La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

12 décembre 2010 Marc OLORY IR3 INGENIEURS 2000 – Université de Marne-la-Vallée.

Présentations similaires


Présentation au sujet: "12 décembre 2010 Marc OLORY IR3 INGENIEURS 2000 – Université de Marne-la-Vallée."— Transcription de la présentation:

1 12 décembre 2010 Marc OLORY IR3 INGENIEURS 2000 – Université de Marne-la-Vallée

2 Découvrir les services dannuaire Etudier les mécanismes LDAP Déployer un service LDAP Mardi 12 décembre 20102Marc OLORY – LDAP et les services dannuaire

3 1. Les services dannuaire A.Présentation B.LDAP 2. Les concepts de LDAP A.Organisation client/serveur et serveur/serveur B.Les modèles de LDAP 3. LDAP en pratique A.Déployer un service d'annuaire LDAP B.Sécuriser le service 4. Conclusions A.LDAP actuellement B.Les évolutions possibles Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire3

4 A. Présentation Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire 4

5 Un système de stockage de données Dérivé des BDD relationnelles Organisé de manière hiérarchique Comparaison entre annuaires et base de données : rapport lecture/écriture plus élevé duplication de linformation fortes quantités denregistrements dans un faible espace. Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire5 2. Les concepts de LDAP 1. Les services dannuaire 3. LDAP en pratique 4. Conclusions

6 Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire6 Rôle rendre accessible des informations utiles pour un système à partir de différents critères Avantages rapide, centralisé, sécurisé Exemple dannuaires : carnet dadresses, répertoire téléphoniques, DNS… 2. Les concepts de LDAP 1. Les services dannuaire 3. LDAP en pratique 4. Conclusions

7 Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire7 Il existe plusieurs types dannuaire : X.500 : normes définies par lUIT-T Active Directory : développé par Microsoft pour Windows NIS : Network Information Service, développé par SUN LDAP : protocole reposant sur TCP/IP … 2. Les concepts de LDAP 1. Les services dannuaire 3. LDAP en pratique 4. Conclusions

8 Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire8 X.500 Standard conçu en 1988 par lUIT-T pour interconnecter leurs annuaires téléphoniques Destiné à normaliser les services dannuaires Définit : des règles de nommage pour les données de lannuaire des protocoles daccès à lannuaire (DAP) un mécanisme dauthentification 2. Les concepts de LDAP 1. Les services dannuaire 3. LDAP en pratique 4. Conclusions

9 Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire9 Echec car inadapté aux communications distantes ne profite pas de lessor de TCP/IP 2. Les concepts de LDAP 1. Les services dannuaire 3. LDAP en pratique 4. Conclusions

10 B. LDAP Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire 10

11 Lightweight Directory Access Protocol (LDAP) adaptation de X.500 au protocole TCP/IP va dans le sens de la simplification dX.500 Evolution de LDAP de 1993 à maintenant : LDAPv1 RFC 1487 (1993) LDAPv2 RFC 1777 (1995) LDAPv3 RFC 2251 (1997) En 96, apparaissent les premiers serveurs commerciaux Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire11 2. Les concepts de LDAP 1. Les services dannuaire 3. LDAP en pratique 4. Conclusions

12 Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire12 LDAP définit : un modèle dinformation le type de données de lannuaire un modèle de nommage comment les données sont organisées un modèle fonctionnel comment on accède aux données un modèle de sécurité comment protéger laccès aux données un modèle de duplication comment répartir les données entre serveurs Et aussi : le protocole comment on accède à lannuaire des API pour développer des applications clientes LDIF un format déchange de données 2. Les concepts de LDAP 1. Les services dannuaire 3. LDAP en pratique 4. Conclusions

13 A. Organisation client/serveur et serveur/serveur Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire 13

14 2 méthodes de communications, 2 fonctionnalités Client/serveur accès aux informations par les clients normalisée par lIETF : version actuelle LDAPv3 Serveur/serveur duplication des informations entre serveurs les serveurs LDAP se partagent les informations pour se répliquer ou pour se synchroniser. Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire14 2. Les concepts de LDAP 1. Les services dannuaire 3. LDAP en pratique 4. Conclusions

15 Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire15 Exemple de communication client/serveur : Possibilité de faire plusieurs recherches sur une seule connexion 2. Les concepts de LDAP 1. Les services dannuaire 3. LDAP en pratique 4. Conclusions

16 Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire16 Format de transport des données ASCII comme HTTP ou SMTP Mécanisme de sécurité pour le transport : authentification et chiffrement règles daccès aux données Les opérations de base: interrogation: search, compare mise à jour: add, delete, modify connexion: bind, unbind, abandon 2. Les concepts de LDAP 1. Les services dannuaire 3. LDAP en pratique 4. Conclusions

17 B. Les modèles de LDAP Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire 17

18 On distingue 5 modèles : modèle dinformation modèle de nommage modèle de fonctionnement modèle de sécurité modèle de duplication Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire18 2. Les concepts de LDAP 1. Les services dannuaire 3. LDAP en pratique 4. Conclusions

