Migration de plateformes NIS

Documents pareils
LDAP : pour quels besoins?

Conférence technique sur Samba (samedi 6 avril 2006)

Synchronisation d'annuaire Active Directory et de base LDAP

Authentification unifiée Unix/Windows

NFS Maestro 8.0. Nouvelles fonctionnalités

Pourquoi installer un domaine Windows Active directory? E. Basier - CNIC S. Maillet - CRPP F. Palencia - ICMCB

Authentification sur réseau sans-fil Utilisation d un serveur radius Expérience du CENBG

Authentification des utilisateurs avec OpenLDAP

Utiliser Améliorer Prêcher. Introduction à LDAP

CASE-LINUX MAIL. Introduction. CHARLES ARNAUD Linux MAIL

Zimbra Forum France. Montée en charge et haute disponibilité. Présenté par Soliman HINDY Société Netixia

Active Directory. Structure et usage


Gestion des identités Christian-Pierre Belin

Déploiement de (Open)LDAP

Introduction...3. Objectif...3. Manipulations...3. Gestion des utilisateurs et des groupes...4. Introduction...4. Les fichiers de base...

Simplifier l authentification avec Kerberos

Description de la maquette fonctionnelle. Nombre de pages :

OpenLDAP au quotidien: trucs et astuces

Journée Josy/PLUME. Outils logiciels libres utiles à tout ASR SAMBA. Maurice Libes. Centre d'océanologie de Marseille UMS 2196 CNRS

Annuaire LDAP, SSO-CAS, ESUP Portail...

Mise en place d annuaires LDAP et utilisation dans plusieurs applications

Une unité organisationnelle (Staff) comporte une centaine d'utilisateur dans Active Directory.

Authentification des utilisateurs avec OpenLDAP et Samba 3.0

Kerberos : Linux, Windows et le SSO

Phase 1 : Introduction 1 jour : 31/10/13

RTN / EC2LT Réseaux et Techniques Numériques. Ecole Centrale des Logiciels Libres et de Télécommunications

et Active Directory Ajout, modification et suppression de comptes, extraction d adresses pour les listes de diffusion

Single Sign On (l apport déterminant du SSO dans un projet d IAM ) Yves RAISIN - biomérieux

Windows Serveur 2008

1 Introduction à l infrastructure Active Directory et réseau

Service d'authentification LDAP et SSO avec CAS

LINUX Préparation à la certification LPIC-3 (examen LPI 300) - 2ième édition

Sécurité & Authentification. Sécurité Authentification utilisateur Authentification applicative

Samson BISARO Christian MAILLARD

Formateur : Franck DUBOIS

Administration et Architectures des Systèmes

DUT. Vacataire : Alain Vidal - avidal_vac@outlook.fr

ASR3. Partie 2 Active Directory. 1 Arnaud Clérentin, IUT d Amiens, département Informatique,

Zimbra. S I A T. T é l : ( ) F a x : ( )

Authentification centralisée et SSO Sujet. Table des matières. 1 ORGANISATION Mode de rendu Informations complémentaires 1 2 SUJET 2

M2-ESECURE Rezo TP3: LDAP - Mail

vcenter Server 1. Interface Lancez le vsphere Client et connectez vous à vcenter Server. Voici la page d accueil de vcenter Server.

Spécialiste Systèmes et Réseaux

Sécurité en MAC OS X [Nom du professeur]

Single Sign-On open source avec CAS (Central Authentication Service) Vincent Mathieu Pascal Aubry Julien Marchal

comment contrôler l accès des utilisateurs à privilèges au sein de toute l entreprise?

Outils Logiciels Libres

Migration d un Cluster Fiber Channel+SAN+Lames sous Xen vers Ethernet +iscsi+serveurs sous KVM

Couplage openldap-samba


EVOLUTION ACTIVE DIRECTORY Windows 2012R2

Bénéficiez de supers prix sur la gamme Avocent ACS 6000

Sauvegarde des données au LAAS

OpenLDAP, un outil d administration Réseau. Une implémentation d OpenLDAP

Chapitre 1 Windows Server

ENVOLE 1.5. Calendrier Envole

Polux Développement d'une maquette pour implémenter des tests de sécurité

Clients légers et authentification Active Directory. Octobre

Evidian Secure Access Manager Standard Edition

LINUX REDHAT, SERVICES RÉSEAUX/INTERNET

Déploiement d'un serveur ENT

Annuaire LDAP + Samba

LDAP : concepts, déploiement

LDAP : concepts, déploiement

Méta-annuaire LDAP-NIS-Active Directory

Client Debian Squeeze et serveur SambaEdu3

Dr.Web Les Fonctionnalités

Guide de l administrateur de mexi

Zoom sur Newtest LDAP intégration

Tour des Unités du C.I.A.M. Tour des Unités du C.I.A.M. Maurice Baudry Laboratoire Statistique & Génome, Évry.

