LDAP : pour quels besoins?



Documents pareils
Annuaire LDAP, SSO-CAS, ESUP Portail...

Description de la maquette fonctionnelle. Nombre de pages :

Déploiement de (Open)LDAP

LINUX REDHAT, SERVICES RÉSEAUX/INTERNET

Phase 1 : Introduction 1 jour : 31/10/13

Synchronisation d'annuaire Active Directory et de base LDAP

OpenLDAP. Astuces pour en faire l'annuaire d'entreprise idéal THÈME TECHNIQUE - ADMINISTRATION SYSTÈME. Jonathan CLARKE - jcl@normation.

OpenLDAP, un outil d administration Réseau. Une implémentation d OpenLDAP

Authentification unifiée Unix/Windows

Spécialiste Systèmes et Réseaux

Configuration d'un annuaire LDAP

Samson BISARO Christian MAILLARD

Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition)

Zimbra Forum France. Montée en charge et haute disponibilité. Présenté par Soliman HINDY Société Netixia

1 LE L S S ERV R EURS Si 5

et Active Directory Ajout, modification et suppression de comptes, extraction d adresses pour les listes de diffusion

Référentiel ASUR. UE 1 : Enseignement général (132h) MCang = Anglais 30h Session 1 à 4 Anglais technique (en groupe de niveaux) TD 2h

OpenLDAP au quotidien: trucs et astuces

Référentiel ASUR Prévisionnel

CRI-IUT 2004 Le Creusot. Introduction aux Espaces Numériques de Travail d après Alain Mayeur JRES 2003 de Lille

Conférence technique sur Samba (samedi 6 avril 2006)

Mise en place d annuaires LDAP et utilisation dans plusieurs applications

L'intégration de Moodle à l'université Rennes 2 Haute Bretagne

Le projet d'annuaire LDAP à Rennes 1. - Raymond Bourges - Gérard Delpeuch

Groupe Eyrolles, 2004 ISBN :

Utiliser Améliorer Prêcher. Introduction à LDAP

Windows Server 2012 R2 Administration

Journée Josy/PLUME. Outils logiciels libres utiles à tout ASR SAMBA. Maurice Libes. Centre d'océanologie de Marseille UMS 2196 CNRS

Les formations. Administrateur Systèmes et Réseaux. ENI Ecole Informatique

Restriction sur matériels d impression

Authentification des utilisateurs avec OpenLDAP

LINUX Préparation à la certification LPIC-3 (examen LPI 300) - 2ième édition

ADMINISTRATION DE RESEAUX SOUS LOGICIEL «OPEN SOURCE»

Authentification des utilisateurs avec OpenLDAP et Samba 3.0

Chapitre 1 Windows Server

Messagerie. Dominique MARANT CRI Lille 1. Octobre 2006

Couplage openldap-samba

OpenLDAP, un outil d administration réseau. (Implémentation d openldap à l INRA de Rennes)

Ingénieur Généraliste Spécialité Informatique

Projet Système & Réseau

CATALOGUE DE SERVICES DE LA DIRECTION DU SYSTEME D INFORMATION DE L UNIVERSITE DE LIMOGES

Contrôle d accès Centralisé Multi-sites

Université de Strasbourg. Spécification de l'annuaire d'établissement

INSTALLATION ET CONFIGURATION DE OPENLDAP

Exchange Server 2013 Préparation à la certification MCSE Messaging - Examen

Prise en main d un poste de travail sous Windows sur le réseau du département MMI de l'upemlv. d après M. Berthet et G.Charpentier

Mise en place Active Directory / DHCP / DNS

Licence professionnelle Réseaux et Sécurité Projets tutorés

Exchange Server 2010 Exploitation d'une plateforme de messagerie

2013 Microsoft Exchange 2007 OLIVIER D.

Accès à la messagerie électronique HES

Guide de connexion Wi-Fi sur un hotspot ADP Télécom

Introduction aux services Active Directory

Annexe C Corrections des QCM

RTN / EC2LT Réseaux et Techniques Numériques. Ecole Centrale des Logiciels Libres et de Télécommunications

