389 Directory Server

Documents pareils
AMUE : PRISME - Référentiel des données partagées. 3 décembre 2009

Pourquoi installer un domaine Windows Active directory? E. Basier - CNIC S. Maillet - CRPP F. Palencia - ICMCB

Evidian IAM Suite 8.0 Identity Management

Configuration du FTP Isolé Active Directory

Active Directory Profils des utilisateurs, sécurité et stratégie de groupe (GPO)

Sécurité & Authentification. Sécurité Authentification utilisateur Authentification applicative

Gestion des identités Christian-Pierre Belin

Outils Logiciels Libres

Authentification unifiée Unix/Windows

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Rôles serveur Notion de Groupe de Travail Active Directory Utilisation des outils d administration Microsoft Windows Server 2008

LDAP : pour quels besoins?

Gestion des Identités : 5 règles d'or. Patrice Kiotsekian Directeur Evidian France

Utiliser Améliorer Prêcher. Introduction à LDAP

Authentification unique Eurécia

21 mars Simulations et Méthodes de Monte Carlo. DADI Charles-Abner. Objectifs et intérêt de ce T.E.R. Générer l'aléatoire.

Groupe Eyrolles, 2004 ISBN :

Errata partie 1 Kit de formation Configuration d une infrastructure Active Directory avec Windows Server 2008

FORMATION WS0801. Centre de formation agréé

Les noms uniques Identifie le domaine dans lequel est situé l objet, ainsi que le chemin complet CN=David Dubois,OU=Sales,DC=Consoto,DC=msft!

OpenLDAP : retour d expérience sur l industrialisation d annuaires critiques

Couplage openldap-samba

La haute disponibilité de la CHAINE DE

MISE EN ŒUVRE MOVEIT DMZ V1.8

Dix raisons de passer à WINDOWS SERVEUR 2008

DUT. Vacataire : Alain Vidal - avidal_vac@outlook.fr

vsphere 5 TP2 La virtualisation avec VMware CNFETP F. GANGNEUX technologie GANGNEUX F. 17/12/2012

Joomla! Création et administration d'un site web - Version numérique

FORMATION PostgreSQL Réplication / Haute Disponibilité

MARCHE PUBLIC DE FOURNITURES

DEMARREZ RAPIDEMENT VOTRE EVALUATION

Société TPA S.A.S. Servie Informatique TPA Metz Nord. 85, avenue de Thionville Woippy. L entreprise.

Utilisation de la clé de Registre BurFlags pour réinitialiser des jeux de réplicas FRS

2013 Microsoft Exchange 2007 OLIVIER D.

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

COMMUNICATION TECHNIQUE N TCV060 Ed. 01. OmniVista 4760 Nb de pages : 18 Date : URGENTE NON URGENTE TEMPORAIRE DEFINITIVE

Mise en place d un cluster. De basculement. Et DHCP Failover. Installation. Préparation. Vérification

Sun Java System Access Manager Notes de version pour Microsoft Windows

MIGRATION ANNEXE SAINT YVES. 1 : L existant. Pourquoi cette migration Schéma et adressage IP. 2 : Le projet. Schéma et adressage IP.

Une unité organisationnelle (Staff) comporte une centaine d'utilisateur dans Active Directory.

LA POLITIQUE DES LOGICIELS DE LA GENDARMERIE NATIONALE

Active Directory. Structure et usage

Open Source Job Scheduler. Installation(s)

Windows Server 2012 Les bases indispensables pour administrer et configurer votre serveur

Virtualisation des Serveurs et du Poste de Travail

Windows Server 2012 Administration avancée

Gestion des utilisateurs dans un environnement hétérogène

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons Jérémie Jourdin

Exchange Server 2013 Préparation à la certification MCSE Messaging - Examen

Internet Information Services (versions 7 et 7.5) Installation, configuration et maintenance du serveur Web de Microsoft

Créer et partager des fichiers

Fiche Produit Global Directory pour Jabber

Architectures haute disponibilité avec MySQL. Olivier Olivier DASINI DASINI - -

Moderniser vos postes de travail grâce à VMware

WINDOWS Remote Desktop & Application publishing facile!

