Intervention du 29 Avril 2004 9 h 15 10 h 45 M. Sébastien Bahloul Chef de projet Expert Annuaire LDAP bahloul@linagora.com OpenLDAP : retour d expérience sur l industrialisation d annuaires critiques
Plan de l exposé Contexte, enjeux et impacts des annuaires Retours d expérience Solution Open Source de gestion d annuaires InterLDAP
Plan Contexte, enjeux et impact des annuaires Retours d expérience Solution Open Source de gestion d annuaires InterLDAP -3-
Contexte des systèmes d information actuels État du système d information : Contexte, enjeux et impact Hétérogénéité des sources d informations Peu ou pas de synchronisation Cloisonnement des mondes systèmes/sécurité & applicatif Peu ou pas de réflexion autour de la synchronisation du SI et plus généralement autour des données utilisateurs du SI Saisies multiples, doublons et fantômes Pas de gestion des applications et donc des modèles d accès -4-
Contexte, enjeux et impact Enjeux & impacts Réussir une uniformisation du SI pour apporter : Un meilleur service aux utilisateurs (Web SSO voir SSO) Une infrastructure plus sécurisée au travers du provisioning Une identification et un contrôle des ressources de l organisation Une information à jour au travers d un référentiel -5-
Plan Contexte, enjeux et impacts des annuaires Retours d expérience Solution Open Source de gestion d annuaires InterLDAP -6-
Université Pierre et Marie Curie (UPMC) Université Pierre et Marie Curie Annuaire OpenLDAP Taille : 40.000 personnes / 250.000 entrées Projet : 5 années x homme Charge Web moyenne (en journée) : 30 à 50 utilisateurs Charge LDAP moyenne (sur 24h) : 15 requêtes / seconde -7-
Université Pierre et Marie Curie (UPMC) Contexte Système d information hétérogène sans schéma directeur imposé Absence complète de synchronisation du SI et donc information périmée Problématiques liées aux saisies multiples, à l absence d identifiants communs et aux populations très diverses en relation avec l Université -8-
Objectifs Construire un référentiel Mettre à disposition les outils de consultation et de mise à jour respectant les règles organisationnelles : Mise à jour des informations personnelles Nomination - révocation Création de structures Délégation de droits sur la structure et liée aux applicatifs Mettre à disposition les informations mises à jour pour les applicatifs non modifiables Disposer d une interface LDAP respectant les droits et règles fonctionnels Offrir des services AAA (WebSSO et accréditation) et des listes diffusion dynamiques -9-
Archit ectur e Gestionnaire de listes Serveurs d équilibrage de charge (LVS) Inactif + Export Actif Haute disponibilité Equilibrage de charge Serveurs Web / AAA Serveurs Proxy AACLS Annuaires LDAP -10-
Méta Annuaire de l Armée de Terre (MAAT) Méta Annuaire de l Armée de Terre Annuaire OpenLDAP Taille : 240.000 personnes / 300.000 entrées Projet : 10 mois x homme (en cours de déploiement) -11-
Méta Annuaire de l Armée de Terre (MAAT) Contexte L Armée de Terre regroupe la quasi-totalité du marché des bases d information (Lotus, Novell, Active Directory, Unix / Linux) Absence complète de synchronisation du SI Saisie multiple et risque de multiplication des doublons (renouvellement des affectations par tiers tous les ans) Objectifs Nécessité de constituer un référentiel central répliqué nationalement Propager les notifications depuis le référentiel à destination des serveurs de messagerie, des serveurs de partage de fichiers Visibilité régulée de l organisation hiérarchique, des postes et des personnes -12-
Méta Annuaire de l Armée de Terre (MAAT) Architecture nationale -13-
Méta Annuaire de l Armée de Terre (MAAT) Architecture Bases de données et annuaires externes Web Moteur d exportation Base OpenLDAP principale v5 v6 Bases OpenLDAP répliquées Annuaires clients -14-
Direction Générale de la Comptabilité Publique (DGCP) Direction Générale de la Comptabilité Publique Annuaires Sun ONE / OpenLDAP Taille : 55.000 personnes / 70.000 entrées Projet : 7 années x homme Charge LDAP pic : 2000 requêtes / secondes -15-
Direction Générale de la Comptabilité Publique (DGCP) DGCP / MINEFI - Les problématiques Conception et déploiement d une infrastructure annuaire nationale Conception et déploiement d une infrastructure centrale à haute disponibilité Prise en compte de l infrastructure de Groupware Sun existante Co-administration et transfert de compétence afin d assurer la montée en charge de l équipe annuaire de la DGCP Accompagnement au déploiement des sites répliqués -16-
