que le logiciel ne correspondait pas à ce que l on cherchait. Nous avons aussi étudié plus en profondeur les autres logiciels pour au final garder la solution qui répond parfaitement à nos besoins Centrify Centrify développe des solutions qui contrôlent, sécurisent et auditent de manière centralisée l accès aux environnements hétérogènes, aux appareils mobiles (tablettes, smartphones) et aux applications, en utilisant pour seul référentiel d identité Active Directory de Microsoft. Nous nous sommes intéressé de plus près à la solution Direct Control proposée par Centrify. Voici les possibilités de cette solution, présentées par Centrify : "Direct Control apporte un contrôle d accès sécurisé et une gestion des identités centralisée, en intégrant parfaitement des systèmes UNIX, Linux et Mac et leurs applications, à Microsoft Active Directory." "Direct Control transforme un système non-microsoft en un client Active Directory, permettant ainsi de sécuriser ce système en utilisant les mêmes authentifications et les services de stratégies de groupes déployés sur vos systèmes Windows." "Direct Control est non-intrusif, facile à déployer et à gérer, et est la seule solution qui permet le contrôle d accès granulaire grâce à sa technologie unique de Zone." 12 Année

13 Direct Control fait partie des solutions que nous avons directement éliminées, car c est une solution propriétaire, et qui veut centraliser le service d annuaire sur l Active Directory. Dans la mesure du possible, nous recherchions une solution libre et gratuite Mandriva Directory Server Mandriva Directory Server (MDS) est un annuaire d entreprise et contrôleur de domaine basé sur le couple Samba / OpenLDAP, conçu pour gérer les utilisateurs, les contrôles d accès, règles et paramètres des applications et profils d utilisateurs. Nous avons éliminé MDS rapidement car c est un service d annuaire comme AD / OpenL- DAP, et nous recherchions une solution qui permettrait de gérer ces services d annuaires Microsoft Windows Services for Unix 3.5 Ce package logiciel produit par Windows présente des avantages convaincants : Partage transparent des données entre les protocoles réseaux Windows et UNIX. Accès distant via la ligne de commande aux ordinateurs Windows et UNIX via les méthodes et protocoles UNIX existants. Prise en charge complète des scripts UNIX sous Windows, notamment les shells, les utilitaires, les liens matériels et logiciels (symboliques), ainsi qu un système de fichiers à racine unique. Administration des réseaux hétérogènes, notamment la gestion commune des répertoires et la synchronisation des mots de passe utilisateurs. Environnement haute performance d exécution et de développement d applications, afin de permettre la réorientation des applications métier essentielles. Processus d installation intégré et unique. Simplicité de l administration et de la gestion pour tous les composants SFU. Cependant, la solution ne nous semblait pas assez complète, avec des spécifications trop peu décrites. La solution étant basée qui plus est sur un modèle propriétaire, notre choix a été de ne pas l utiliser Samba + LDAPScripts Samba est un logiciel d interopérabilité qui permet à des ordinateurs Unix de mettre à disposition des imprimantes et des fichiers dans des réseaux Windows, en mettant en œuvre le protocole SM- B/CIFS de Microsoft Windows. Samba donne la possibilité aux ordinateurs Windows d accéder aux imprimantes et aux fichiers des ordinateurs Unix en permettant aux serveurs Unix de se substituer à des serveurs Windows. Samba 4 supporte le côté serveur dans un environnement Active Directory utilisé par Windows Il est ainsi possible de joindre complètement des clients Windows à un domaine et effectuer des opérations d ouverture de session. Il inclut un serveur LDAP et un centre de distribution de clés Kerberos (KDC). Nous n avons pas choisi cette solution car elle ne permettait pas la gestion complète des deux services d annuaires, et le manque de documentation nous a refroidis. 13 Année

