membre associé de 389 Directory Server Symbiose des référentiels utilisateur avec 389 Directory Server et Active Directory dans un contexte de fédération d'identités Nicolas Carel Chef du Service Commun Informatique Hugo Étiévant Ingénieur système et réseau
Plan Présentation et contexte Choix d'un annuaire Atouts de 389-DS Haute disponibilité Retour d'expérience Conclusion Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 2
Les missions de l'inrp Recherche en sciences de l'éducation Diffusion et valorisation des résultats de la recherche (Veille scientifique, Publications) Expertise (contrats européens Nesse, Europep, EERQI) Formation de formateurs Histoire et patrimoine de l'éducation Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 3
Contexte technique 2004 : Premiers pas avec OpenLDAP, des échecs... 2006 : Mise en route de 389 DS pour eduroam 2007 : Vers Shibboleth - projet de Système d'information documentaire (SID) avec l'ens-lsh 2009 : Phase de réalisation Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 4
Contraintes Fonctionnalités Hypothèses Question de choix Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 5
Nos contraintes L'existant Un compte par application Des mauvaises habitudes... Quelle transition? La sécurité! Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 6
Comparatif fonctionnel (1) OpenLDAP (2.3) 389 DS (1.0) Répliqua unique Dialogue AD avec produits tiers Gestion en tty Modification du schéma à froid Sauvegarde par dump LDIF (slapcat) Multimaître Synchronisation bilatérale avec AD GUI en Java Modification du schéma à chaud Sauvegarde et restauration à chaud Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 7
Comparatif fonctionnel (2) OpenLDAP (2.3) 389 DS (1.0) Expérience de crash multiples Paramétrage manuel Politique de mot de passe nécessite un module additionnel Très stable Gestion des logs via la GUI. Configuration fine Politique de mot de passe native, config via la GUI Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 8
Scénarii OpenLDAP + Samba Active Directory seul OpenLDAP + Active Directory 389 DS + Active Directory Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 9
Atouts de 389-DS Console de gestion graphique (GUI) Réplication multi-maîtres (MMR) Synchronisation avec l'ad (PassSync) Contrôles d'accès (ACI) Sécurité des connexions (SSL) Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 10
Architecture générale Directory Server Serveur Admin Server pilote (LDAP) requête (LDAP) configure serveur (HTTP) (LDAP) gère les utilisateurs Client LDAP Fedora IDM Console Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 11
Console multiplateforme (Java) Toute fonction accessible Sauf quelques limitations : Réplication de la configuration Connexion GUI Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 12
Liste des DS et des AS Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 13
Console du DS Tâches systèmes Fichiers de log Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 14
Gestion des comptes Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 15
Attributs Windows Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 16
Réplication des DS cn=replication Manager Accord de réplication entre A et B Accord de réplication entre B et A cn=replication Manager id=1 Base de données Réplication multi-maîtres Base de données répliquée id=2 Serveur fournisseur A Serveur consommateur B Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 17
Réplication des DS 3 nœuds maîtres 4 nœuds maîtres Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 18
Synchronisation avec AD Contrôleur de domaine 389 DS Windows 2003 Server Fedora 8 AD Cert IIS DNS PassSync Directory Server Cert Accord de synchronisation Admin Server id=1 tunnel chiffré SSL INRP\ Replication Manager Synchronisation cn = Replication Manager Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 19
ACI Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 20
Sécurité SSL totale LDAPS Admin Server Directory Server Fedora IDM Console HTTPS MMR/SSL Admin Server LDAPS Directory Server Pilotage DS-AS (LDAPS) Réplication entre nœuds 389 DS (MMRP /SSL) Accès console (HTTPS) Accès client (LDAPS) Synchronisation AD (PassSync /SSL) ldap1.inrp.fr LDAPS Client LDAP ldap2.inrp.fr sync/ssl AD PassSync ad.inrp.fr Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 21
Haute disponibilité (config) Réplication de la configuration Administration depuis n'importe quel nœud Temps réel En cas de panne Remise à niveau d'un nœud sans intervention au démarrage du service Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 22
Haute disponibilité (données) Configuration des clients LDAP Liste de plusieurs serveurs TIMELIMIT court pour bascule rapide URI ldaps://ldap1.inrp.fr:636 ldaps://ldap2.inrp.fr: 636 BASE ou=people,dc=inrp,dc=fr LDAP_VERSION 3 TIMELIMIT 5 BIND_TIMELIMIT 5 IDLE_TIMELIMIT 3600 $hosts = array( "ldaps://ldap1.inrp.fr: 636", "ldaps://ldap2.inrp.fr: 636"); foreach($hosts as $uri) { $ds = ldap_connect($uri); if($ds) break; Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 23
Haute disponibilité (CheckPoint) Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 24
Retour d'expérience (+) Opérations à chaud : pas de redémarrage Sauf exceptions (activation de SSL) GUI : Simplicité, meilleur productivité Ouverture des accès admin à d'avantage de personnes, coût de formation moins élevé Interopérabilité Windows Pas de conflits de réplication Excellent temps de réponse Pas de surcharge réseau Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 25
Retour d'expérience (-) Pas de failover sur la synchro AD (v1.1.2) Risque de doublons si multiples accords de synchro entre 389 DS et AD Synchro AD : CommonName AD prioritaire (Se corrige par une ACI) Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 26
Conclusion Bénéfices Un socle technique efficace Porte de l'interopérabilité Attentes Montées en version Passage à supann 2008 Des voies à explorer Haute disponibilité des SSO Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 27
Questions/réponses Nicolas Carel, Hugo Étiévant JRES 2009-389 Directory Server 28