Direction Générale de la Comptabilité Publique Site 1 BERCY Réplicat H abilit at ion et Authentification Site 2 WAN WAN Réplicat H abilit at ion et Authentification Annuaires Groupware Ann ua ire Grou pw a re Cluster de Production Cl us te r de Seco u rs Ré pl ica t Sa mb a LYON Site 3 Ré pl ica t Sa mb a D i r e c t io n G é n é r a l e d e l a C o m p ta b i li t é P u b l i q u e S i te 1 An nu ai re s m aîtres Annuaires maîtres pour B E R C Y Ha bi lita tion et Samba Authentification Infrastructure de Gestion de C lé (IGC ) R é p lic a t H a b ilit a t io n e t A u t h e n t if ic a ti o n D irection G én éra le d e la C om p tab ilité P ubliq ue S i te 1 B E R C Y S i te 2 W A W N A N R é p lic a t H a b ilit a t io n e t A u t h e n t if ic a ti o n S i te 2 W AWNA N A n n u a i r e s G r o u p w a r e A n n u a i r e G r o u p w a r e C l u s t e r d e P r o d u c ti o n C lu s te r d e S e c o u r s A n n u a ir e s G r o u p w a r e A n n u a ir e G r o u p w a r e C lu s te r d e P r o d u c ti o n C luster d e S ec ours R é p lic a t S a m b a LY O N S it e 3 L Y O N S it e 3 R é p lic a t S a m b a A nnu aires m a ître s A nn ua ire s m aîtr es po ur H a bilitatio n et S a m b a A u the ntifica tion In fra structure d e G estion de C lé (IG C ) A n n u a i r e s m a î tr e s A n n u a ir e s m a î tr e s p o u r H a b i li ta t i o n e t S a m b a A u t h e n ti fi c a t io n In f r a s tr u c tu r e d e G e s t io n d e C l é ( I G C ) R é p lic a t H a b ilita tio n et A u th en tif ic a tio n R é p lic a t H a b ilita tio n et A u th en tif ic a tio n R é plic at S a m b a R é plic at S a m b a Direction Générale de la Comptabilité Publique (DGCP) Architecture générale Direction Générale de la Comptabilité Publique Site 1 BERCY Réplicat Habilitation et Authentification Site 2 WAN WAN Réplicat Habilitation et Authentification Annuaires Groupware Cluster de Production Annuaire Groupware Cluster de Secours Réplicat Samba LYON Site 3 Réplicat Samba Annuaires maîtres Habilitation et Authentification Annuaires maîtres pour Samba Infrastructure de Gestion de Clé (IGC) -17-
Direction Générale de la Comptabilité Publique (DGCP) PILOTAGE ET SUIVI DE PROJET Tranche 1 (Ferme) 1 2 3 4 5 6 7 8 9 10 11 12 Tranche 2 (Conditionnelle) Tranche 3 (Conditionnelle) 13 18 19 24 Module 1 Mise en place des plates-formes de qualification et de développement Validation des choix technologiques Création des annuaires centraux Kit de déploiement et premier réplicat Déploiement de 5 réplicats Module 2 2.1 2.2 2.3 2.4 2.5 Module 3 Module 3 Module 3 Exploitation Annuaire Messagerie Exploitation Exploitation Exploitation Annuaire Authentification Exploitation Annuaire Authentification Exploitation Annuaire Authentification Module 4 Module 4 Module 4 Formation du noyau de l équipe Transfert de compétences Transfert Transfert -18-
Plan Contexte, enjeux et impact des annuaires Retours d expérience Solution Open Source de gestion d annuaires InterLDAP -19-
Con InterLDAP text e? -20-
InterLDAP Couverture fonctionnelle Méta annuaire simple Solution de provisioning (gestion des droits d accès) Interface de publication, de recherche et de mise à jour Solution de Web SSO Gestion des listes de diffusion -21-
InterLDAP Les flux Export Site web Web Services Alimentation Authentification Accréditation Métrologie (AAA) Liste de diffusion -22-
Authentification - Accréditation - Métrologie (AAA) Administration, délégation Annuaire de référence Propagation des comptes et des privilèges Ressources Plates-formes Gestion des identités Services de provisionning Applications Authentification Délégation des rôles et de la gestion des droits d accès Bases de données Enregistrement Gestion des authentifications Gestion des authentifications Gestionnaires Autres Autorisation Personnalisation Portail Accès autorisé ou interdit -23-
Les InterLDAP éléments Des modèles de données clésafin de modéliser l organisation du SI Un stockage de l information sous forme d un Annuaire LDAP Un service LDAP gérant des droits par des relations fonctionnelles Un schéma de données structuré, hiérarchique et dynamique Composant de publication et mise à jour des informations Système simple de consolidation de données autour de l annuaire LDAP -24-
Types de composants initiaux Objets Noeuds Références Nœud sur objet Nœud sur noeud Groupes responsable Nomination Révocation -25-
Modèl e UPM C Applications Personnes Affectations Ulysse / Intranet /. Alain / Jean / Jenny Directions Profils Services Relation LDAP native père / fils Équipes Lien vers des personnes Lien vers des noeuds -26-
Modèl e MAA Administration & droit d accès Visualisation T Applications Personnes Hiérarchique Géographique Ulysse / Intranet /. Alain / Jean / Jenny Villes IDF Profils Services Équipes Fonction non affectée -27-
InterLDAP Composants techniques Annuaire et proxy LDAP (OpenLDAP, AACLs) Plate-forme J2EE (Tomcat / JBoss) Reverse Proxy (Apache2) et module d accréditation (Perl) Serveur de messagerie (Sendmail) de dispatch Module Perl de diffusion des mises à jour Haute disponibilité (Linux Virtual Server et Keepalive) -28-
InterLDAP Questions -29-
Merci de votre attention LINAGORA 30, rue Saint Augustin 3ème étage 75002 PARIS Tél : 01 58 18 68 28 http://www.linagora.com/