Annuaires LDAP et méta-annuaires Laurent Mynard Yphise 6 rue Beaubourg - 75004 PARIS yphise@yphise.com - http://yphise.fr T 01 44 59 93 00 F 01 44 59 93 09 LDAP020314-1
Agenda A propos d Yphise Les annuaires LDAP Avantages et inconvénients de LDAP Les différents types d utilisation d annuaires Les méta annuaires Les annuaires d entreprise Les annuaires système Les annuaires de sécurité Les annuaires pour PKI Aperçu du marché Caractéristiques des projets de mise en oeuvre LDAP020314-2
A propos d Yphise Société française indépendante d analyse et de conseil Environ 1000 grands comptes clients dans le monde Un bureau commercial aux Etats-Unis Nous sommes l analyste de référence en évaluation de progiciels Certifié ISO-9001 en évaluation de progiciels Nous évaluons 150 progiciels par an depuis 15 ans Nous conseillons les directions informatiques de grands comptes en management et en stratégie Nous conseillons les directions informatiques de grands comptes en matière de technologie, d architecture et de progiciels LDAP020314-3
Les annuaires LDAP Annuaire vs Base de données Un annuaire est un cas particulier de base de données Nombreuses lectures, peu d'écritures Données de faible taille, structure simple Pas de traitement transactionnel nécessaire S'adresse à un grand nombre d'utilisateurs, donc besoin de distribution et de répartition Besoin de distribution et de répartition des droits d'administration Un outil d'annuaire est un ensemble de services adaptés aux informations qu'il contient, qui peut stocker ces informations dans un SGBD LDAP020314-4
Les annuaires LDAP LDAP (1/2) Protocole réseau. LDAP = Lightweight Directory Access Protocol 4 Modèles contenu (classes et attributs standards) organisation (hiérarchie) actions sécurité (dont habilitations) Langage de requêtes spécifiquement adapté aux annuaires Interface de programmation du client LDAP Fichier d'échange de données LDIF (LDAP Data Interchange Format) LDAP020314-5
Les annuaires LDAP LDAP (2/2) Malgré le standard des différences d'implémentation existent Ex implémentation des habilitations Il est conseillé d'utiliser les APIs de l'éditeur de l'annuaire LDAP ne fournit pas de standard d interconnexion ou de réplication Sous-ensemble de X.500 LDAP est l'adaptation de DAP à TCP/IP X500 fournit un modèle d'administration et un modèle de distribution et réplication LDAP gère les droits d accès moins finement que X.500 X.500 est plus difficile à administrer LDAP020314-6
Les annuaires LDAP Architecture logique Composantes de l'architecture logique Classes, attributs (partir du standard) L'arborescence (DIT - Directory Information Tree) Les critères qui jouent sur l'architecture logique Bande passante disponible (en vue de distribution et de réplication) Facilité d administration (délégation de l'administration sur une branche) Pérennité et évolutivité de l'arborescence Nommage par le DN (Distinguished Name) en cascade x.y.z.fr LDAP020314-7
Les annuaires LDAP Architecture physique 1/ Distribution physique d'un DIT (Directory Information Tree) d'un annuaire en n partitions Une partition contient une branche ou une sous-branche du DIT Chaque partition peut être sur une machine spécifique Chaque partition peut être sur un site spécifique 2/ Réplication de l'annuaire Les critères qui jouent sur l'architecture physique Performances Organisation (responsabilités) Cloisonnement des données de sécurité Assurer la haute disponibilité (redondance des informations, choix des platesformes) LDAP020314-8
Les annuaires LDAP Il n'y aura jamais un seul annuaire LDAP Il existe une multitude d'annuaires DNS, etc/password, User NT... Annuaires LDAP dans des matériels techniques, des applicatifs et progiciels et des infrastructures techniques Difficulté de migration dans un annuaire unique les données gérées dans des bases relationnelles, des fichiers plats, etc. Vision unifiée de l'ensemble des annuaires possible par le méta annuaire Risques liés à l utilisation d un seul annuaire Coût élevé : il faut refondre le système d information de l entreprise Problèmes techniques : tous les applicatifs ne supportent pas LDAP Crée un maillon faible dans le système d'information Principale valeur ajoutée des annuaires = méta annuaire LDAP020314-9
Avantages et inconvénients de LDAP Avantages et inconvénients de LDAP Avantages Ouverture et interopérabilité pour la consultation d'informations Les progiciels ont tendance à être conformes à LDAP Inconvénients API d accès aux annuaires propriétaires LDAP manque de couverture sur les fonctions d'administration LDAP ne couvre pas toutes les fonctions (ex partitionnement et réplication) Nous recommandons de choisir un annuaire qui supporte LDAP LDAP020314-10
Aperçu du marché Segmentation du marché Annuaires Système X500 LDAP Annuaires Système Méta Annuaires Annuaires de messagerie Annuaires multi usage Marché initial Marché aujourd'hui LDAP020314-11
Aperçu du marché Solutions du marché Annuaires système Annuaires X500 Active Directory (Microsoft) NDS edirectory (Novell) DirX (Siemens Business Services) etrust Directory (Computer Associates) InJoin (Critical Path) Annuaires multi usage iplanet Directory Server (iplanet) Lotus Domino (IBM/Lotus) Oracle Internet Directory (Oracle) SecureWay (IBM) OpenLDAP Méta annuaires DirXML (Novell) DirX Metahub (Siemens Business Services) InJoin Metadirectory (Critical Path) iplanet Metadirectory (iplanet) Lotus LDAPSync (IBM/Lotus) Microsoft Metadirectory Services (Microsoft) LDAP020314-12
