LDAP Lightweight Directory Access Protocol
Ce que pensent 100 directeurs informatique de LDAP :
Sommaire Définitions et Concepts Historique Modèles Applications concrètes Conclusion
Sommaire D é finitions et Concepts Historique Modèles Applications concrètes Conclusion
Définitions et concepts ► Un annuaire est un conteneur d’informations organisées. ► Exemples d’annuaires courants annuaire téléphonique : Les Pages Jaunes carnet d’adresses catalogue de vente ► Un annuaire global célèbre très utilisé : DNS il a un espace de nommage uniforme il est distribué entre des serveurs coopérants
Définitions et concepts ► Un annuaire ► Un annuaire est une base de données, mais une base de données n’est pas un annuaire Lecture Performance Extensibilité Communication entre serveurs ► ► Un annuaire n’est pas : approprié à de fréquentes écritures destiné à manipuler des données volumineuses un substitut à un serveur FTP, un système de fichiers,...
Sommaire Définitions et Concepts Historique Modèles Applications concrètes Conclusion
Historique – X.500 (1) ► Standard conçu par les opérateurs télécom pour interconnecter leurs annuaires téléphoniques. ► Destiné à devenir LE service d’annuaire GLOBAL distribué, normalisé et fédérateur. ► Mais conçu aussi pour répondre à tout type de besoin d’annuaire grâce à un modèle de données de type objet et extensible.
Historique – X.500 (2) ► X.500 définit : ► les règles pour nommer les objets et les entités ► les protocoles pour fournir le service d’annuaire ► un mécanisme d’authentification.
Historique – X.500 (3)
Historique – X.500 (4) Atouts d’X.500 : ► scalability, fonctions de recherche évoluées, distribué (données et administration),ouvert Défauts d’X.500 : ► implémentations très lourdes, buggées et difficilement interopérables, basé sur les protocoles ISO, contraire à la culture internet Echec : les ambitions d’X.500 n’ont pas été atteintes
Historique – LDAP (1) LDAP né en 1993 de l’adaptation du protocole DAP au protocole TCP/IP RFC en pagaille ► LDAPv1 : RFC 1487 ► LDAPv2 : RFC 1777 ► LDAPv3 : de RFC 2251 à 2256 (1997) LDAP garde beaucoup d’aspects de X.500, mais va dans le sens de la simplification et de la performance.
Historique – LDAP (2)
Sommaire Définitions et Concepts Historique Modèles Applications concrètes Conclusion
Concepts de LDAP Le standard LDAP définit : Un protocole, cad comment accéder à l’information stockée. 4 modèles : ► information ► désignation = nommage. ► services = fonctionnel. ► sécurité
Le protocole Le fonctionnement Client-Serveur ► URL : ldap://… RFC 2255 ► BER commandes pour se connecter ou se déconnecter, pour rechercher, comparer, créer, modifier ou effacer des entrées. Le fonctionnement Serveur-Serveur ► LDUP (LD Update P)
Le modèle d’information (1) ► modèle objet ► Objets = ensemble de valeurs ► A une valeur est associé un type d’ attribut : définit la syntaxe. ► Classe d’objets (notion d’héritage) ► OID identifient les attributs, syntaxes et classes d’objets. ► Liste des attributs = RFC2252 & RFC2256
Le modèle d’information (2)
Le modèle de désignation (1) ► Arborescence hiérarchique (DIT) ► définit comment sont organisées les entrées de l’annuaire et comment elles sont référencées. ► l’identification d’une entrée se fait à l’aide d’un nom absolu, le Distinguish Name (DN) unique. ► DN divisé en Noms relatifs (RDN)
Le modèle de désignation (2) Exemple de DIT
Modèle des services (1) Définit les fonctions offertes : ► la connexion, déconnexion ► la notification (de déconnexion) ► la mise à jour ► les services annexes (abandon d'une opération en cours, extensions) Offre des fonctions de recherche avancée
Modèle des services (2)
Modèle de sécurité Le modèle définit les méthodes : ► d'authentification ► d'intégrité des informations échangées ► de confidentialité ► d'habilitations (accès lecture/écriture).
Sommaire Définitions et Concepts Historique Modèles Applications concrètes Conclusion
DEN : Directory Enabled Networking ► Initiative de Microsoft et Cisco en 1997 ► Partage d’informations dans un annuaire entre éléments réseaux ► Permet QoS et facilité d’administration du réseau
DEN Server Cache LDAP Policy Engine Security Addresses RADIUS DNS/DHCP LDAP LDAP Distributed Policy Enforcement Intelligent Infrastructure Central Policy Repository Services and SLAs User and Devices Profiles and Policies Policy Engine QoS LDAP
Microsoft Active Directory ► LDAP propriétaire mais : ► Lisible par tout client LDAP ► Par contre la création d’objets doit passer par les interfaces fournies (LDIFDE) ► Nécessite connaissance de l’arborescence propriétaire (attributs obligatoires non normalisés).
Novell NDS NDS est un annuaire généraliste décliné en deux versions : ► NDS eDirectory dédié aux applications Internet et aux extranets ► NDS Corporate Edition dédié aux intranet. Particularité de NDS : ► il fonctionne en environnement Netware ou windwsNT ou Solaris ► il supporte LDAP v.3 ► il offre un outil permettant d'importer et d'exporter des données au format LDIF
Commerce électronique ► Partage des profils utilisateurs grâce à LDAP ► Une base pour plusieurs sites ► Différents logiciels : SUN : iPlanet E-Commerce Solutions Microsoft : SiteServer Commerce Edition IBM : WebSphere Commerce Suite Oblix : Oblix E-Business BroadVision : BroadVision One-to-On
Certificats X509 Infrastructure à clés publiques (PKI) ► authentifier des utilisateurs et des services ► gérer des habilitations Certificats : ► authentification, ► signature et chiffrement des données outil basé sur un standard accessible de différentes plateformes et permettant de stocker ces certificats, de rechercher… iPlanet de Sun, NDS de Novell, SecureWay Directory d'IBM
SSO : Single Sign On ► Une seule authentification permet l’accès à différentes applications. ► Nécessite un Policy Server. ► SiteMinder de Netegrity, getAccess de enCommerce.
Meta-annuaire ► Référentiel unique de plusieurs applications hétérogènes ► basé soit sur la réplication des données ► soit sur un annuaire virtuel
API disponibles ► API C : #include ► API C : #include ► API Java : import javax.naming.*; Netscape JNDI (Java Naming and Directory Interfaces) ► ADSI (Active Directory Service Interface) C, C++, VB, VBScript, JavaScript, VBA, ASP
LDIF ► LDAP Data Interchange Format ► Permet l'ajout, la suppression et la modification des données de l'annuaire
Conclusion ► Futur == Meta-annuaires ► Un lien très intéressant (JRES 2003)
Place aux questions…