Application Web Annuaire LDAP

Application Web Annuaire LDAP Hubert Segond Orange Labs ENSI 2015-16 Sommaire Annuaire Qu est ce qu un annuaire? Annuaires et bases de données A quoi sert un annuaire? Normes et standards Norme X.500 Standard LDAP Entrée et attributs Classes d objets Schéma d annuaire Nommage, DIT Recherche dans l annuaire Duplication, sécurité Format LDIF Déploiement d un annuaire Types d annuaire Logiciels serveurs & clients Active Directory/Lotus Domino/OpenLDAP Synchronisation d annuaires RFCs sur les annuaires Carnet d adresses 1

Qu est ce qu un annuaire? Un annuaire est une bibliothèque (imprimée ou électronique) mise à jour régulièrement qui regroupe des informations (nom, adresse, coordonnées, ) sur les membres d une association, d'une entreprise, d'un organisme professionnel ou sur les abonnés à un service. Un annuaire électronique est une application web (base de données particulière) destinée à faciliter la communication entre des entités. Qu est ce qu un annuaire? Les entités (ou objets) représentés dans un annuaire électronique peuvent être: Des personnes Des organisations Des équipements Un annuaire électronique représente donc tout ce que son concepteur à décidé d y mettre. Autre spécificité de l annuaire électronique, est qu il sera habituellement plus souvent consulté que modifié. Même s il est mis à jour régulièrement 2

Qu est ce qu un annuaire? L accès aux annuaires en consultation et la mise à jour peuvent être effectués par des utilisateurs ou des applications informatiques. Lors de la mise en place d un système annuaire, le problème le plus critique à régler va concerner la mise à jour des données. Les problèmes organisationnels sont à prendre en compte comme les problèmes techniques pour l implémentation d un annuaire. Utilisation des annuaires Recherche d'ordre général (annuaires généralistes) ou spécialisé (annuaires spécialisés) Pour trouver des sites de références Mode de recherche Recherche par arborescence Le contenu n'est pas indexé Recherche par mots-clefs dans un nombre limité de champs, pas de requêtes complexes 3

Annuaire et base de données L annuaire est une base de données différente d une base de données relationnelle. L annuaire: Est optimisé pour les accès en lecture Contient des informations persistantes Est optimisé pour pouvoir être réparti Importance des standards La méthode d accès aux annuaires est plus simple que celle des bases de données transactionnelles (faire du SQL). Illustration application Annuaire Annuaires téléphonique et de messagerie Commerce électronique Sécurité Authentification Annuaire Base d informations - de nommage - d adressage - de profil - de sécurité Sur les partenaires de communications - personnes - membres d une organisation - applications, services - équipements Carnet d adresses Gestion profils utilisateurs Administration de réseaux et services 4

Normes et standards 1/2 C est l'iso (International Standards Organization) et l'itu (International Telecommunication Union) qui ont été les pionniers dans la définition d'un annuaire standardisé. L'application de ce modèle aux annuaires a donné lieu, en 1988, à la première version des normes d'annuaire X.500(la version 1993 des spécifications X.500 offre un ensemble de services cohérent et complet). Cependant, les logiciels à mettre en œuvre pour interroger ces annuaires sont relativement complexes à réaliser et à installer. Normes et standards 2/2 C'est pourquoi l'ietf (Internet Engineering Task Force) a conçu une version allégée des spécifications X.500 appelée LDAP(Lightweight Directory Access Protocol). D'abord cantonnées aux relations entre utilisateur et serveur d'annuaire, les études de l'ietf sur les annuaires s étendent progressivement à tous les aspects traités par les spécifications de la norme X.500. 5

Norme X.500 : accès à l annuaire Modèle fonctionnel de l annuaire X.500, un utilisateur accède à l annuaire à travers un composant appelé DUA et du protocole DAP. utilisateur utilisateur DUA DUA DAP DSA ANNUAIRE DUA DUA DSA DAP X.500 DSA DAP DUA DUA utilisateur DUA DAP : Directory User Agent : Directory Access Protocol Standard LDAP LDAP A l origine un projet de l Université du Michigan, popularisé par Netscape puis normalisé par l IETF Version 3 à ce jour v1 : RFC 1487 «X.500 Lightweight Directory Access Protocol.», juillet 1993 v2 : RFC 1777, «Lightweight Directory Access Protocol.», mars 1995 v3 : RFC 2251-2256, décembre 1997 ; RFC 2228-2830, mai 2000 ; RFC 3377, sept. 2002 Né de l adaptation de X.500 DAP au protocole TCP/IP. Evolution vers un service d annuaire complet. Communications serveur/serveur, sécurité Acceptation quasi globale comme protocole d accès 6

