Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
Publié parCôme Beausoleil Modifié depuis plus de 8 années
1
INSTITUT NATIONAL DE RECHERCHE PÉDAGOGIQUE 389 Directory Server Symbiose des référentiels utilisateur avec 389 Directory Server et Active Directory dans un contexte de fédération d'identités Nicolas Carel Chef du Service Commun Informatique Hugo Étiévant Ingénieur système et réseau membre associé de
2
INSTITUT NATIONAL DE RECHERCHE PÉDAGOGIQUE Nicolas Carel, Hugo ÉtiévantJRES 2009 - 389 Directory Server2 Plan Présentation et contexte Choix d'un annuaire Atouts de 389-DS Haute disponibilité Retour d'expérience Conclusion
3
INSTITUT NATIONAL DE RECHERCHE PÉDAGOGIQUE Nicolas Carel, Hugo ÉtiévantJRES 2009 - 389 Directory Server3 Les missions de l'INRP Recherche en sciences de l'éducation Diffusion et valorisation des résultats de la recherche (Veille scientifique, Publications) Expertise (contrats européens Nesse, Europep, EERQI) Formation de formateurs Histoire et patrimoine de l'éducation
4
INSTITUT NATIONAL DE RECHERCHE PÉDAGOGIQUE Nicolas Carel, Hugo ÉtiévantJRES 2009 - 389 Directory Server4 Contexte technique 2004 : Premiers pas avec OpenLDAP, des échecs... 2006 : Mise en route de 389 DS pour eduroam 2007 : Vers Shibboleth - projet de Système d'information documentaire (SID) avec l'ENS-LSH 2009 : Phase de réalisation
5
INSTITUT NATIONAL DE RECHERCHE PÉDAGOGIQUE Nicolas Carel, Hugo ÉtiévantJRES 2009 - 389 Directory Server5 Question de choix Contraintes Fonctionnalités Hypothèses
6
INSTITUT NATIONAL DE RECHERCHE PÉDAGOGIQUE Nicolas Carel, Hugo ÉtiévantJRES 2009 - 389 Directory Server6 Nos contraintes L'existant Un compte par application Des mauvaises habitudes... Quelle transition ? La sécurité !
7
INSTITUT NATIONAL DE RECHERCHE PÉDAGOGIQUE Nicolas Carel, Hugo ÉtiévantJRES 2009 - 389 Directory Server7 Comparatif fonctionnel (1)
8
INSTITUT NATIONAL DE RECHERCHE PÉDAGOGIQUE Nicolas Carel, Hugo ÉtiévantJRES 2009 - 389 Directory Server8 Comparatif fonctionnel (2)
9
INSTITUT NATIONAL DE RECHERCHE PÉDAGOGIQUE Nicolas Carel, Hugo ÉtiévantJRES 2009 - 389 Directory Server9 Scénarii OpenLDAP + Samba Active Directory seul OpenLDAP + Active Directory 389 DS + Active Directory
10
INSTITUT NATIONAL DE RECHERCHE PÉDAGOGIQUE Nicolas Carel, Hugo ÉtiévantJRES 2009 - 389 Directory Server10 Atouts de 389-DS Console de gestion graphique (GUI) Réplication multi-maîtres (MMR) Synchronisation avec l'AD (PassSync) Contrôles d'accès (ACI) Sécurité des connexions (SSL)
11
INSTITUT NATIONAL DE RECHERCHE PÉDAGOGIQUE Nicolas Carel, Hugo ÉtiévantJRES 2009 - 389 Directory Server11 Director y Serve r Serveu r Architecture générale Fedora IDM Console configure serveur (HTTP) (LDAP) gère les utilisateurs Admi n Serve r pilote (LDAP) Client LDAP requête (LDAP)
12
INSTITUT NATIONAL DE RECHERCHE PÉDAGOGIQUE Nicolas Carel, Hugo ÉtiévantJRES 2009 - 389 Directory Server12 Connexion GUI Console multi- plateforme (Java) Toute fonction accessible – Sauf quelques limitations : Réplication de la configuration
13
INSTITUT NATIONAL DE RECHERCHE PÉDAGOGIQUE Nicolas Carel, Hugo ÉtiévantJRES 2009 - 389 Directory Server13 Liste des DS et des AS
14
INSTITUT NATIONAL DE RECHERCHE PÉDAGOGIQUE Nicolas Carel, Hugo ÉtiévantJRES 2009 - 389 Directory Server14 Console du DS Tâches systèmes Fichiers de log
15
INSTITUT NATIONAL DE RECHERCHE PÉDAGOGIQUE Nicolas Carel, Hugo ÉtiévantJRES 2009 - 389 Directory Server15 Gestion des comptes
16
INSTITUT NATIONAL DE RECHERCHE PÉDAGOGIQUE Nicolas Carel, Hugo ÉtiévantJRES 2009 - 389 Directory Server16 Attributs Windows
17