14 10.7 PhpLdapAdmin PhpLDAPadmin est une interface écrite en PHP qui permet de modifier facilement, via une interface conviviale, un annuaire LDAP (OpenLDAP principalement), sur le même principe que phpmyadmin pour les bases de données MySQL. Il permet de gérer des annuaires LDAP et implémente plusieurs modes d authentification. Il permet aussi de gérer les services d annuaires suivants. Microsoft Active Directory IBM Tivoli DS Apache DS Fedora Directory Server OpenDS Redhat Directory Server (RHDS) Oracle Internet Directory et bien d autres LDAP Synchronization Connector Ldap Synchronization Connector (LSC) est un projet qui permet de synchroniser des données de n importe quelle source de données, y compris des bases de données, annuaires LDAPv3 ou fichiers à plat, en transformant et en comparant ces données entre la source et les référentiels cibles. Ces connecteurs peuvent ensuite être utilisés pour synchroniser en permanence une source de données dans un répertoire, pour une importation d un projectile ou tout simplement pour comparer les différences de sortie CSV ou LDIF. La dernière version (2.1.3) est sortie le 4 mars Aperçu des fonctionnalités: Outil d installation graphique (l utilisation est facultative). Entièrement configurable via un fichier de configuration XML. Écrit en Java, tirant parti de l écosystème des outils disponibles. Des Wrapper shell sont fournis, pour faciliter l utilisation et l intégration de systèmes. Fonctionne sur n importe quelle plateforme de java6-enabled - Testé sur Windows, Linux et MacOS X. Trois politiques pour mettre à jour les attributs, y compris les valeurs de forçage, mises à jour non destructives et fusion. Manipulation de chaînes: formatage pour les tâches courantes en matière de gestion d identité, tels que la capitalisation premières lettres dans un nom complexe, filtrage des accents pour les noms de connexion, etc... Outils de sécurité: hachage de mot de passe, chiffrement bidirectionnel 14 Année

15 Conditions de créer seulement, mise à jour, renommer ou supprimer des entrées en fonction de valeurs actuelles Journalisation détaillée et configurable dans LDIF (entièrement compatible RFC) et CSV Support des plugins pour Nagios (monitoring) Opérations de synchronisation d identité: En réconciliant deux référentiels d identité, trois opérations sont possibles pour chaque identité individuelle: Créer: Si l identité n existe que dans un seul dépôt, elle peut être créée dans l autre. Dans ce cas, toutes les informations au sein de l identité proviennent du référentiel contenant l identité, ou à partir de valeurs par défaut spécifiées sur une base générale. Mise à jour: Si l identité existe dans les deux dépôts, l information doit être mise à jour, pour synchroniser chaque élément d un référentiel vers l autre. Effacer: Si l identité n existe que dans un seul dépôt, elle peut être supprimée dans l autre. Dans ce cas, l identité et les informations à l intérieur sont complètement enlevées. La combinaison de ces deux solutions permettrait une synchronisation des annuaires OpenL- DAP et Active Directory, tous deux gérés par LSC. PhpLdapAdmin permettrait une gestion des utilisateurs par une interface web pour les deux services d annuaires. Cette solution permet aussi de pouvoir intégrer d autres types d annuaires sur le long terme. C est pour ces critères, qui répondent à ce que nous recherchons, que nous choisissons ce couple de solution. Nous allons expliquer plus en détails la mise en place de cette solution dans le prochain chapitre. Les phases de LSC: Une synchronisation complète avec LSC comporte deux phases : Phase de synchronisation (Sync phase) : LSC va ajouter/modifier/renommer les entrées dans la destination. Phase de nettoyage (Clean phase) : LSC va supprimer les entrées de la destination. Figure 1: Phase de synchronisation 15 Année