Les différents types d utilisation d annuaires Les différents types d'utilisation d'annuaires Les méta annuaires Les annuaires d'entreprise Les annuaires système Les annuaires de sécurité Les annuaires pour PKI LDAP020314-13
Les différents types d utilisation d annuaires Méta annuaires Les méta annuaires donnent une vision unifiée des annuaires Les méta annuaires facilitent l'administration Principe Méta-annuaire = stockage, connecteurs, règles de transformation Deux modèles: Un annuaire fait référence aux autres annuaires (annuaire virtuel). Adapté aux changements fréquents. Le méta annuaire réplique leurs données. Meilleures performance et robustesse. On peut consulter le meta-annuaire d'un point central et voir les informations des autres annuaires On peut mettre à jour avec un méta annuaire. Il faut définir qui peut mettre à jour (annuaire, méta-annuaire, les deux) LDAP020314-14
Les différents types d utilisation d annuaires Méta annuaires et annuaires Utilisateurs Administration Administration centralisée des utilisateurs SSO Méta annuaire annuaire Système d'exploitation annuaire Progiciel annuaire Application métier Référentiel Réferentiel Référentiel Relations entre annuaires, méta annuaires, administration centralisée des utilisateurs et solutions de signature unique LDAP020314-15
Les différents types d utilisation d annuaires Annuaires d'entreprise Les annuaires d'entreprise référencent des personnes Employés et leurs attributs (tél, bureau, fonctions,...) pour des utilisations de type pages blanches Annuaires de messagerie d'entreprise Les annuaires de segmentation clients utilisés pour des projets B2C (utilisation atypique) LDAP020314-16
Les différents types d utilisation d annuaires Annuaires systèmes Stocker les ressources c-à-d les éléments actifs du réseau (ex serveurs, postes de travail, applicatifs, services, applicatifs) la localisation de composants distribués les utilisateurs (home directory, identifiant, nom, prénom) Localisation d'une ressource réseau ex DNS ex annuaires de composants pour un serveur d'application (ex Registry) LDAP020314-17
Les différents types d utilisation d annuaires Annuaires de sécurité Stocker Les utilisateurs Les ressources Les privilèges des utilisateurs sur les ressources Plusieurs niveaux de granularité possible niveau système: qui a le droit d'accéder aux postes? niveau application: à quelles applications l'utilisateur a-t-il le droit d'accéder? niveau fonctionnalité: à quelles fonctions de l'application l'utilisateur a-t-il le droit d'accéder? En général un annuaire système intègre un annuaire de sécurité LDAP020314-18
Les différents types d utilisation d annuaires Annuaires pour PKI Stockage des clés publiques 100% intégrés aux infrastructures PKI Incontournables pour mettre en oeuvre une infrastructure PKI LDAP020314-19
Caractéristiques des projets de mise en oeuvre Etapes du projet Analyse et définition de la structure des informations (classes et attributs) Analyse et définition des habilitations Analyse et définition du DIT Analyse et définition de l'architecture physique (distribution, réplication) Déploiement de l'outillage Implémentation technique Chargement - Migration des informations Mise en production/exploitation LDAP020314-20
Caractéristiques des projets de mise en oeuvre Pour tout projet Impliquer d emblée tous les services concernés Prévoir la promotion de l annuaire, expliquer son intérêt et assurer qu il est utilisé LDAP020314-21
Caractéristiques des projets de mise en oeuvre Méta annuaire Mise en oeuvre Risques Ressources Mapper les classes, attributs et DIT Définir les processus d entreprise, la gestion de l événementiel Peu de problème de gestion des règles de synchronisation dans les projets actuels parce que le schéma des annuaires est peu modifié Manque d'interopérabilité avec d'autres annuaires Performances Administration du méta-annuaire Connaissance de l'organisation de l'entreprise et des utilisations des annuaires Compétences d'administration LDAP LDAP020314-22
Caractéristiques des projets de mise en oeuvre Annuaires d'entreprise Projet de migration de données (simple) Quelques jours suffisent si on dispose des outils de migration des données Accès aux informations : client lourd, Web, Wap, interfaces spécifiques Définir qui effectue les mises à jour, quand et comment LDAP020314-23
Caractéristiques des projets de mise en oeuvre Annuaires systèmes Intégré au système d'exploitation Peu d'effort d'analyse pour la mise en oeuvre de l'annuaire Administration intégrée à l'administration système Compétences système LDAP020314-24
Caractéristiques des projets de mise en oeuvre Annuaires de sécurité Gros projet d'architecture But à long terme: externaliser le stockage des utilisateurs dans l'annuaire Risques Définition du bon niveau de granularité Analyse et définition qui ne couvre pas l'ensemble des besoins Non réutilisation par manque de synchronisation avec les projets Ressources requises Connaissance des ressources dont on gère la sécurité Connaissance des APIs de l'annuaire LDAP020314-25
Caractéristiques des projets de mise en oeuvre Annuaires pour PKI Dans une solution de PKI: identique à annuaires systèmes Dans une solution maison: identique à annuaires de sécurité LDAP020314-26