INSTITUT NATIONAL DE RECHERCHE PÉDAGOGIQUE Nicolas Carel, Hugo ÉtiévantJRES 2009 - 389 Directory Server17 Réplication des DS Serveur fournisseur A Base de données id=1 Serveur consommateur B Base de données répliquée id=2 Réplication Accord de réplication entre A et B cn=Replication Manager Accord de réplication entre B et A cn=Replication Manager multi-maîtres
18
INSTITUT NATIONAL DE RECHERCHE PÉDAGOGIQUE Nicolas Carel, Hugo ÉtiévantJRES 2009 - 389 Directory Server18 Réplication des DS 3 nœuds maîtres 4 nœuds maîtres
19
INSTITUT NATIONAL DE RECHERCHE PÉDAGOGIQUE Nicolas Carel, Hugo ÉtiévantJRES 2009 - 389 Directory Server19 Synchronisation avec AD Synchronisation Fedora 8 Windows 2003 Server PassSync ADCertIISDNS Directory Server cn=Replication Manager INRP\Replication Manager Accord de synchronisation tunnel chiffréSSL CertAdmin Server Contrôleur de domaine389 DS id= 1
20
INSTITUT NATIONAL DE RECHERCHE PÉDAGOGIQUE Nicolas Carel, Hugo ÉtiévantJRES 2009 - 389 Directory Server20 ACI
21
INSTITUT NATIONAL DE RECHERCHE PÉDAGOGIQUE Nicolas Carel, Hugo ÉtiévantJRES 2009 - 389 Directory Server21 ldap2.inrp.fr Direc tory Ser ver Ad min Ser ver LDAP S ldap1.inrp.fr Sécurité SSL totale Client LDAP Ad min Ser ver Direc tory Ser ver ad.inrp.fr PassSy nc AD Fedora IDM Console MMR/SSL sync/SS L LDAP S HTTP S LDAP S Pilotage DS-AS (LDAPS) Réplication entre nœuds 389 DS (MMRP /SSL) Accès console (HTTPS) Accès client (LDAPS) Synchronisation AD (PassSync /SSL)
22
INSTITUT NATIONAL DE RECHERCHE PÉDAGOGIQUE Nicolas Carel, Hugo ÉtiévantJRES 2009 - 389 Directory Server22 Haute disponibilité (config) Réplication de la configuration – Administration depuis n'importe quel nœud – Temps réel En cas de panne – Remise à niveau d'un nœud sans intervention au démarrage du service
23
INSTITUT NATIONAL DE RECHERCHE PÉDAGOGIQUE Nicolas Carel, Hugo ÉtiévantJRES 2009 - 389 Directory Server23 Haute disponibilité (données) Configuration des clients LDAP – Liste de plusieurs serveurs – TIMELIMIT court pour bascule rapide URI ldaps://ldap1.inrp.fr:636 ldaps://ldap2.inrp.fr:636 BASE ou=People,dc=inrp,dc=fr LDAP_VERSION 3 TIMELIMIT 5 BIND_TIMELIMIT 5 IDLE_TIMELIMIT 3600 $hosts = array( "ldaps://ldap1.inrp.fr:636", "ldaps://ldap2.inrp.fr:636"); foreach($hosts as $uri) { $ds = ldap_connect($uri); if($ds) break; }
24
INSTITUT NATIONAL DE RECHERCHE PÉDAGOGIQUE Nicolas Carel, Hugo ÉtiévantJRES 2009 - 389 Directory Server24 Haute disponibilité (CheckPoint)
25
INSTITUT NATIONAL DE RECHERCHE PÉDAGOGIQUE Nicolas Carel, Hugo ÉtiévantJRES 2009 - 389 Directory Server25 Retour d'expérience (+) Opérations à chaud : pas de redémarrage – Sauf exceptions (activation de SSL) GUI : Simplicité, meilleur productivité Ouverture des accès admin à d'avantage de personnes, coût de formation moins élevé Interopérabilité Windows Pas de conflits de réplication Excellent temps de réponse Pas de surcharge réseau
26
INSTITUT NATIONAL DE RECHERCHE PÉDAGOGIQUE Nicolas Carel, Hugo ÉtiévantJRES 2009 - 389 Directory Server26 Retour d'expérience (-) Pas de failover sur la synchro AD (v1.1.2) – Risque de doublons si multiples accords de synchro entre 389 DS et AD Synchro AD : CommonName AD prioritaire (Se corrige par une ACI)
27
INSTITUT NATIONAL DE RECHERCHE PÉDAGOGIQUE Nicolas Carel, Hugo ÉtiévantJRES 2009 - 389 Directory Server27 Conclusion Bénéfices – Un socle technique efficace – Porte de l'interopérabilité Attentes – Montées en version – Passage à supann 2008 – Des voies à explorer Haute disponibilité des SSO
28
INSTITUT NATIONAL DE RECHERCHE PÉDAGOGIQUE Nicolas Carel, Hugo ÉtiévantJRES 2009 - 389 Directory Server28 Questions/réponses
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.