Les Utilisateurs dans SharePoint

Chapitre 1 Windows Server

OpenLDAP, un outil d administration Réseau. Une implémentation d OpenLDAP

Paramétrage du portail de SSOX dans la Console d'administration AppliDis

1 - EXCHANGE Installation

SAB : PRÉSENTATION DU GROUPE ET DU PROGICIEL SAB AT

Le Protocole DHCP. Module détaillé

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

OpenLDAP. Astuces pour en faire l'annuaire d'entreprise idéal THÈME TECHNIQUE - ADMINISTRATION SYSTÈME. Jonathan CLARKE - jcl@normation.

Description de la maquette fonctionnelle. Nombre de pages :

Hyper-V Virtualisation de serveurs avec Windows Server 2008 R2 - Préparation à l'examen MCTS

Table des matières. Chapitre 1 Les architectures TSE en entreprise

LINUX Préparation à la certification LPIC-3 (examen LPI 300) - 2ième édition

Oracle Maximum Availability Architecture

et Groupe Eyrolles, 2006, ISBN :

Windows Server 2008 Administration et exploitation

Hyper-V et SC Virtual Machine Manager sous Windows Server 2008 R2

Annuaires LDAP et méta-annuaires

Open Source et gestion des identités (Annuaire Ldap, SSO et Provisionning) 11 Octobre 2011 TopTIC Pascal Flamand

INSTITUT SUPÉRIEUR DE MÉCANIQUE DE

Le projet d'annuaire LDAP à Rennes 1. - Raymond Bourges - Gérard Delpeuch

Déclarer un serveur MySQL dans l annuaire LDAP. Associer un utilisateur DiaClientSQL à son compte Windows (SSO)

Comptes et groupes de services : VSA/MSA/gMSA

Les stratégies de groupe (GPO) sous Windows Server 2008 et 2008 R2 Implémentation, fonctionnalités, dépannage [2ième édition]

VAMT 3. Activation de produits Microsoft

Protection des données et des mobiles de l'entreprise

Constat ERP 20% ECM 80% ERP (Enterprise Resource Planning) = PGI (Progiciel de Gestion Intégré)

Windows 2000 Server Active Directory

Windows Server 2012 R2 Administration avancée - 2 Tomes

L annuaire et le Service DNS

Active Directory. Qu'est-ce qu'un service d'annuaire?

VXPERT SYSTEMES. CITRIX NETSCALER 10.1 et SMS PASSCODE 6.2. Guide d installation et de configuration pour Xenapp 6.5 avec SMS PASSCODE 6.

Introduction à la gestion d identité. Bruno Bonfils <asyd@asyd.net> RMLL, 10 Juillet 2009

StreamServe Persuasion SP3 StreamStudio

Nouveautés de Windows 2003 SP1 et Windows R2

La fédération d identités, pourquoi et comment? Olivier Salaün, RENATER ANF Mathrice 2014

Campus Numérique. Université du Travail. Systèmes de communication, sécurité, d un Campus Numérique Académique. 24 mai Guy Leroy - Vincent Dewez

Zoom sur Newtest LDAP intégration

Fiche Produit MediaSense Extensions

FORMATION CXA01 CITRIX XENAPP & WINDOWS REMOTE DESKTOP SERVICES

Solution de stockage et archivage de grands volumes de données fichiers.

Les modules SI5 et PPE2

Edition de février Numéro 1. Virtualisation du Poste de Travail

Transcription:

membre associé de 389 Directory Server Symbiose des référentiels utilisateur avec 389 Directory Server et Active Directory dans un contexte de fédération d'identités Nicolas Carel Chef du Service Commun Informatique Hugo Étiévant Ingénieur système et réseau

Plan Présentation et contexte Choix d'un annuaire Atouts de 389-DS Haute disponibilité Retour d'expérience Conclusion Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 2

Les missions de l'inrp Recherche en sciences de l'éducation Diffusion et valorisation des résultats de la recherche (Veille scientifique, Publications) Expertise (contrats européens Nesse, Europep, EERQI) Formation de formateurs Histoire et patrimoine de l'éducation Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 3

Contexte technique 2004 : Premiers pas avec OpenLDAP, des échecs... 2006 : Mise en route de 389 DS pour eduroam 2007 : Vers Shibboleth - projet de Système d'information documentaire (SID) avec l'ens-lsh 2009 : Phase de réalisation Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 4

Contraintes Fonctionnalités Hypothèses Question de choix Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 5

Nos contraintes L'existant Un compte par application Des mauvaises habitudes... Quelle transition? La sécurité! Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 6