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons Jérémie Jourdin

BTS SIO option SISR Lycée Godefroy de Bouillon Clermont-Ferrand

Exchange Server 2013 Préparation à la certification MCSE Messaging - Examen

Catalogue des formations 2015

UE5A Administration Réseaux LP SIRI

Gestion de l identitl et des accès, pour bien se faire connaître!

INSTALLATION ET CONFIGURATION DE OPENLDAP

Les formations. Administrateur Systèmes et Réseaux. ENI Ecole Informatique

Ingénieur Généraliste Spécialité Informatique

arcopole Studio Annexe 4 Intégration LDAP et processus d authentification Site du programme arcopole :

Support de cours. Serveur de fichiers Samba. 2003, Sébastien Namèche - 1

Configuration d'un annuaire LDAP

Joomla! Création et administration d'un site web - Version numérique

Gestion des accès et des identités

Jeudis du libre, Samba ou comment donner le rythme aux stations Windows

INFO-F-404 : Techniques avancées de systèmes d exploitation

Rôles serveur Notion de Groupe de Travail Active Directory Utilisation des outils d administration Microsoft Windows Server 2008

LP Henri Becquerel - Tours

Prise en main d un poste de travail sous Windows sur le réseau du département MMI de l'upemlv. d après M. Berthet et G.Charpentier

Introduction à LDAP et à Active Directory Étude de cas... 37

Gestion des Identités : 5 règles d'or. Patrice Kiotsekian Directeur Evidian France

Evidian IAM Suite 8.0 Identity Management

Amiens Métier 39 : Gestion des réseaux informatiques. Jour 2, première partie. Durée : 3 heures

Cahier des charges fonctionnel

Monter automatiquement des disques distants ou locaux avec automount/autofs

Installer un domaine NIS

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Transcription:

Migration de plateformes NIS JIs 2016 GIVAUDAN Valérie / Rago Emiliano IN2P3/LAL GAUTIER DE LAHAUT Anthony CEA/IRFU 1

1 Introduction 1. L existant 2. Les besoins 3. Les problématiques 4. Les solutions 2

1 1. L existant Le parc informatique : IRFU 3

1 1. L existant Le parc informatique : IRFU 4

1 1. L existant Le parc informatique : IRFU 5

1 1. L existant Le parc informatique : LAL 6

1 1. L existant Le parc informatique : LAL 7

1 2. Problématiques Aucune centralisation des données Plusieurs services de comptes non synchrones Workflow compliqué Différents homedir et shell NIS est un protocole vieillissant Peu d interopérabilité Mais simple et robuste! Aucune redondance Faible en terme de sécurité. 8

1 3. Besoins Un service de gestion des comptes unique, centralisé et sécurisé. Un seul outil : interface simple et utilisable par TOUS Une politique de sécurité unique et solide Un seul mot de passe Une migration la plus transparente possible pour les utilisateurs Solution qui utilise des standards Solution pérenne qui ne réinvente pas la roue Et utilisable pour tous les services Postes clients : Système de cache pour le mot de passe 9

1 Annuaire full OpenLDAP 4. Les solutions 1/3 IRFU Les plus Les moins Retenue - Un seul annuaire pour Linux - Totalement géré par l IRFU - Mise en œuvre - 2 annuaires LAL NC NC 10

1 Annuaire full Active Directory 4. Les solutions 2/3 IRFU LAL - Un seul annuaire - Géré par les STIC Les plus Les moins Retenue - N est pas géré par l IRFU - Deprecated - Migration - Centralisé & sécurisé - Service compatible (Kerberos) NC 11

1 Annuaire OpenLDAP & AD 4. Les solutions 3/3 IRFU Les plus Les moins Retenue - Un annuaire géré par l IRFU - Migration - 2 annuaires LAL NC NC 12

2Coté IRFU Implémentation 1. Architecture détaillée 2. Coté machines clientes 3. Coté utilisateurs 13

Infrastructure OpenLDAP 2 1. Archi détaillée 14

Réplication multi-master 2 1. Archi détaillée 15

Réplication masters-slaves 2 1. Archi détaillée 16

Sécurité 2 1. Archi détaillée 17

Les démons Local LDAP Name Service Daemon (NSLCD) Automount File System (AUTOFS) System Security Services Daemon (SSSD) 2 2. machines clientes sssd.conf auth_provider = krb5 autofs_provider = ldap cache_credentials = true chpass_provider = krb5 enumerate = true id_provider = ldap krb5_realm = NOM.DE.DOMAINE krb5_store_password_if_offline = true ldap_search_base = dc=nom,dc=de,dc=domaine ldap_uri = ldap://ldap4.nom.de.domaine/ ldap_user_home_directory = homedirectory03 ldap_user_shell = loginshell03 18