19 Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire19 Le modèle dinformation Définit le type de données pouvant être stocké dans lannuaire Entrée élément de base de lannuaire contient les données équivalent à une « classe dobjet» en POO regroupe un ensemble dattributs Exemple dentrée: 2. Les concepts de LDAP 1. Les services dannuaire 3. LDAP en pratique 4. Conclusions Client Type dattributValeur dattribut cn:Ziggy NIGHT uidZnight telnumber solde

20 Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire20 Un attribut est caractérisé par : un nom un type une méthode de comparaison un « Object Identifier » (IOD) une valeur Un attribut peut être possédé par plusieurs classes ! 2. Les concepts de LDAP 1. Les services dannuaire 3. LDAP en pratique 4. Conclusions

21 Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire21 Les attributs classiques de LDAP : 2. Les concepts de LDAP 1. Les services dannuaire 3. LDAP en pratique 4. Conclusions attributdescription cn « common name » ou nom commum o « organization name » ou nom de lorganisation gn « given name » ou le surnom l « locality name » ou nom de la localité st « state name » ou nom de létat ou « organisational unit » ou unité dorganisation dc « domain component » ou nom de domaine

22 Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire22 Exemples de classes dobjet : une entreprise ses différents départements son personnel ses imprimantes ses groupes de travail Toutes les classes dobjets et leurs attributs sont définis dans un schéma Schéma définit lensemble des objets gérés par le serveur 2. Les concepts de LDAP 1. Les services dannuaire 3. LDAP en pratique 4. Conclusions

23 Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire23 Chaque entrée de lannuaire fait obligatoirement référence à une classe dobjet du schéma Une classe dobjet est définie par: un nom un OID (qui lidentifie de manière unique) des attributs obligatoires des attributs optionnels 2. Les concepts de LDAP 1. Les services dannuaire 3. LDAP en pratique 4. Conclusions

24 Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire24 Les classes dobjets sont organisées de manière hiérarchique au sommet se trouve toujours lobjet « TOP » chaque objet hérite des attributs de son objet parent Exemple dorganisation hiérarchique : 2. Les concepts de LDAP 1. Les services dannuaire 3. LDAP en pratique 4. Conclusions

25 Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire25 Le modèle de nommage Il définit comment sont organisées les entrées de lannuaire et comment elles sont référencées Cette organisation est représentée par le Directory Information Tree (DIT) Classification des entrées dans une arborescence hiérarchique comparable au système de fichier UNIX 2. Les concepts de LDAP 1. Les services dannuaire 3. LDAP en pratique 4. Conclusions

26 Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire26 Exemple de Directory Information Tree : Chaque nœud du DIT correspond à une entrée de lannuaire Au sommet se trouve lentrée « Suffix » ou « Root Entry » 2. Les concepts de LDAP 1. Les services dannuaire 3. LDAP en pratique 4. Conclusions

27 Une « Root Entry » correspond à lespace de nommage géré par le serveur Un serveur LDAP peut gérer plusieurs arbres (donc plusieurs « Root Entry ») Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire27 2. Les concepts de LDAP 1. Les services dannuaire 3. LDAP en pratique 4. Conclusions Serveur LDAP

28 Distinguish Name (DN) référence de manière unique une entrée du DIT Equivalent du path dun fichier UNIX Chaque composant du DN est appelé « Relative Distinguish Name » (RDN) DN constitué dun ensemble dattributs et de leurs valeurs provenant de chacunes des entrées parentes mises bout à bout. Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire28 2. Les concepts de LDAP 1. Les services dannuaire 3. LDAP en pratique 4. Conclusions

29 Exemple: DN de lentrée ziggy [uid=ziggy, ou=personne, dc=ingenieurs2000, dc = umlv ] On doit sassurer que 2 entrées du DIT naient pas le même DN Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire29 2. Les concepts de LDAP 1. Les services dannuaire 3. LDAP en pratique 4. Conclusions dc=umlv dc=ingenieurs2000 ou=personne uid=ziggy

30 Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire30 Le modèle de fonctionnement Il décrit : les moyens d accès aux données les opérations applicables aux données Les opérations possibles sont : opérations dinterrogation requête pour accéder aux données opérations de comparaison renvoie vrai ou faux si égal opérations de mise à jour add, delete, rename, modify opérations dauthentification et de contrôle bind, unbind, abandon 2. Les concepts de LDAP 1. Les services dannuaire 3. LDAP en pratique 4. Conclusions

31 Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire31 Le modèle de sécurité Il décrit le moyen de protéger les données de lannuaire La sécurité se fait à plusieurs niveaux par lauthentification pour se connecter au service par un modèle de contrôle daccès au données par le chiffrement des communications 2. Les concepts de LDAP 1. Les services dannuaire 3. LDAP en pratique 4. Conclusions