16 1. Toutes les entrées sont lues dans la source. Cela se fait avec getallfilter pour LDAP, base de données ou pour requestnameforlist listscript pour l extension exécutable. Les valeurs des attributs définis dans pivotattributes (dans la source) sont lus. 2. Pour chaque entrée trouvée à l étape 1, les valeurs de pivot sont utilisés pour obtenir l entrée dans la source et les valeurs d attributs définis dans fetchedattributes sont lus. Cela se fait avec getonefilter pour LDAP, base de données ou pour requestnameforobject getscript pour l extension exécutable. 3. Pour chaque entrée trouvée à l étape 1, les valeurs de pivotement (de la source) sont utilisés pour obtenir l entrée dans la destination et les valeurs d attributs définis dans fetchedattributes sont lus. Cela se fait avec getonefilter pour LDAP, base de données ou pour requestnameforobject getscript pour l extension exécutable. 4. Attributs et valeurs trouvées à l étape 2 sont placés dans srcbean, et ceux trouvés à l étape 3 sont en dstbean. Les règles de synchronisations sont exécutés et LSC calcule les modifications. 5. La modification est appliquée sur la destination, si les conditions associées sont vraies. Figure 2: Phase de clean 1. Toutes les entrées sont lues dans la destination. Les valeurs des attributs définis dans pivotattributes (dans la destination) sont lus. 2. Pour chaque entrée trouvée à l étape 1, les valeurs de pivotement (à partir de la destination) sont utilisés pour obtenir l entrée dans la source. Cela se fait avec cleanfilter pour LDAP, base de données ou pour requestnameforclean getscript pour l extension exécutable. 3. Si aucune entrée correspondante se trouve dans la source, LSC marquer l entrée de destination pour la suppression. 4. La suppression sont appliquées sur la destination, si l état de suppression est vrai. 16 Année

17 11 La solution retenue 11.1 PhpLdapAdmin + LDAP Synchronisation Connector Nous avons choisi de couplé PhpLdapAdmin à LDAP Sychronization Connector. En effet, PhpLdapAdmin servira d interface de gestion pour ajouter, modifier, mettre à jour les informations de l annuaire sur l OpenLDAP et LDAP Synchronisation Connector synchronisera tout changement de l annuaire OpenLDAP sur les autres outils. (Active Directory, bases de données, etc) Avantages : LSC est open source et bien suivi par la communauté. LSC permet de s interfacer avec n importe quelle base de données SQL et n importe quel annuaire LDAPv3. LSC est un projet spécialisé dans la synchronisation d annuaire LDAP. Possibilité de gestion des annuaires par interface web via PhpLdapAdmin. Inconvénients : La configuration de LSC est entièrement en XML. LSC est écrit en Java. LSC doit être configuré à la main. LSC ne possède pas d interface graphique pour simplifier la configuration. 17 Année

18 OpenLDAP et phpldapadmin ont été installés sur une machine sous Debian wheezy, en localhost et reposant sur le serveur Apache. Pour les tests, le serveur est resté en http et aucun certificat n a été généré. En production, il est nécessaire de passer en https pour des raisons évidentes de sécurité. L avantage de phpldapadmin est qu il offre une interface graphique de gestion des bases, ce qui rend l usage plus ergonomique. Pour synchroniser les annuaires nous allons utiliser Ldap Synchronization Connector (LSC). Cela va nous permettre de diffuser tous les changements sur les autres annuaires. La gestion des utilisateurs se fera via PhpLdapAdmin sur un OpenLDAP puis LSC synchronisera sur les autres annuaires. Pour en savoir plus sur LSC,nous avons contacté les développeurs de LSC, à savoir Clément OUDOT et Sébastien BAHLOUL, pour en savoir un peu plus sur leur outil. Nous avons donc appris qu au départ, ils développaient des scripts de synchronisation pour chaque projet client. Il s est avéré que les besoins étaient souvent similaires, d où la création d un moteur de synchronisation, nommé LSC, pouvant adapter son comportement par configuration. La principale difficulté qu ils aient rencontrée a été la prise en main par des personnes extérieures au projet en raison de la complexité de l outil. Mais au fur et à mesure l outil est devenu plus facilement utilisable et la documentation plus fournie. Ils ont eu des retours plutôt positifs surtout au fur et à mesure des versions, certaines sociétés comme Orange ont même financé une partie du développement du projet. Les questions/réponses aux développeurs de LSC sont disponibles en annexe ici. 18 Année