DUT. Vacataire : Alain Vidal - avidal_vac@outlook.fr

Présentation du logiciel Free-EOS Server

M2-ESECURE Rezo TP3: LDAP - Mail

25/08/2013. Vue Nagios. Vue Nagios. Le réseau du lycée

Présentation du ResEl

GUIDE D INSTALLATION DE FIREWALL OPEN SOURCE

Table des matières Page 1

Guide Share France. Web Single Sign On. Panorama des solutions SSO

Installation et configuration de Vulture Lundi 2 février 2009

Solution Haute Disponibilité pour Linux

Déclarer un serveur MySQL dans l annuaire LDAP. Associer un utilisateur DiaClientSQL à son compte Windows (SSO)

Introduction à LDAP et à Active Directory Étude de cas... 37

Objectifs de la formation : Savoir réaliser la maintenance et l'administration de premier niveau sur un réseau d'établissement SCRIBE.

1. Présentation du TP

ADMINISTRATION, GESTION ET SECURISATION DES RESEAUX

Annuaires LDAP et méta-annuaires

Configuration Et Résolution Des Problèmes Des Services De Domaine Active Directory Windows Server Référence Cours : 6238B

Jeudis du libre, Samba ou comment donner le rythme aux stations Windows

Introduction aux services de domaine Active Directory

Administration d un Parc Informatique. Projet Evolution. Thibault Passette Damien Campan Florence Manuel

LDAP et carnet d'adresses mail

Manuel d installation UCOPIA Advance

Microsoft infrastructure Systèmes et Réseaux


Déclarer un serveur MySQL dans l annuaire LDAP. Associer un utilisateur DiaClientSQL à son compte Windows (SSO)

Description de l entreprise DG

Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants

Une unité organisationnelle (Staff) comporte une centaine d'utilisateur dans Active Directory.

Présentation de Active Directory

WebSSO, synchronisation et contrôle des accès via LDAP

Groupe Eyrolles, 2004 ISBN :

Architecture PKI en Java

TUTORIEL RADIUS. I. Qu est-ce que RADIUS? II. Création d un groupe et d utilisateur

Pourquoi installer un domaine Windows Active directory? E. Basier - CNIC S. Maillet - CRPP F. Palencia - ICMCB

Internet Information Services (versions 7 et 7.5) Installation, configuration et maintenance du serveur Web de Microsoft


Retour sur les déploiements eduroam et Fédération Éducation/Recherche

Présentation générale de l'application OBM

Configuration de plusieurs serveurs en Load Balancing

Windows Server Chapitre 3 : Le service d annuaire Active Directory: Concepts de base

SUJET DES FINALES NATIONALES Sujet jour 1 version 1

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Transcription:

LDAP : pour quels besoins? Authentification centralisée (même identifiant/mot de passe pour l'accès à différents services) : POP(S), IMAP(S), SMTPS SSO-CAS (Portail Intranet...) Accès à d'autres sites Lille 1 WiFi (radius), VPN... Relayage messagerie, alias (listes sympa), redirections d'adresses e-mail... Pages blanches (synchronisation avec l'autocom).

LDAP : pour quelles populations? Etudiants : importés depuis le fichier de scolarité. Personnels : titulaires, contractuels, hébergés (cnrs, inria, autres établissements...), entrés par les correspondants dans les structures (outil portail). Post-synchronisation avec Harpège. Invités, stagiaires, vacataires, extérieurs : entrés par les correspondants des structures ou par des personnes habilitées (outil portail).

LDAP : organisation Modèle d'annuaire à plat (recommandations nationales SUPANN) : bien adapté pour faire de l'authentification. dc=univ-lille1,dc=fr ou=people ou=groups dn: uid=dupont,ou=people,dc=univ-lille1,dc=fr... dn: cn=labo,ou=groups,dc=univ-lille1,dc=fr...

