OpenLdap et gestion centralisée des utilisateurs

permalink · 22/05/2006, 16h40

Bonjour,

Je cherche à installer openldap pour réaliser une gestion centralisée(et sécurisée) des utilisateurs de mon lan. J'ai vu de nombreux tutoriaux, mais tous tellement différents que je ne sais plus ce qui est essentiel de ce qui ne l'est pas : sasl, kerberos, etc... Et je ne comprends pas toujours comment les différentes briques s'imbriquent entre elles.

1) Est-ce que quelqu'un connait un tuto (c'est bien les tuto),
2) qui explique ce qu'on fait et ne se contente pas de donner les apt-get qui vont bien (c'est mieux) ?

a+,

Christophe.

permalink · 22/05/2006, 23h20

Christophe BOURGEOIS wrote:

> Bonjour,
>
> Je cherche à installer openldap pour réaliser une gestion centralisée (et
> sécurisée) des utilisateurs de mon lan. J'ai vu de nombreux tutoriaux,
> mais tous tellement différents que je ne sais plus ce qui est essentiel de
> ce qui ne l'est pas : sasl, kerberos, etc... Et je ne comprends pas
> toujours comment les différentes briques s'imbriquent entre elles.
>
> 1) Est-ce que quelqu'un connait un tuto (c'est bien les tuto),
> 2) qui explique ce qu'on fait et ne se contente pas de donner les apt-get
> qui vont bien (c'est mieux) ?
>
> a+,
>
> Christophe.
J'ai le même problème, je suis preneur ...

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

permalink · 23/05/2006, 09h00

Le Tuesday 23 May 2006 00:11, CONANGLE Frédéric(CONANGLE Frédéric
<fconangl@yahoo.fr>) a écrit:

> > Bonjour,

Bonjour,
J'ai loupé le premier mail, je réponds là.
Je ne connais pas grand chose. D'après ce que j'ai compris :

> > Je cherche à installer openldap pour réaliser une gestion
> > centralisée (et sécurisée) des utilisateurs de mon lan. J'ai vu
> > de nombreux tutoriaux, mais tous tellement différents que je ne
> > sais plus ce qui est essentiel de ce qui ne l'est pas :

Dans le cas de l'installation d'un LDAP *propre*, il est important
de définir le schéma *correctement* en fonction votre
l'organigramme ; cela vous évitera de retoucher à l'essentiel à
chaque fois vous voulez faire l'évoluer. Après pour
la technique c'est simple. On trouve plein de tuto (plus ou moins
complet sur le Net...).

Pour revenir à LDAP, c'est une grosse (petite) base de données
stockant l'ensemble d'informations sur un objet
(login/password/groupe/clé privée etc... dans le cas d'un
utilisateur) et utilisant une protocole définie pour les échanges
avec le reste du monde !

> > sasl

Encore une fois, d'après ce que *j'ai* *compris* :
sasl se place entre l'application et le serveur LDAP. C'est une
librairie qui permet de switcher le backend d'authentification sans
toucher l'appli (un peu comme PAM) : Vous pouvez mettre en place par
exemple un serveur Imap avec une authentification sasl : les
logins/password peuvent être définis dans un fichier texte, puis si
vous voulez passer à LDAP (ou une base mysql ou /etc/passwd), il
faut juste modifier la config de SASL....
Du coup, c'est plus facile pour les développeurs : ils n'ont qu'à se
baser sur des librairies (et ne s'occupent que du coeur de leur
l'appli) et les admins. peuvent switcher le backend
d'authentifcation de façon transparente!

> > kerberos, etc...

Kerberos est une solution tout en 1 : le permet de stocker les
comptes/password des utilisateurs, fournit une API (GSSAPI?)
permettant aux applis de déporter l'authentification et enfin,
permet de faire du SSO.

> > Et je ne comprends pas toujours comment les
> > différentes briques s'imbriquent entre elles.

En gros (je vais prendre le cas d'un domaine Windows. C'est pas le
meilleur, mais, bon je *pense* IIS6 ne peut pas accèder à serveur
LDAP autre qu'AD)

- Les comptes utilisateurs/password/groups sont stockés dans l'AD
(serveur LDAP à la sauce Microsoft).

- Lorsque vous vous loggez sur le domaine, l'authentification se
fait à travers un Kerberos(à la sauce Microsoft). Vous obtenez un
token !