19 12 PhpLdapAdmin - LSC, la mise en place de notre solution 12.1 Installation de OpenLDAP L installation de OpenLDAP se fait via les dépôts Debian: apt-get install slapd ldap-utils Configuration de /etc/ldap/ldap.conf: Modification des lignes suivantes (nous avons choisi comme domaine pharma.local): 1 BASE dc=pharma,dc= local 2 URI ldap :// debian. pharma. local ldap :// debian - master. pharma. local :666 Ensuite: dpkg-reconfigure slapd Omit OpenLDAP server configuration? No DNS domain name: debian.pharma.local Organization name: PharmaGest Administrator password: <PASSWORD> Confirm password: <PASSWORD> Database backend to use: HDB Do you want the database to be removed when slapd is purged? Yes Move old database? Yes Allow LDAPv2 protocol? No Vérifier la configuration initiale avec la commande: slapcat 12.2 Installation de Apache, PHP et PhpLdapAdmin Installation de Apache et PHP: apt-get install apache2 php5 php5-mysql Installation de PhpLdapAdmin apt-get install phpldapadmin Modification dans /etc/phpldapadmin/config.php: 1 $servers -> setvalue ( server, name, My LDAP Server ); 2 $servers -> setvalue ( server, host, ) ; 3 $servers -> setvalue ( server, base, array ( dc=debian,dc=pharma,dc=local )); 4 $servers -> setvalue ( login, bind_id, cn=admin,dc=debian,dc= pharma,dc=local ); 19 Année

20 URL d accès à PhpLdapAdmin: Pré-requis pour LSC Le serveur OpenLDAP doit appartenir au même domaine, dans notre cas Pharma.local. Le JRE au minimum doit être installé. On peut vérifier si Java est installé en entrant la commande : java -version De plus, pour que les scripts cron fonctionnent correctement, il vaut mieux configurer la variable d environnement JAVA_HOME. Pour cela : export JAVA_HOME=/usr/lib/jvm/<chemin_vers_java> 1 Java Runtime Environment 20 Année

21 12.4 Installation de LSC Dans /etc/apt/sources.list.d/lsc-project.list ajouter : deb lsc main deb-src lsc main Mettre à jour les dépôts : apt-get update Importer la clé PGP : wget -O - sudo apt-key add - Si on ne le fait pas, on a l erreur suivante à l update : Erreur de GPG : lsc Release : Les signatures suivantes n ont pas pu ê NO_PUBKEY 0AC51F926D45BFC5 Installation depuis les dépôts ajoutés juste avant : apt-get install lsc 12.5 Configuration Avec cette installation, les fichiers de LSC sont installés dans : /usr/bin/lsc: wrapper pour lancer LSC /etc/lsc/: configuration /var/log/lsc/: logs /etc/init.d/lsc: init script (pour le mode asynchrone) /etc/default/lsc: init script /etc/cron.d/lsc: configuration cron /usr/lib/lsc/: LSC libraries /var/lib/lsc/nagios/: scripts de monitoring /usr/share/doc/lsc: scripts d exemple 21 Année

