LDAP à l'université du Havre
Objectifs du LDAP Agrégation des bases de données étudiants et enseignants, pour avoir un référentiel unique des utilisateurs ; authentification des utilisateurs ; annuaire type page blanche ; conforme à la norme SUPANN.
Structure hiérarchique dc=univ lehavre,dc=fr Administrateur du LDAP Racine de la base Branche contenant les comptes de sécurité Nom du domaine géré par Samba cn=admin ou=people ou=groups ou=computers ou=dsa Branche contenant les individus Branche contenant les groupes Branche contenant les ordinateurs (utilisé pour les domaine MS Windows) Branche contenant les invités sambadomainname=ulh ou=invite
La branche «people» Contient tous les individus qui sont référencés dans Apogée et Harpège ; l'alimentation est automatique par l'intermédiaire d'extractions nocturnes des bases du personnel et des étudiants ; les individus sont identifiés par leur uid : personnel : 7 premiers caractères du nom + premier caractère du prénom (ex : Mathieu Guilbaud => guilbaum) ; étudiant : premier caractère du nom + premier caractère du prénom + 6 derniers chiffres du numéro d'étudiant (ex : Mathieu Guilbaud => gm990246) ; les entrées héritent des classes : top, person, organizationalperson, inetorgperson, eduperson, posixaccount, shadowaccount, sambasamaccount, supannperson, ulhpersonne, ulhetudiant/ulhemploye ; à chaque classe correspond une série d'attributs (nom, prénom, uid, mot de passe, mail, diplôme, etc.)
La branche «groups» Contient les groupes nécessaires au fonctionnement d'un domaine MS Windows ; contient un groupe d'étudiants par promotion ; contient les groupes nécessaires pour administrer le LDAP (Web, invité, etc.) ; l'alimentation est automatique pour les groupes Samba et les groupes d'étudiants, manuelle pour les autres.
La branche «DSA» Contient des entrées permettant d'identifier un service ; nécessaire pour donner à un service des droits spéciaux, par exemple Samba doit pouvoir modifier certains attributs des individus mais ne doit pas toucher aux autres ; permet de masquer aux utilisateurs anonymes la plupart des attributs.
La branche «invité» Contient les individus n'apparaissant ni dans Harpege ni dans Apogée ; fournis un login et un mot de passe à un invité pour avoir accès au réseau ; entrées «a llégées», ne contenant que des attributs strictement utiles ; durée de vie limitée dès la création ; gestion par interface Web.
Alimentation de l'annuaire Exécution de scripts shell et sql apogée LDAP Les programmes de mise à jour modifient LDAP et Postgresql en fonction des fichiers csv et des modifications des utilisateurs harpege Postgresql Envoi des extractions (fichiers csv) par scp webannuaire Modification de la part des utilisateurs au travers de l'interface Web
Authentification par LDAP Interroge le serveur avec login/mdp LDAP Authentification par le module LDAP de PAM Ouverture de session sur le domaine Client Windows PDC Samba Serveur de home Client Linux Plusieurs possibilités de configuration. Soit montage nfs du /home sur le PDC, soit redirection du client en utilisant un batch à la connexion Serveur NFS au moins pour les clients Linux et éventuellement un serveur Samba membre du domaine Montage du /home par nfs et automount
Connexion LDAP Active Directory LDAP Un script Perl sur le serveur AD va chercher la liste des utilisateurs dans le ldap, puis génère un script bat qui ajoute les utilisateurs dans l'ad. AD AD AD Client Windows Les serveurs AD sur les différents site de l'université sont reliés entre eux : ils appartiennent à la même forêt.
Services utilisant le LDAP Pages blanches par le Web, pour la recherche et la modification de certains de leurs attributs par les utilisateurs ; authentification sur un poste client (Samba, pam ldap) ; squid, authentification des utilisateurs pour l'accès au réseau WIFI ; plateforme de e learning (claroline) ; serveur de mail (Cyrus) et génération automatique du fichier d'aliases.
Environnement logiciel Serveur LDAP : Debian 3.1 OpenLdap 2.1.30 Serveur Web : Debian 3.1 Apache + mod_jk Client Linux : Debian 3.1 et SuSE 9.0 libpam ldap, libldap2, libnss ldap, (nscd), autofs Client MS Windows : Windows 2000 Tomcat Serveur Samba : Debian 3.1 (problèmes sous SuSE 8) Samba 3.0.10