Protocole LDAP : accès à l annuaire LDAP est initialement un frontal d accès à des bases d annuaires X.500 (translateur LDAP/DAP). Devient un annuaire natif (standalone LDAP) utilisant sa propre base de données. En 96, apparaissent les premiers serveurs commerciaux. LDAP Client LDAP Serveur LDAP Annuaire X.500 Annuaire LDAP LDAP standard d annuaire LDAP est un standard d annuaire qui définit : Un protocole basé sur TCP/IP permettant d accéder à l information contenue dans l annuaire Un modèle d informationdéfinissant le type de données contenu dans l annuaire Un modèle de nommagedéfinissant comment l information est organisée et référencée Un modèle fonctionnelqui définit comment on accède à l information Un modèle de duplicationqui définit comment la base est répartie entre serveurs Un modèle de sécuritéqui définit comment données et accès sont protégés Un format LDIF (Directory Interchange Format) d échange de données Des APIs (C, Java, Perl, ) pour développer des applications clientes 7

Le Protocole Le protocole définit comment s établit la communication en mode client-serveur. En particulier les commandes pour se connecter, se déconnecter, rechercher, créer, modifier ou supprimer des entrées Les échanges LDAP s appuient sur le transport TCP/IP utilisant le port 389 Il définit également le protocole de communication en mode serveur-serveur. Permettant à plusieurs serveurs d échanger leur contenu et de le synchroniser Créer des liens permettant de relier des annuaires les uns aux autres Contrairement à d autres protocoles comme HTTP ou SMTP, le dialogue LDAP ne se fait pas en ASCII mais utilise le format de codage BER (Basic Encoding Rule) qui repose sur le principe de codage (Type,Longueur,Donnée) Protocole extensible LDAP est conçu pour être extensible sans avoir à modifier la norme grâce à 3 concepts : LDAP extented operations: rajouter une opération en plus des opérations de base LDAP controls: paramètres supplémentaires associés à une opération qui en modifie le comportement Simple Authentification and Security Layer: couche supplémentaire permettant à LDAP d utiliser des méthodes d authentification externes 8

Le modèle d information Le modèle d information définit le type de données pouvant être stockées dans l annuaire : L entrée(entry) est l élément de base de l annuaire. Elle contient les informations sur un objet de l annuaire (personne par exemple) Ces informations sont représentées sous la forme d attributs décrivant les caractéristiques de l objet Toute sorte de classe d objet(réelle ou abstraite) peut être représentée Le schémade l annuaire définit la liste des classes d objets qu il connaît La structure d une entrée Entrée Attribut Attribut Attribut Classe Objet Attribut Type d'attribut Valeur(s) d'attribut Valeurs Valeur d'attribut Valeur d'attribut Valeur d'attribut 9

Les attributs Une entréedans l annuaire correspond à une série d attributs (couple nom/valeur) caractérisée par : Un nom qui l identifie Un OID (Object Identifier) qui l identifie de façon unique (Un OID est une séquence de nombres entiers séparés par des points) S il est mono ou multi-valué Une syntaxe et des règles de comparaison Un indicateur d usage Un format ou une limite de taille de valeur qui lui est associée Exemple d attributs d une entrée : Nom d attribut cn uid Valeur d attribut Pierre Dupond pdupond telephonenumber 0233445566 mail pierre.dupond@entreprise.fr Les classes d objets (1) Les classes d objetsmodélisent des objets réels ou abstraits en les caractérisant par une liste d attributs optionnels ou obligatoires. Une classe d objets est définit par : Un nom, qui l identifie Un OID (Object Identifier) qui l identifie de façon unique (Un OID est une séquence de nombres entiers séparés par des points) Des attributs obligatoires Des attributs optionnels Un type (structurel, auxiliaire ou abstrait) Exemples de classes d objet : pays ( c ) organisation ( o ) département ( ou ) personne ( organizationalperson ) 10

Les classes d objets (2) Le type d une classeest lié à la nature des attributs qu elle utilise : Une classe structurellecorrespond à la description d objets basiques de l annuaire: les personnes, groupes ou organisation (une entrée appartient au moins à ce type de classe) Une classe auxiliairedésigne des objets qui permettent de rajouter des informations à des objets structurels (par exemple, l objet mailrecipient rajoute les attributs concernant la messagerie électronique) Une classe abstraitedésigne des objets basiques comme les objets alias par exemple Les classes d objets (3) Les classes d objets forment une hiérarchie, au sommet de laquelle se trouve l objet top. Chaque objet hérite des propriétés (attributs) de l objet dont il est le fils On précise la classe d objet d une entrée à l aide de l attribut objectclass top organizationalunit person organizationalperson inetorgperson 11