22 Pour configurer LSC nous avons commencé par ceci: Nous avons créé un répertoire de configuration pour nos fichiers de configuration: mkdir /etc/lsc/openldap2ad/ Nous avons besoin d une configuration de logback dans ce répertoire: cp /etc/lsc/logback.xml /etc/lsc/openldap2ad/ Toute la configuration se fait à travers le fichier de configuration /etc/lsc/openldap2ad/lsc.xml. Un exemple de fichier est fourni: cp /etc/lsc/lsc.xml /etc/lsc/openldap2ad/ Tous les paramètres de configuration sont décrits dans le fichier lsc.xml. Détail de notre fichier de configuration lsc.xml: Le fichier de configuration s ordonne de la manière suivante: 1. Connexion aux outils 2. Taches à effectuer Règles générales à propos de ce fichier: L ordre des paramètres est important. Il faut respecter l ordre donné dans les exemples. Les caractères contenus entre <!- and -> sont des commentaires. Les XML entities comme "&" doivent être convertis ou encapsulés en CDATA. Exemple : <getonefilter>(&(objectclass=inetorgperson)(uid={uid}))</getonefilter> devient : <getonefilter><![cdata[(&(objectclass=inetorgperson)(uid={uid}))]]></getonefilter> Un namespace XML doit être déclaré dans lsc.xml. Ce namespace va varier en fonction des releases de LSC, il faudra donc le garder à jour. <?xml version="1.0"?> <lsc xmlns=" revision="0"> Voici nos connexions aux annuaires: Connexion à l OpenLDAP: 1 < connections > 2 < ldapconnection > 3 <name > openldap </ name > 4 <url > ldap :// localhost :389/ dc=debian,dc=pharma,dc=local </ url > 5 <username >cn=admin,dc=debian,dc=pharma,dc=local </ username > 22 Année

23 6 <password >toor </ password > 7 < authentication > SIMPLE </ authentication > 8 <referral > IGNORE </ referral > 9 < derefaliases > NEVER </ derefaliases > 10 <version > VERSION_3 </ version > 11 <pagesize > -1 </ pagesize > 12 <factory > com. sun. jndi. ldap. LdapCtxFactory </ factory > 13 < tlsactivated > false </ tlsactivated > 14 </ ldapconnection > Explication des balises: <url>obligatoire : Adresse de connexion au serveur OpenLDAP et l annuaire ensuite</url> <username>optionnel : Utilisateur d accès à l annuaire</username> <password>optionnel : Le mot de passe de l utilisateur qui accède à l annuaire</password> <authentication>obligatoire : Le niveau d authentification</authentication> <referral>obligatoire : Protocole de communication permettant de créer des liens permettant ainsi de relier des annuaires les uns aux autres</referral> <derefaliases>obligatoire : Indique le comportement à adopter en utilisant un alias 2 (1)</derefAliases> <version>obligatoire : Version du protocole LDAP, par défaut LDAPv3</version> <pagesize>obligatoire : Taille de la page à utiliser ou -1 pour infini. 3 </pagesize> <tlsactivated>obligatoire : Activation du mode de communication TLS 4 <tlsactivated> Connexion à l Active Directory: 1 < ldapconnection > 2 <name >AD </ name > 3 <url > ldaps :// ServeurAD. pharma. local :636/ dc=pharma,dc= local </ url > 4 <username >CN= Administrateur,CN=Users,DC=pharma,DC=local </ username > 5 <password >toor </ password > 6 < authentication > SIMPLE </ authentication > 7 <referral > IGNORE </ referral > 8 < derefaliases > NEVER </ derefaliases > 9 <version > VERSION_3 </ version > 10 < pagesize >1000 </ pagesize > 11 <factory > com. sun. jndi. ldap. LdapCtxFactory </ factory > 12 < tlsactivated > false </ tlsactivated > 13 </ ldapconnection > 14 </ connections > La connexion à l Active Directory est configuré de la même manière. On peut remarquer que <pagesize> est, comme indiqué plus haut, configuré pour 1000 résultats pour éviter les erreurs. 2 Voir pour plus d informations. 3 Certains clients LDAP ne peuvent recevoir que les 1000 premiers résultats lors d une requête (AD par exemple). S il y a 1200 résultats à retourner et que la pagination n est pas activée, le client va recevoir une erreur de type "Size Limit Exceeded" Voir pour plus d informations. 4 Activation de SSL et TLS: LSC peut chiffrer la communication avec un serveur LDAP en utilisant StartTLS (sur le port LDAP standard, 389) ou via SSL (sur un port specifique, le 636). 23 Année