- Vous allez avec IE sur une application hébergée par un IIS qui est
dans le même domaine AD, avec une authentification NTLM. Vous n'avez
pas de retaper votre mot de passe.

- Vos utilisateurs peuvent récupérer leur mails par Cyrus-IMPA qui
peut attaquer AD (à travers de SASL) pour l'authentification!

- Votre application APACHE/PHP peut utiliser AD à travers
mod-auth-imap (ou le module ldap de php) pour s'autentifier !

> > 1) Est-ce que quelqu'un connait un tuto (c'est bien les tuto),

Heu... non, mais je suis preneur !

> > 2) qui explique ce qu'on fait et ne se contente pas de donner
> > les apt-get qui vont bien (c'est mieux) ?

Pour la mise en place d'un serveur LDAP, je pense qu'il y a une
analyse fonctionnelle de votre organisation. Vous aurez du mal à
trouvez un tuto sur ce point...

J'espère que n'ai pas raconté trop de conneries...

A+

--
Glennie
"D'abord ils vous ignorent, ensuite ils vous raillent, ensuite ils
vous combattent et, enfin, vous gagnez"

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.3 (GNU/Linux)

iQEVAwUARHK9KdHiioqkksXaAQK6JQf/fKI8VP4v1oKHJOcYW+qfAYzBbBNMUUcm
3z4w22AaqiMufr70o+Pmt1L2sqJ/6DoViHQgL/jRxnaLAXMWo+3bt1diqaZf/SQh
vBuol3u721Q5K0Thi6Bzio61fqHRoJMgm8jPDpmWZZTALkxv1I vcF6cJVgFDCs7w
dRAp4/vUfl9Ko83Gh/Kc1s3b/inBvezupU2I3vx4+MMg8rv22sHCRMzgZUqfeniz
4507kUcXOIuM2zunAZ4kn3FzsZknveq/PwTizVRmQDw4mRH++mZI0eJoY8Cc7odr
MmamqcS0T/E+2vJ8MquE16lMXGYKFTStNuUPeNKdREWAlMEvIv2+Ag==
=zVDn
-----END PGP SIGNATURE-----

22/05/2006, 16h40	#1 (permalink)
Christophe BOURGEOIS Messages: n/a Hébergeur:	OpenLdap et gestion centralisée des utilisateurs Bonjour, Je cherche à installer openldap pour réaliser une gestion centralisée(et sécurisée) des utilisateurs de mon lan. J'ai vu de nombreux tutoriaux, mais tous tellement différents que je ne sais plus ce qui est essentiel de ce qui ne l'est pas : sasl, kerberos, etc... Et je ne comprends pas toujours comment les différentes briques s'imbriquent entre elles. 1) Est-ce que quelqu'un connait un tuto (c'est bien les tuto), 2) qui explique ce qu'on fait et ne se contente pas de donner les apt-get qui vont bien (c'est mieux) ? a+, Christophe.

22/05/2006, 23h20	#2 (permalink)
CONANGLE Frédéric Messages: n/a Hébergeur:	Re: OpenLdap et gestion centralisée des utilisateurs Christophe BOURGEOIS wrote: > Bonjour, > > Je cherche à installer openldap pour réaliser une gestion centralisée (et > sécurisée) des utilisateurs de mon lan. J'ai vu de nombreux tutoriaux, > mais tous tellement différents que je ne sais plus ce qui est essentiel de > ce qui ne l'est pas : sasl, kerberos, etc... Et je ne comprends pas > toujours comment les différentes briques s'imbriquent entre elles. > > 1) Est-ce que quelqu'un connait un tuto (c'est bien les tuto), > 2) qui explique ce qu'on fait et ne se contente pas de donner les apt-get > qui vont bien (c'est mieux) ? > > a+, > > Christophe. J'ai le même problème, je suis preneur ... -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