Les classes d objets (4) Par exemple, l objet inetorgperson à la filiation suivante : objectclass: top objectclass: person objectclass: organizationalperson objectclass: inetorgperson L objet persona comme attributs : commonname, surname, description, telephonenumber, userpassword. L objet fils organizationalpersonajoute des attributs comme : organizationunitname, title, postaladdress... L objet petit-fils inetorgpersonlui rajoute des attributs comme : mail, uid (userid), photo... Exemple classe d objet : inetorgperson 12

Le schéma d annuaire L ensemble des définitions relatives aux objets que sait gérer un annuaire LDAP s appelle le schéma d annuaire (Directory Schema). Le schéma d annuaire décrit : Les classes d objets Leurs types d attributs Leur syntaxe Le modèle de nommage Le modèle de nommagedéfinit comment sont organisées les entrées de l annuaire et comment elles sont référencées. Les entrées représentent des objets L organisation de ces objets se fait suivant une structure logique hiérarchique : Directory Information Tree (DIT) Au sein de ce DIT, l identification d une entrée se fait à l aide d un nom, le Distinguish Name (DN) 13

Le Directory Information Tree (DIT) Les données LDAP sont structurées dans une arborescence hiérarchique. Chaque nœud de l arbre correspond à une entrée de l annuaire ou Directory Service Entry (DSE). Au sommet de l arbre se trouve l entrée Suffixe (Root Entry ou BaseDN), qui caractérise un annuaire LDAP. Le Distinguished Name (DN) Chaque entrée est référencée de manière unique dans le DIT par son Distinguished Name (DN). Le DN représente le chemin absolu d accès. Exemple de DN : Dn : uid=pdupond,ou=service,dc=entreprise,dc=fr dc=entreprise,dc=fr ou=service uid=pdupond 14

Les opérations de base d accès à l annuaire 29 Opération LDAP search compare add modify delete rename bind unbind abandon extended interne Orange Description recherche dans l'annuaire d'objets à partir de critères comparaison du contenu de deux objets ajout d'une entrée modification du contenu d'une entrée suppression d'un objet modification du DN d'une entrée connexion au serveur déconnexion abandon d'une opération en cours opérations étendues (v3) Recherche dans l annuaire Pour connaître le contenu d une entrée, il faut écrire une requête qui pointe sur cette entrée. Les commandes searchet comparese font sous la forme d une requête composée des 8 paramètres suivants : Paramètres base object scope derefaliases size limit time limit attronly search filter Description l'endroit de l'arbre où doit commencer la recherche la profondeur de la recherche si on suit les liens ou pas nombre de réponses limite temps maxi alloué pour la recherche renvoie ou pas la valeur des attributs en plus de leur type le filtre de recherche list of attributes la liste des attributs que l'on souhaite connaître 15

Les filtres de recherche (RFC 1558) Filtre Syntaxe Interprétation Approximation (sn~=dupond) nom dont l'orthographe est voisine de Dupond Egalité (sn=dupond) vaut exactement Dupond Comparaison (sn>dupond), <=, >=, < noms situés alphabétiquement après Dupond Présence (sn=*) toutes les entrées ayant un attribut sn Sous-chaîne (sn=dup*), (sn=*pond*), (sn=dup*o*) expressions régulières sur les chaînes ET (&(sn=dupond) (ou=marketing)) toutes les entrées dont le nom est Dupond et du service Marketing OU ( (ou=direction) (ou=marketing)) toutes les entrées dont le service est Marketing ou la Direction Requête LDAP 1. Connexion et authentification 2. Résultat authentification 3. Recherche (sn~=dupond) LDAP Client 4. Réponse entrée 1 5. Réponse entré 2 6. Message de résultat (Pierre Dupond, Claude Dupond) LDAP Server 7. Abandon session 8. Déconnexion Server port 389 for standard LDAP Server port 636 for LDAP over SSL 16