24 Voici le détail d une tâche: La structure d une tâche: 1 <tasks > 2 <task > 3 <name > syncusers </ name > 4 <bean > org. lsc. beans. SimpleBean </ bean > <task > 7 <tasks > Explication des balises: <name>nom de la tâche</name> <bean>nom du bean. SimpleBean pour le bean par défaut. OrderedValuesBean pour forcer LSC à modifier les attributs si l ordre des valeurs a changé.</bean> 1 < ldapsourceservice > 2 <name > openldap - source - service </ name > 3 < connection reference =" openldap " / > 4 <basedn >cn=users,dc=debian,dc=pharma,dc=local </ basedn > 5 < pivotattributes > 6 <string >uid </ string > 7 </ pivotattributes > Explication des balises: <name>obligatoire : Nom de la source</name> <connection>nom de la connexion à utiliser (configurée avant) pour l accès à l annuaire</connection> <basedn>obligatoire : Fait référence au nom de connexion cité plus haut dans la partie de connexion</basedn> <pivotattributes>obligatoire : Liste de valeurs contenant les attributs pivots qui sont récupérés lors de la recherche sur toutes les entrées. Ils sont utilisés pour obtenir le bon filtre afin de lire chaque entrée unique.</pivotattributes> 1 < fetchedattributes > 2 <string >cn </ string > 3 < string > homedirectory </ string > 4 < string > givenname </ string > 5 <string >mail </ string > 6 <string >sn </ string > 7 <string >uid </ string > 8 < string > userpassword </ string > 9 </ fetchedattributes > Explication des balises: <string>nom des ressources à récupérer</string> 24 Année

25 1 < ldapdestinationservice > 2 <name >ad -dst - service </ name > 3 < connection reference =" AD" / > 4 <basedn >cn= Computers,dc=pharma,dc=local </ basedn > 5 < pivotattributes > 6 < string > samaccountname </ string > 7 </ pivotattributes > </ ldapdestinationservice > Il s agit de la même chose mais du côté destination, dans notre cas l Active Directory Autres balises: getallfilter: Obligatoire : Filtre utilisé pour chercher toutes les entrées à synchroniser getonefilter: Obligatoire : Filtre utilisé pour chercher une entrée particulière lors de la phase de synchronisation cleanfilter: Optionnel : Filtre utilisé pour chercher une entrée particulière lors de la phase de nettoyage filterasync: Optionnel : Filtre utilisé pour simuler une tache asynchrone (par défaut: modifytimestamp>=0) dateformat: Optionnel : Format de la date pour le filtre d avant (par défaut: yyyymmddhhmmss Z) interval: Optionnel : Intervalle en secondes pour aller chercher les données (par défaut: 5) 12.6 Les modes de lancement de LSC On peut lancer LSC sous trois modes différents : Mode synchrone: c est la façon la plus simple pour démarrer LSC. Une fois que le service de la source a été listé, les objets sont extraits de la source et de la destination. Les nouveaux objets sont créés, les existants sont mis à jour et, à la fin, LSC va s arrêter (pas de démon ou de programme en cours d éxecution) clean mode: ce mode est complémentaire au premier pour le nettoyage du service de destination en récupérant les objets et en vérifiant leur existence à l intérieur du service de la source. S ils existent, rien n est fait mais s ils n existent pas, ils sont supprimés à partir du service de destination. Mode asynchrone: dans ce mode, LSC est lancé en tant que démon. Si le service de la source a quelque chose à synchroniser, LSC va récupérer les objets mis à jour un par un et se synchroniser avec le service de destination. Si aucune mise à jour n est disponible, LSC va attendre pendant 5 secondes et essayez à nouveau. Il ne s arrêtera jamais tant qu une demande explicite ne soit faite. Nous utiliserons le mode asynchrone pour que LSC soit lancé en démon et fasse les modifications immédiatement une fois que la modification a été faite sur PhpLdapAdmin. Si une tâche 25 Année