32 Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire32 Pour lauthentification, LDAPv3 propose plusieurs choix: Anonymous authentification accès sans authentification Root DN authentification accès administrateur Mot de passe + SSL ou TLS accès chiffré Certificats sur SSL échange clé publique/privée Le contrôle daccès droit daccès aux données (lecture, écriture, recherche, comparaison) Chiffrement utilisation de SSL ou TLS 2. Les concepts de LDAP 1. Les services dannuaire 3. LDAP en pratique 4. Conclusions

33 Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire33 Le modèle de duplication Il définit comment dupliquer lannuaire sur dautres serveurs Intérêt de dupliquer un serveur : pallier une panne de lun des serveurs, coupure de réseaux, … répartir la charge du service garantir une qualité de service (temps de réponse) Pas encore standardisé préparation du protocole LDUP (Lightweight Directory Update Protocol) 2. Les concepts de LDAP 1. Les services dannuaire 3. LDAP en pratique 4. Conclusions

34 A. Déployer un service dannuaire LDAP Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire 34

35 1 er étape phase de conception Pour déployer un service LDAP, il faut déterminer : la nature des données lutilisation que lon compte en faire la façon de gérer le tout Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire35 1. Les services dannuaire 4. Conclusions 2. Les concepts de LDAP 3. LDAP en pratique

36 Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire36 Exemple : organisation Ecole Ingénieurs 2000 se situe à l UMLV, à Paris, en france est composé de : filières (MFPI, GM, IR, …) groupes (IR1, IR2, MFPI4, …) personnes (Jean, Paul, Ziggy, …) 1. Les services dannuaire 4. Conclusions 2. Les concepts de LDAP 3. LDAP en pratique

37 Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire37 Design du Directory Information Tree (DIT) : 1. Les services dannuaire 4. Conclusions 2. Les concepts de LDAP 3. LDAP en pratique

38 Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire38 2 ème étape: déployer et remplir le serveur LDAP installation du serveur création compte administrateur ajout des nouveaux objets suivant le DIT 1. Les services dannuaire 4. Conclusions 2. Les concepts de LDAP 3. LDAP en pratique

39 Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire39 Démonstration 1. Les services dannuaire 4. Conclusions 2. Les concepts de LDAP 3. LDAP en pratique

40 B. Sécuriser le service Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire 40

41 Utilisation des ACL fichier de configuration /etc/ldap/slapd.conf Plusieurs niveaux daccès Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire41 2. Les concepts de LDAP 1. Les services dannuaire 3. LDAP en pratique 4. Conclusions NiveauDescription nonepas daccès comparepour comparer authpour lauthentification searchpour rechercher readpour lire writepour écrire

42 Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire42 Plusieurs types dutilisateur Exemple: 2. Les concepts de LDAP 1. Les services dannuaire 3. LDAP en pratique 4. Conclusions NiveauDescription *tous les types dutilisateurs anonymousutilisateur anonyme usersutilisateur authentifié selfutilisateur associé à lentrée recherchée dn. = utilisateurs appartenant à un « groupe » access to * by self write by anonymous auth by * read access to dn.subtree="dc=example,dc=com" attrs=homePhone by self write by dn.children="dc=example,dc=com" search by peername.regex=IP:10\..+ read access to dn.subtree="dc=example,dc=com" by self write by dn.children="dc=example,dc=com" search by anonymous auth

43 A. LDAP actuellement Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire 43

44 Les serveurs LDAP les plus connus sont: OpenLDAP TinyLDAP Apache Directory Server Oracle Internet Directory Sun Java System Directory Server … Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire44 1. Les services dannuaire 4. Conclusions 2. Les concepts de LDAP 3. LDAP en pratique

45 Les annuaires LDAP sont utilisés pour : des applications systèmes des applications Intranet/Extranet/Internet Différentes API destinées à créer ces applications : API dOpenLDAP C Sun ONE directory SDK C et Java Mozilla Directory SDK Java Net::LDAP Perl API python LDAP Python API php LDAP PHP Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire45 1. Les services dannuaire 4. Conclusions 2. Les concepts de LDAP 3. LDAP en pratique

46 B. Les évolutions possibles Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire 46

47 Serveur LDAP centralisé Single Sign-On résout le problème de multiples mots de passe problème de sécurité (1 clé = accès à tout) exemple : Microsoft avec Live ID Google avec Google Account Remplacer les SGBD classiques ? Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire47 1. Les services dannuaire 4. Conclusions 2. Les concepts de LDAP 3. LDAP en pratique

48 Merci de votre attention

49 Sites Web : Wikipedia - Commentcamarche - Mongueurs - TLDP - Doc Ubuntu - Livres : Annuaires LDAP - Marcel Rizcallah (Broché) LDAP : Administration système - Gerald Carter et Sébastien Pujadas (Broché) Mardi 12 décembre 2010Marc OLORY – LDAP et les services dannuaire49


Télécharger ppt "12 décembre 2010 Marc OLORY IR3 INGENIEURS 2000 – Université de Marne-la-Vallée."

Présentations similaires


Annonces Google