Duplication (1) La duplicationou réplication consiste à recopier le contenu de tout ou partie d un annuaire sur un ou plusieurs serveurs. Elle peut être utilisée pour : Rapprocher le service des utilisateurs (serveur et clients sur même réseau physique) Palier à une panne de l un des serveurs d annuaire Répartir la charge sur plusieurs serveurs (Load Balancing) Garantir la qualité de service : temps de réponse et sûreté de fonctionnement Duplication (2) Il existe plusieurs manières de synchroniser les serveurs : Mise à jour totaleou incrémentale Plusieurs stratégies de duplications Un serveur maître en lecture-écriture et des serveurs répliqués en lecture Plusieurs maîtres qui se synchronisent mutuellement Par exemple, le service de réplication permet au système de nommage (DNS) de bien fonctionner. 17

Modèle sécurité Le modèle de sécurité décrit le moyen de protéger les données de l annuaire des accès non autorisés. La sécurité se fait à plusieurs niveaux : Par l authentification pour se connecter au service Par un modèle de contrôle d accèsaux données Par le chiffrementdes transactions entre clients et serveurs ou entre serveurs Modèle sécurité : l authentification LDAP est un protocole avec connexion : l ouverture de session (bind) s accompagne d une identification et, éventuellement d un mot de passe. Anonymous authentification - accès sans authentification permettant d atteindre les données sans restrictions d accès Root DN authentification - accès administrateur (tous les droits) Mot de passe en clair - un DN plus un mot de passe qui transite en clair sur le réseau Kerberos V4 Mot de passe + SSL (LDAPS) ou TLS - la session est chiffrée et le mot de passe ne transite plus en clair Certificats sur SSL - échange de certificats SSL (clefs publiques/privées) Simple Authentification and Security Layer (SASL) mécanisme externe d authentification 18

Modèle sécurité : le contrôle d accès Le serveur attribue à l utilisateur identifié, des droits d accès aux données (lecture, écriture, recherche et comparaison), qui lui ont été définis par l administrateur sous la forme d ACLs. Les ACLs peuvent être configurées au niveau des entrées, au sommet de l arbre ou sur un sous-arbre. Elles agissent sur les entrées ou certains de leurs attributs. Elles s appliquent à des individus ou à des groupes, mais aussi suivant les adresses IP ou les noms de domaine des clients. Exemple pour : Netscape Directory : sous la forme d un attribut Access Control Items OpenLDAP : sous la forme de directives de contrôle d accès dans slapd.conf Modèle sécurité : le chiffrement LDAP v3 supporte le chiffrement des transactions(entre clients et serveurs ou entre serveurs) via l utilisation de SSL (ldaps) ou de son successeur, TLS (starttls extended operation). 19

Le format LDIF (1) Le format LDIF LDAP Data Interchange Format (RFC2849) Représentation ASCII & Base64 des entrées permet de représenter les données LDAP sous format texte standardisé. Il est utilisé pour afficher ou modifier les données de la base annuaire suivant deux modes : Faire des imports/exports de base Faire des modifications sur des entrées Le format utilisé est l ASCII, les données binaires étant codées en base64 (images par exemple). Le format LDIF (2) Exemple d une entrée de type personne au format LDIF : dn: cn=pierre Dupond,ou=service,o=entreprise,c=fr objectclass: top objectclass: person objectclass: organizationalperson objectclass: inetorgperson cn: Pierre Dupond sn: Dupond givenname: Pierre mail: pierre.dupond@entreprise.fr userpassword: {sha}jlmplmm3ad9dl uid: Pdupond telephonenumber: 839889 roomnumber: 144 20

URLs LDAP (1) A partir d un navigateur, il est possible d accéder à un annuaire via les URLs LDAP (RFC 2255). La syntaxe est de la forme : ldap[s]://<hostname>:<port>/<base_dn>?<attributes>?<scope>?<filt er> <base_dn> : DN de l entrée qui est le point de départ de la recherche <attributes> : les attributs que l on veut consulter <scope> : la profondeur de recherche dans le DIT à partir du <base_dn> base : s arrête au niveau courant (par défaut) one : descend d un niveau sub : parcourt tous les sous-niveaux <filter> : filtre de recherche, par défaut (objectclass=*) URLs LDAP (2) Exemple ldap://oceanie.rd.francetelecom.fr/c=fr??sub?(mail=hubert.segond*) 21

Déploiement d un annuaire Déployer un service d annuaire LDAP nécessite une étude sur la nature et l utilisation des données à exploiter. La mise en œuvre d un annuaire LDAP s effectue en plusieurs phases : Déterminer les besoins en service d annuaire et ses applications Déterminer quelles données sont nécessaires Déterminer son schéma Concevoir son espace de nommage Définir la topologie de son service Mettre en service la duplication Sécuriser le service Gestion des données Déterminer les besoins Déployer un système d annuaire est généralement lié à la mise en place d un service applicatif : Intégration service messagerie Gestion utilisateurs Annuaire de sécurité Il faut envisager toutes les applications possibles et services de l annuaire : Manière dont les données vont être maintenues à jour Réplication 22