Comparatif fonctionnel (1) OpenLDAP (2.3) 389 DS (1.0) Répliqua unique Dialogue AD avec produits tiers Gestion en tty Modification du schéma à froid Sauvegarde par dump LDIF (slapcat) Multimaître Synchronisation bilatérale avec AD GUI en Java Modification du schéma à chaud Sauvegarde et restauration à chaud Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 7

Comparatif fonctionnel (2) OpenLDAP (2.3) 389 DS (1.0) Expérience de crash multiples Paramétrage manuel Politique de mot de passe nécessite un module additionnel Très stable Gestion des logs via la GUI. Configuration fine Politique de mot de passe native, config via la GUI Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 8

Scénarii OpenLDAP + Samba Active Directory seul OpenLDAP + Active Directory 389 DS + Active Directory Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 9

Atouts de 389-DS Console de gestion graphique (GUI) Réplication multi-maîtres (MMR) Synchronisation avec l'ad (PassSync) Contrôles d'accès (ACI) Sécurité des connexions (SSL) Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 10

Architecture générale Directory Server Serveur Admin Server pilote (LDAP) requête (LDAP) configure serveur (HTTP) (LDAP) gère les utilisateurs Client LDAP Fedora IDM Console Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 11

Console multiplateforme (Java) Toute fonction accessible Sauf quelques limitations : Réplication de la configuration Connexion GUI Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 12

Liste des DS et des AS Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 13

Console du DS Tâches systèmes Fichiers de log Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 14

Gestion des comptes Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 15

Attributs Windows Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 16

Réplication des DS cn=replication Manager Accord de réplication entre A et B Accord de réplication entre B et A cn=replication Manager id=1 Base de données Réplication multi-maîtres Base de données répliquée id=2 Serveur fournisseur A Serveur consommateur B Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 17

Réplication des DS 3 nœuds maîtres 4 nœuds maîtres Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 18

Synchronisation avec AD Contrôleur de domaine 389 DS Windows 2003 Server Fedora 8 AD Cert IIS DNS PassSync Directory Server Cert Accord de synchronisation Admin Server id=1 tunnel chiffré SSL INRP\ Replication Manager Synchronisation cn = Replication Manager Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 19

ACI Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 20

Sécurité SSL totale LDAPS Admin Server Directory Server Fedora IDM Console HTTPS MMR/SSL Admin Server LDAPS Directory Server Pilotage DS-AS (LDAPS) Réplication entre nœuds 389 DS (MMRP /SSL) Accès console (HTTPS) Accès client (LDAPS) Synchronisation AD (PassSync /SSL) ldap1.inrp.fr LDAPS Client LDAP ldap2.inrp.fr sync/ssl AD PassSync ad.inrp.fr Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 21

Haute disponibilité (config) Réplication de la configuration Administration depuis n'importe quel nœud Temps réel En cas de panne Remise à niveau d'un nœud sans intervention au démarrage du service Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 22

Haute disponibilité (données) Configuration des clients LDAP Liste de plusieurs serveurs TIMELIMIT court pour bascule rapide URI ldaps://ldap1.inrp.fr:636 ldaps://ldap2.inrp.fr: 636 BASE ou=people,dc=inrp,dc=fr LDAP_VERSION 3 TIMELIMIT 5 BIND_TIMELIMIT 5 IDLE_TIMELIMIT 3600 $hosts = array( "ldaps://ldap1.inrp.fr: 636", "ldaps://ldap2.inrp.fr: 636"); foreach($hosts as $uri) { $ds = ldap_connect($uri); if($ds) break; Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 23

Haute disponibilité (CheckPoint) Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 24

Retour d'expérience (+) Opérations à chaud : pas de redémarrage Sauf exceptions (activation de SSL) GUI : Simplicité, meilleur productivité Ouverture des accès admin à d'avantage de personnes, coût de formation moins élevé Interopérabilité Windows Pas de conflits de réplication Excellent temps de réponse Pas de surcharge réseau Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 25

Retour d'expérience (-) Pas de failover sur la synchro AD (v1.1.2) Risque de doublons si multiples accords de synchro entre 389 DS et AD Synchro AD : CommonName AD prioritaire (Se corrige par une ACI) Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 26

Conclusion Bénéfices Un socle technique efficace Porte de l'interopérabilité Attentes Montées en version Passage à supann 2008 Des voies à explorer Haute disponibilité des SSO Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 27

Questions/réponses Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 28

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back