26 doit être exécutée une fois, alors le mode Synchrone correspond le mieux. Attention! Le "clean mode", qui permet de supprimer une entrée, n est pas compatible avec le mode asynchrone. Ce qui veut dire que lorsque le mode asynchrone est lancé, LSC effectue les ajouts et modifications mais pas les suppressions. D après Clément OUDOT, un développeur de LSC, il s agit plus d une question de temps qu un véritable choix technique. La meilleur solution dans ce cas-là est d établir une procédure lorsque vous voulez supprimer un utilisateur. Par exemple celle-ci pourrait dire, lorsque vous voulez supprimer un utilisateur, qu il faut le supprimer normalement via PhpLdapAdmin puis lancer un "clean mode" à la main par la suite. Les commandes de lancement de LSC: Cette commande lance une synchronisation en mode synchrone: /usr/bin/lsc -f /etc/openldap2ad/ -s all -c all /usr/bin/lsc: Correspond au chemin de l exécutable lsc -f /etc/openldap2ad: Correspond au fichier de configuration que l on souhaite -s all: Correspond à l ordre de tout synchroniser -c all: Correspond au clean mode Cette commande lance une synchronisation en mode asynchrone /usr/bin/lsc -f /etc/openldap2ad/ -s all -c all -a Ajout du - a permet de lancer la commande précédente en mode asynchrone. 26 Année

27 Résumé de la mise en place: Dans un premier temps: 1. Installation de OpenLDAP 2. Configuration de OpenLDAP pour votre domaine 3. Installation de php5 et apache2 4. Installation de java Puis: 1. Installation de PhpLdapAdmin 2. Configuration de PhpLdapAdmin 3. Installation de LSC 4. Création/configuration des tâches LSC PS: Les autres annuaires doivent être configurés et être dans le même domaine que l OpenLDAP, dans notre cas pharma.local 27 Année

28 12.7 Les tests Les phases de tests sont importantes pour vérifier le fonctionnement de notre solution en toutes circonstances. Pour cela nous avons mis en place une "Road map" dans laquelle nous avons détaillé toutes les étapes des tests que nous avons prévus. Nous avons créé 3 utilisateurs sur l annuaire OpenLDAP grâce à PhpLdapAdmin qui vont nous servir pour nos tests. Road map: Jeu de tests numéro 1: -> Création d un user sur OpenLDAP via PhpLDAPAdmin -> Synchronisation via LSC sur AD -> Vérification sur l AD et OpenLDAP -> Modification d un user sur OpenLDAP via PhpLDAPAdmin -> Synchronisation via LSC sur AD -> Vérification sur l AD et OpenLDAP -> Suppression d un user sur OpenLDAP via PhpLDAPAdmin -> Synchronisation via LSC sur AD -> Vérification sur l AD et OpenLDAP La tâche que nous avons créée fait les 3 en même temps, l ajout, la modification et la suppression. C est-à-dire, en une seule tâche, il va à la fois ajouter, modifier et supprimer si besoin. La tâche est disponible en annexe: ici. 28 Année

29 Voici un exemple de test: Dans celui-ci nous avons ajouté, modifié et supprimé un utilisateur. Figure 3: OpenLDAP, avant synchronisation Figure 4: Ajout d un utilisateur via PhpLdapAdmin 29 Année

30 Figure 5: Synchronisation avec LSC Figure 6: Active Directory, avant synchronisation Figure 7: Active Directory, après synchronisation 30 Année