Déterminer les données Il s agit d inventorier, suivant les applications, la liste des données à inclure dans l annuaire et leurs caractéristiques : Format Taille des données Confidentialité Droits d accès Choisir son schéma Choisir, en fonction des données retenues, quelles sont les classes d objets et types d attributs qui s en rapprochent le plus pour construire son annuaire. La plupart du temps, les schémas standards issus de X.500 et de LDAP conviennent aux besoins de modélisation. Possible de créer ses propres objets, spécifiques si besoin. En règle générale, éviter de modifier le schéma existant car risque de rendre l annuaire inutilisable par les applications clientes ou les autres serveurs. Exemple: création d attributs pour carte CPS du médecin Intitulé Attributs Valeurs N Carte CPS CpsNumCard 10 caractères alphanumériques Etat de la carte CPS CPSStatus Valeurs possibles : "empty", "suspended", "valid" ou "revoked" 23

Concevoir son espace de nommage Cette étape consiste à définir comment les entrées de l annuaire vont être organisées, nommées et accédées. Dans cette phase, les paramètres qu il faut prendre en compte sont : Le nombre d entrées prévu et son évolution? Vaut-il mieux centraliser les données ou les distribuer? La duplication est-elle prévue? Quelles applications utiliseront l annuaire et imposentelles des contraintes particulières? Quels attributs utiliser pour nommer les entrées? Le Directory Tree (1) Le modèle LDAP permet de personnaliser le DIT de l annuaire. Dans ce cadre, le DIT peut être organisé de différentes façons : A plat Basé sur l organisation (découpé pour refléter l organisation interne) Par type d objet 24

Le Directory Tree (2) Arbre à plat c=fr o=entreprise cn=utilisateur 1 cn=utilisateur 2 cn=utilisateur 3 cn=utilisateur 4 Le Directory Tree (3) Arbre par services ou localisation c=fr c=fr o=entreprise o=entreprise ou=r&d ou=ventes ou=achats ou=paris ou=caen ou=lyon cn=dupond cn=dupond cn=durand cn=durand 25

Le Directory Tree (4) Arbre par type d'objet c=fr o=entreprise ou=service ou=sites ou=gestion ou=système ou=applications s cn=dupond cn=durand site=paris site=caen Choix du suffixe Une dernière étape consiste à choisir le suffixe ou l identifiant de l annuaire. Même si la base annuaire n a qu une vocation interne, elle peut être externalisée. Choisir, si possible, un suffixe unique. Le choix du nom de domaine DNS comme suffixe de son annuaire est recommandé. Exemple : utilisation du suffixe entreprise.fr, o=entreprise.fr 26

Annuaire de publication Ce type d annuaire permet de mettre à disposition des informations de type adresse messagerie, téléphonique... Les informations peuvent être accessibles soit par des clients standards (client de messagerie, client LDAP, ) soit par des applications tiers utilisant les standards LDAP. Exemples de produits : Iplanet Directory Server OpenLDAP CriticalPath InJoin Directory Server Annuaire technique Certains annuaires comportent principalement des informations de type réseau (applications serveurs, DNS, ). Ils gèrent également la politique de sécurité d accès aux données qu ils contiennent. Exemples de produits : Novell Directory Server Microsoft Active Directory IBM Lotus Domino Directory (carnet d adresses Lotus Notes) 27

Annuaire de sécurité Un annuaire de sécurité est utilisé afin de permettre l authentification ou les autorisations d accès à des applications. L authentification peut être : Simple : login / mot de passe Forte : dans ce cas l annuaire héberge les certificats (X.509) d une architecture à clé publique (PKI) Tout produit d annuaire peut être utilisé comme annuaire de sécurité. Méta-annuaire Il s agit d un annuaire global qui fédère un ensemble d informations dans un référentiel unique, synchronisé régulièrement avec différentes sources d information : annuaires, bases de données de différents systèmes. A la différence d un annuaire, il possède en plus des connecteurs permettant ces synchronisations. Exemples de produits : Iplanet Meta-Directory Server CriticalPath InJoin Meta-Directory Server Microsoft Metadirectory Server 28