2 3. Coté utilisateurs dn: uid=agautier,ou=people,ou=irfu,dc=extra,dc=cea,dc=fr uid: agautier cn: Anthony Gautier-De-Lahaut sn: Gautier-De-Lahaut givenname: Anthony mail: agautier@extra.cea.fr objectclass: person objectclass: organizationalperson objectclass: inetorgperson objectclass: homesupp objectclass: shadowaccount objectclass: posixaccount objectclass: top userpassword:: {SASL}agautier@EXTRA.CEA.FR gecos: Anthony Gautier-De-Lahaut uidnumber: 14623 gidnumber: 1288 shadowexpire: 29584 homedirectory: /home/agautier loginshell: /bin/bash homedirectory02: /home/usr201/mnt/agautier loginshell02: /bin/bash 19

3 Implémentation Coté LAL 1 Map autofs 2 Attribut Unix 20

3 1. Map autofs 21

Sur les serveurs Linux: Fichiers /etc/sysconfig/autofs et /etc/autofs_ldap_auth.conf (utilisation de LDAP, schéma) Fichier /etc/nsswitch.conf (LDAP au lieu de NIS) 3 1. Map autofs 22

3 2. Attributs Unix 23

Authentification des utilisateurs : Fichier /etc/nsswitch.conf (ldap au lieu de NIS) Fichier /etc/nslcd.conf (mapping name service: ex uid Unix= samaccountname AD) 3 2. Attributs Unix Intégration dans le domaine AD /etc/kerb5.conf permet de faire un kinit Modification de pam (autorise un user à se connecter) Suppose que tout user ait un compte avec les attributs Unix dans LDAP/AD 24

4 Conclusion 1. Migrations 2. Conclusion générale 25

Avancement du projet Mise en place des serveurs, Mise en place des services, Mise en production. 90% 4 1. Migration IRFU Bascule de la configuration clientes Ubuntu 12/14/15 Ubuntu 16 SL4/5/6/7 CentOS7 30% 26

Pré-requis: au moins SL6 AD et NIS en parallèle (~ un an): pas de synchronisation Migration service par service 1 ) Passage des Maps d automount sur AD : Pas de mécanisme d authentification simple! Décider où les mettre dans AD et le faire, Mais gérer les maps dans AD/LDAP plus difficile que dans les fichiers textes de NIS Script en python Fichiers de config Déploiement via Quattor 4 1. Migration LAL 27

4 1. Migration LAL 2 ) Le service de mail: le plus simple Les clients besoin uniquement du mot de passe Nécessite pas d'information en plus dans AD Aucune modification de la config clients Dovecot, et smtp utilisent Kerberos Impératif: Login windows= Login Unix (y compris majuscule/minuscule) Gros travail de «ménage» et cohérence des comptes! Mot de passe Windows dans le client de mail le jour J 28

4 1. Migration LAL 3 ) Les serveurs Linux Besoin attributs Unix dans AD: shell, UID, GID, home Configuration Nslcd: mapping attributs Unix et champs LDAP/AD Configuration pam, kerberos Intégration des serveurs dans le domaine avant Scripts import des attributs Unix de NIS vers AD Déploiement avec Quattor 4 ) Points importants de la migration Informer les utilisateurs! Mot de passe Windows Support : site Web, mails, Comité des utilisateurs, 29

4 1. Migration LAL Réorganisation des comptes: grand ménage!! Attention aux comptes «systèmes» Groupes: Tous les groupes unix doivent exister dans AD organisation AD pas la même que celle sous NIS Groupe primaire (linux) n existe pas sous Windows Kerbérisation des services possible mais travail à faire pour l automatisation Pré-requis: SL6 (upgrade des serveurs + pb avec la CAO ) Création d un compte: Choix du uid/gid? Comment créer les home unix Besoin de lancer des scripts 30

4 Un seul système sécurisé qui gère vraiment les comptes c est ce qu on voulait! Un seul domaine pour les 2 systèmes : EXTRA Un annuaire au lieu de 5 Migration assez simple Versions futures de MS: suppression de la gestion des identités pour Unix Comment fait-on la gestion des attributs Unix? Présentation «éclair» : utentomatic pour gérer les comptes! 2. Conclusion 31

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back