31 Jeu de tests numéro 2: -> Création d un user sur AD -> Synchronisation via LSC sur OpenLDAP -> Vérification sur l OpenLDAP -> Modification d un user sur AD -> Synchronisation via LSC sur OpenLDAP -> Vérification sur l OpenLDAP -> Suppression d un user sur AD -> Synchronisation via LSC sur OpenLDAP -> Vérification sur l OpenLDAP Il s agit d effectuer le même test que précédemment en changeant la source et la destination. Nous n avons pas jugé utile de détailler ce test. Vous pouvez retrouver le fichier lsc.xml qui a servi à ce test en annexe ici. 31 Année

32 12.8 Sécurisation Par manque de temps, nous n avons pas pu approfondir la sécurisation de notre solution. Voici tout de même un exemple de ce qui est possible: Le protocole Kerberos: Le protocole Kerberos repose sur un système de cryptographie à base de clés secrètes (clés symétriques ou clés privées), avec l algorithme DES. Kerberos partage avec chaque client du réseau une clé secrète faisant office de preuve d identité. Ce système est relativement long et complexe à mettre en place. SSL et PhpLdapAdmin: La connexion à PhpLdapAdmin peut se faire en SSL, il est même vivement conseillé de le faire pour sécuriser les échanges entre l annuaire et PhpLdapAdmin. LSC: Dans LSC, il existe une options de chiffrement des communications: Les options de cryptage sont utilisées pour fournir un mécanisme de chiffrement bidirectionnel nécessaire pour protéger l information sensible. Elles sont utilisées par la bibliothèque SecurityUtils. Le chiffrement symétrique peut être configuré via les trois paramètres suivants dans le fichier de configuration: lsc> securityencryption> keyfile: le chemin vers le fichier utilisé pour crypter / décrypter les données. Par défaut, "lsc.key". lsc> Sécurité> Cryptage> algorithme: l algorithme à utiliser. Par défaut AES. lsc> Sécurité> Cryptage> force: la force en bits. Par défaut, 128. Exemple de configuration de chiffrement: 1 <lsc > 2 < security > 3 < encryption > 4 <keyfile > $LSC_HOME / etc / lsc.key </ keyfile > 5 <algorithm >AES </ algorithm > 6 < strength >128 </ strength > 7 </ encryption > 8 </ security > 9 </lsc > Configurer LSC en TLS pour des opérations via StartTLS (cette fonctionnalité est disponible depuis LSC 1.1.0) : 1 < tlsactivated > false </ tlsactivated > Configurer LSC en SSL On peut aussi utiliser SSL pour créer un tunnel sécurisé. Cela implique d utiliser l URI ldaps: 32 Année

33 1 <url > ldaps :// localhost / </ url > Attention: Notre solution implique que le serveur avec OpenLDAP, LSC et PhpLdapAdmin doit être bien sécurisé. En effet, il est le point central de notre configuration, sur lui est installé PhpLdapAdmin, LSC et l annuaire "principal" OpenLDAP sur lequel tout les autres annuaires serons synchronisés. Il est donc le point critique de notre solution. 33 Année

34 13 Pour résumer Pour répondre aux objectifs que nous avions, qui étaient de proposer une solution pour gérer de manière simple et homogène un ensemble d utilisateurs dans un environnement hétérogène et uniformiser leur gestion via une interface tout en étant évolutive, nous avons choisi de coupler PhpLdapAdmin et LSC. En effet PhpLdapAdmin nous permet de gérer les utilisateurs de l OpenLDAP via une interface web sécurisé et LSC est chargé de synchroniser tout changement, que ce soit un ajout, une modification ou encore une suppression d utilisateur, sur les outils connectés à celui-ci (Active directory, MySQL, IBM Tivoli, etc..). De cette manière tous les utilisateurs, qu ils soient sur MAC OSX, Windows ou Linux sont tous gérés dans des annuaires synchronisés entre eux. Voici quelques schémas pour illustrer nos propos: Schéma de l architecture avant: Figure 8: Chaque annuaire est géré indépendamment 34 Année