Exemple Objet de type «country» dc=entreprise.fr Objet de type «organization» o=xxxx Objet de type «organizationalunit» ou=sites Objet de type «organizationalunit» ou=projets Objet de type «organizationalunit» ou=applications Objet de type «organizationalunit» ou=support Objet de type «organizationalunit» ou=caen Objet de type «organizationalunit» ou=xxxx Objet de type «organizationalunit» ou=helpdesk Objet de type «organizationalunit» ou=support A Adresse : rue des Coutures Code Postal : 14000 CAEN Objet de type «person» cn=pierre DUPOND Objet de type «organizationalunit» ou=lecture ou=écriture Objet de type «organizationalunit» ou=consultation ou=utilisation ou=administration description: Service Informatique Nom : DUPOND Prénom : Pierre Téléphone : 839098 Mail : pierre.dupond@entreprise.fr FAX : 02 09 45 87 98 Localisation physique : Caen Fonction : Apprenti Ingénieur Appartenance projet : Projet A Dépendance hiérarchique : J.Durand Matricule : HTRE5643 Logiciels serveurs Quelques principaux logiciels serveurs Active Directory, nom de l annuaire de Microsoft Lotus Domino Directory, nom de l annuaire de IBM/Lotus compatible LDAP V3 Oracle Internet Directory, serveur d annuaire de la société Oracle OpenLDAP, logiciel libre très répandu 29

Logiciels clients Côté client de nombreux logiciels intègrent le protocole LDAP Ce sont souvent des logiciels de messagerie comme Outlook Express, Mozilla Thunderbird, Des logiciels clients LDAP LDAP Browser, PHPLDAPAdmin, Les navigateurs Web Internet Explorer, Mozilla Firefox, Active Directory A partir de Microsoft Windows Server 2000 Annuaire compatible LDAP Notions de Forêts, Arbres (Arborescences) Domaines Gestion de sites (Optimisation des liaisons distantes) Unités Organisationnelles (OU) Objets (Users, groupes, machines, ) Schéma modifiable (Structure de l annuaire) Integration DNS de Windows Server 30

Active Directory (suite) Identifie les ressources (entreprise) Fournit un cadre cohérent pour l attribution de noms la description la localisation les accès l administration la sécurité Domaine Active Directory Dans Active Directory, les noms de Domaines correspondent à des noms DNS. Exemple : europe.societe.com Le premier domaine d'une arborescenceest appelé Domaine racine. Les Domaines suivants lui seront rattachés et seront appelés des Domaines enfants. Exemples : france.europe.societe.com et espagne.europe.societe.com sont les domaines enfants de europe.societe.com. Chaque domaine possède au minimum un contrôleurde Domaine qui est en général le premier serveur installé. 31

Arbres Un Arbre (ou Arborescence) regroupe un ou plusieurs domainespartageant un même espace de noms. Domaine EUROPE.SOCIETE.COM Exemple : L arborescence EUROPE.SOCIETE.COM Domaine FRANCE.EUROPE.SOCIETE.COM Domaine ESPAGNE.EUROPE.SOCIETE.COM Forêts Une forêt est composée d'un ou plusieurs arbres. Tous les Domaines d'une forêt partagent un schéma et un catalogue global. Arborescence SOCIETE.COM Exemple : La forêt SOCIETE.COM Arborescence EUROPE.SOCIETE.COM Arborescence ASIE.SOCIETE.COM Arborescence AFRIQUE.SOCIETE.COM 32

Relations d approbations Les domaines d'une arborescencesont reliés entre eux par des relations d'approbation. Sous Active Directory, ces relations sont dites bidirectionnelleset transitives. Ces relations sont automatiquement créées lors de la configuration de l'arborescence. Elles permettent aux utilisateursd'un Domaine d'accéder aux ressources d'un autre Domaine. Unités d organisation Une unité d'organisation est une organisation logique permettant de regrouper les différents objets (Utilisateurs, machines, ) au sein d'un domaine. Racine du Domaine Répond à des besoins administratifs. Permet de déléguerdes pouvoirs à certains utilisateurs. OU : Utilisateurs OU : Ordinateurs OU : Imprimantes Simplifier la sécuritéen limitant la visibilité des ressources dans Active Directory. OU : Permanents OU: Vacataires 33

Droits d accès (A.C.L) Un utilisateur possède : Des privilèges de sécurité Des droits pour accéder aux objets de l arborescence Des droits accéder aux fichiers Accès aux fichiers Un utilisateur peut accéder aux fichiers en fonction : De ses droits utilisateurs Des droits des groupes auxquels il appartient 34