LDAP : organisation dn: uid=mdupont,ou=people,dc=univ-lille1,dc=fr objectclass: person cn: Dupont Martin telephonenumber: +33 3 20 43 43 43 uid: mdupont userpassword:: XXXXXXX objectclass: posixaccount uidnumber: 1111 gidnumber: 222 homedirectory: /home/mdupont loginshell: /bin/false objectclass: radiusprofile radiusgroupname: personnel objectclass: inetlocalmailrecipient maillocaladdress: Martin.Dupont@univ-lille1.fr mailroutingaddress: mdupont@serveur1.univ-lille1.fr objectclass: ustlperson ustlzonedns: 134.206.200.0/24 ustlrole: DNS-users

LDAP : organisation, configuration 2 serveurs annuaires d'établissement identiques, virtualisés (VMware). Logiciel libre «openldap». Répartition de charge. Indexer les attributs très sollicités pour de bons temps de réponse (relayage messagerie...)

LDAP : performances Surveillance journalière par Cacti (greffon ldap) : Détecter les anomalies dans les logs : applications gourmandes, requêtes mal construites... Scripts de scrutation de log (adresses IP, types de requête..)

LDAP : surveillance, sauvegardes Surveillance NAGIOS : cas ou le daemon slapd est présent mais ne répond plus aux requêtes. Dégrade le service car les applications ne basculent pas sur le second annuaire. Sauvegardes sous forme de fichiers.ldif (dump annuaire) plus d'une fois par jour.

LDAP : sécurisation Niveau 1 : protocole LDAP non accessible de l'extérieur (politique de l'établissement). Niveau 2 : contrôle par iptable des accès. Seul le réseau de service a accès par défaut aux annuaires. Accès LDAPS préconisé pour les serveurs des autres structures qui doivent accéder aux annuaires.

LDAP : sécurisation Niveau 3, ACLs LDAP : authentification par comptes 'admin' particuliers pour récupérer des attributs sensibles, effectuer des modifications... : access to attr=ustlrole by dn= 'uid=portail-lille1,ou=admins,dc=univ-lille1,dc=fr' write by dn= 'uid=portail-lille1,ou=admins,dc=univ-lille1,dc=fr' read by * none Attention aux performances!

LDAP : authentification de salles N'est pas faite sur les deux annuaires d'établissement pour deux raisons : Trop de requêtes (cache nscd à installer sur les clients Linux) => risque important de crash annuaire, peut impacter sur les performances. Trop d'ips clients à autoriser, dégrade sensiblement le niveau de sécurité.

LDAP : authentification de salles Salles équipées en postes Linux : Mise en place au CRI d'un annuaire spécifique ouvert ne contenant que des entrées banalisées d'étudiants (attributs non sensibles), alimenté automatiquement depuis l'annuaire d'établissement (mécanisme syncrepl de réplication partielle). Protection spécifique par ACLs LDAP.

LDAP : authentification de salles Salles équipées en postes Windows Mise en place d'annuaires spécifiques gérés par des gestionnaires de parc dont les entrées seront importées depuis l'annuaire d'établissement : Annuaires openldap avec serveur Samba et déclarations des postes clients. Annuaires Active Directory (script journalier d'importations...)

LDAP : réplication Mécanisme syncrepl : Maître, esclave(s) (actif, passif), N-Way Multi-Master (actif, actif), Mirroring (actif, actif), Standalone LDAP Proxy, Réplication partielle... Requêtes 'refreshonly' (polling) ou 'refreshandpersist' (listening).

LDAP : réplication Réplication partielle : provider=ldap://ldap-write.univ-lille1.fr searchbase='ou=people,dc=univ-lille1,dc=fr' attrs='uid, cn, sn, givenname, homedirectory, loginshell...' filter='(&(objectclass=ustletuperson)(objectclass=posixaccount) (ustlcurrentyear=true))' Mise en place prochaine d'un annuaire PRES 'pages blanches' qui utilisera ce mécanisme pour s'alimenter.

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back