Groupes Globaux Groupes Globaux : Classement des utilisateurs par centres d intérêts, par services, par métier etc Peut contenir d autres groupes globaux Un utilisateur peut appartenir à plusieurs groupe globaux. Permettent d utiliser les relations d approbations et donc d utiliser des ressources situées dans un autre domaine Groupes Locaux Les Groupes locaux : Contiennent des groupes globaux Des utilisateurs privilégiés Permettent d appliquer les permissions NTFS aux fichiers Un groupe local par type d accès aux fichiers Exemple : 1 en Lecture, 1 en écriture 35

Exemple Une entreprise organisée en 3 services : Commercial Production R&D Un dossier contenant des fiches produits Accessible en lecture seule par les commerciaux Accessible en écriture par le reste des employés GROUPES GLOBAUX Service Commercial Service Production Service R&D GROUPES LOCAUX Lecture Seule Contrôle Total PERMISSIONS NTFS RX - Lecture Dossiers Fiches Produits RWX Lecture/Ecriture 36

Les Permissions NTFS NTFS (New Technology File System) Contrôle total Modification Lecture et exécution Affichage du contenu du Dossier Lecture Ecriture Autorisations spéciales Autorisations spéciales Autorisations supplémentaires : Modification des Autorisations Appropriation 37

Héritage des Autorisations Autorisations de Partage Permettent l accès aux données à partir d un poste Visibles dans le voisinage réseau 38

Active Directory au cœur de l entreprise Autres Annuaires Pages Jaunes E-Mail E-Commerce Autres NOS Base de cptes Sécurité Stratégies Utilisateurs Windows Informations compte Privilèges Profils Stratégies Active Directory Clients Windows Profils de gestion Infos réseau Stratégies Point Central de Gestion Utilisateurs & ressources Sécurité Délégation Stratégie Serveurs Windows Profils de gestion Infos réseau Services Imprimantes Ressources partagées Stratégies AD Périphériques Réseau Configuration Stratégie QoS Stratégie de sécurité Applications Informations Single Sign-On Stratégies Inter-opérer AD Exchange Server Infos BAL Carnet d adresse Vues/SMIME AD Applications Informations Single Sign-On Stratégies Intégrer 77 interne Orange Stockage hiérarchique Domaine Utilisateurs Machines Périphériques Applications Marketing RH = Organizational Unit = Objet L arborescence fournie un support pour modéliser, chercher et administrer les informations au moyen de stratégies 39

Réplication Site A Domaine Windows Site B DC 1 WAN DC 8 DC 3 DC 7 DC 2 DC 4 DC 9 Ajout Utilisateur: Pierre Dupond DC 5 Site C DC 6 Active Directory fournit une réplication multi-maître garantissant une disponibilité des informations en lecture et écriture 79 interne Orange Administration des ressources Déléguer l administration des utilisateurs au Helpdesk Domaine Donner aux personnes de RH accès au menu de l appli de gestion des ressources humaines Utilisateurs Machines Périphériques Applications Finance RH Déployer l application Ressources Humaines Active Directory permet d organiser les informations au sein de hiérarchies d unités organisationnelles utilisées pour simplifier et déléguer les tâches administratives 80 interne Orange 40

Intégration des applications Exchange: stockage des informations de BAL de l utilisateur Domaine Utilisateurs Machines Périphériques Applications Finance RH Application RH: Stockage du profil métier de l utilisateur Active Directory fournit une plate-forme pour intégrer et étendre les systèmes via des interfaces ouvertes et des mécanismes de synchronisation Modélisation sous forme d objets Domaine Utilisateurs Machines Périphériques Applications C C C D D D A A A Marketing U U U Object Class: User Name: Jean Dupond Email: JD@entreprise.fr Phone: 0231555123 Object Class: Computer Name: Serveur A IP Address: 10.34.56.78 OS: Windows 2003 Active Directory stocke les informations du système sous forme d'objets dotés d'attributs définis au sein d un schéma 41

Annuaire Lotus Domino Dans l implémentation du système, l annuaire de Lotus joue un rôle crucial Il sert tout d abord de référentiel pour les utilisateurs, les serveurs, les groupes, Il est un outil auquel les administrateurs font appel pour gérer le système Lotus Notes/Domino: enregistrement d utilisateur et des serveurs par exemple La notion d organisation avec Lotus reprend les conventions du standard d annuaire La notion de Domaine Lotus regroupe un ensemble d utilisateurs et de serveurs référencés dans un même annuaire Annuaire Lotus Domino Le fichier identifiant (user.id de Lotus) authentifie un utilisateur ou un serveur Lors de la création du premier serveur dans un domaine Lotus, le système crée automatiquement l annuaire en lui donnant comme nom: names.nsf la sécurité avec Lotus est assurée à plusieurs niveaux authentification contrôle d accès chiffrement et signature électronique 42

Fonctionnalité LDAP de l annuaire L annuaire Lotus Domino est compatible au standard LDAP V3, incluant les opérations d ajout, de suppression ou de modification Ce qui permet la recherche ou la modification d informations (nom d utilisateur, email, ) dans l annuaire Lotus Domino Directory 43

OpenLDAP: serveur annuaire LDAP OpenLDAP est un projet libre de serveur d'annuaire conforme à la norme LDAP 3. Dérivé de l'implémentation mise au point par l'université du Michigan, est développé selon les termes de la licence GNU GPL, ce qui signifie qu'il est entièrement gratuit et que les sources de ce logiciel sont disponibles. OpenLDAP est composé des éléments suivants : Le serveur LDAP: slapd La passerelle LDAP vers X500: ldapd Le serveur de réplication: slurpd Des outils d'administration Synchronisation d annuaires L'une des tâches essentielles pour maintenir la coexistence entre deux environnements de messagerie consiste à fournir des informations d'annuaire précises aux deux systèmes de messagerie. Lorsque des employés s'échangent des messages, ils doivent pouvoir sélectionner l'adresse électronique actuelle dans l'annuaire, quelle que soit la plateforme de messagerie du destinataire. 44

Synchronisation d annuaires La synchronisation d'annuaire implique deux processus indépendants : la synchronisation des destinataires du service d'annuaire Active Directory avec l'annuaire Lotus Domino la synchronisation des destinataires de l'annuaire Lotus Domino avec Active Directory Un connecteur Exchange Server pour Lotus Domino permet la synchronisation planifiée. Au besoin, la synchronisation d'annuaires peut également être lancée à la demande. Exchange Server et Lotus Domino La figure représente la connexion entre Exchange Server et Lotus Domino. Les attributs utilisateur sont mis à jour dans les deux annuaires. 45

Informations d'annuaire par défaut qui sont synchronisées Le tableau illustre les informations par défaut qui sont synchronisées entre les deux annuaires. LDAP Browser LDAP Browser est un logiciel permettant d accéder aux données d un serveur annuaire LDAP. Utiliser le browser pour aller sur un serveur préenregistré sur le port 389 : Host : Serveurname Port : 389 Base DN : CN=. (Endroit d où commence la recherche si besoin) 46

LDAP Browser Visualisation des attributs CN d une personne RFCs RFC2251: «Lightweight Directory Access Protocol (v3)» RFC2252 : «Lightweight Directory Access Protocol (v3): Attribute Syntax Definitions» RFC2253 : «Lightweight Directory Access Protocol (v3): UTF-8 String Representation of Distinguished Names» RFC2254 : «The String Representation of LDAP Search Filters» RFC2255 : «The LDAP URL Format» RFC2256 : «A Summary of the X.500(96) User Schema for use with LDAPv3» RFC2829 : «Authentication Methods for LDAP» RFC2830 : «Lightweight Directory Access Protocol (v3): Extension for Transport Layer Security» RFC3377 : «Lightweight Directory Access Protocol (v3): Technical Specification.» RFC1617 : «Naming and Structuring Guidelines for X.500 Directory Pilots.» (Status: INFORMATIONAL) RFC2247 : «Using Domains in LDAP/X.500 Distinguished Names.» RFC2307 : «An Approach for Using LDAP as a Network Information Service.» RFC2798 : «Definition of the inetorgperson LDAP Object Class.» (Status: INFORMATIONAL) RFC2820 : «Access Control Requirements for LDAP.» (Status: INFORMATIONAL) RFC2891 : «LDAP Control Extension for Server Side Sorting of Search Results.»... 47

Application Carnet d adresses Base de données dans laquelle un utilisateur informe les informations nécessaires pour contacter les personnes qu il désire. On indique généralement : Prénom Nom Numéro de téléphone Adresse email Photo personne Vcard (Carte de visite) Vcard est un format standard de carnet d adresses qui peut contenir une ou plusieurs adresses. Format d échange de données personnelles exemple : pierre.dupond.vcf Utilisé le plus souvent dans les logiciels de messagerie pour retrouver les adresses des correspondants. 48