23/05/2006, 09h00	#3 (permalink)
Glennie Vignarajah Messages: n/a Hébergeur:	Re: OpenLdap et gestion centralisée des utilisateurs Le Tuesday 23 May 2006 00:11, CONANGLE Frédéric(CONANGLE Frédéric <fconangl@yahoo.fr>) a écrit: > > Bonjour, Bonjour, J'ai loupé le premier mail, je réponds là. Je ne connais pas grand chose. D'après ce que j'ai compris : > > Je cherche à installer openldap pour réaliser une gestion > > centralisée (et sécurisée) des utilisateurs de mon lan. J'ai vu > > de nombreux tutoriaux, mais tous tellement différents que je ne > > sais plus ce qui est essentiel de ce qui ne l'est pas : Dans le cas de l'installation d'un LDAP propre, il est important de définir le schéma correctement en fonction votre l'organigramme ; cela vous évitera de retoucher à l'essentiel à chaque fois vous voulez faire l'évoluer. Après pour la technique c'est simple. On trouve plein de tuto (plus ou moins complet sur le Net...). Pour revenir à LDAP, c'est une grosse (petite) base de données stockant l'ensemble d'informations sur un objet (login/password/groupe/clé privée etc... dans le cas d'un utilisateur) et utilisant une protocole définie pour les échanges avec le reste du monde ! > > sasl Encore une fois, d'après ce que j'ai compris : sasl se place entre l'application et le serveur LDAP. C'est une librairie qui permet de switcher le backend d'authentification sans toucher l'appli (un peu comme PAM) : Vous pouvez mettre en place par exemple un serveur Imap avec une authentification sasl : les logins/password peuvent être définis dans un fichier texte, puis si vous voulez passer à LDAP (ou une base mysql ou /etc/passwd), il faut juste modifier la config de SASL.... Du coup, c'est plus facile pour les développeurs : ils n'ont qu'à se baser sur des librairies (et ne s'occupent que du coeur de leur l'appli) et les admins. peuvent switcher le backend d'authentifcation de façon transparente! > > kerberos, etc... Kerberos est une solution tout en 1 : le permet de stocker les comptes/password des utilisateurs, fournit une API (GSSAPI?) permettant aux applis de déporter l'authentification et enfin, permet de faire du SSO. > > Et je ne comprends pas toujours comment les > > différentes briques s'imbriquent entre elles. En gros (je vais prendre le cas d'un domaine Windows. C'est pas le meilleur, mais, bon je pense IIS6 ne peut pas accèder à serveur LDAP autre qu'AD) - Les comptes utilisateurs/password/groups sont stockés dans l'AD (serveur LDAP à la sauce Microsoft). - Lorsque vous vous loggez sur le domaine, l'authentification se fait à travers un Kerberos(à la sauce Microsoft). Vous obtenez un token ! - Vous allez avec IE sur une application hébergée par un IIS qui est dans le même domaine AD, avec une authentification NTLM. Vous n'avez pas de retaper votre mot de passe. - Vos utilisateurs peuvent récupérer leur mails par Cyrus-IMPA qui peut attaquer AD (à travers de SASL) pour l'authentification! - Votre application APACHE/PHP peut utiliser AD à travers mod-auth-imap (ou le module ldap de php) pour s'autentifier ! > > 1) Est-ce que quelqu'un connait un tuto (c'est bien les tuto), Heu... non, mais je suis preneur ! > > 2) qui explique ce qu'on fait et ne se contente pas de donner > > les apt-get qui vont bien (c'est mieux) ? Pour la mise en place d'un serveur LDAP, je pense qu'il y a une analyse fonctionnelle de votre organisation. Vous aurez du mal à trouvez un tuto sur ce point... J'espère que n'ai pas raconté trop de conneries... A+ -- Glennie "D'abord ils vous ignorent, ensuite ils vous raillent, ensuite ils vous combattent et, enfin, vous gagnez" -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.3 (GNU/Linux) iQEVAwUARHK9KdHiioqkksXaAQK6JQf/fKI8VP4v1oKHJOcYW+qfAYzBbBNMUUcm 3z4w22AaqiMufr70o+Pmt1L2sqJ/6DoViHQgL/jRxnaLAXMWo+3bt1diqaZf/SQh vBuol3u721Q5K0Thi6Bzio61fqHRoJMgm8jPDpmWZZTALkxv1I vcF6cJVgFDCs7w dRAp4/vUfl9Ko83Gh/Kc1s3b/inBvezupU2I3vx4+MMg8rv22sHCRMzgZUqfeniz 4507kUcXOIuM2zunAZ4kn3FzsZknveq/PwTizVRmQDw4mRH++mZI0eJoY8Cc7odr MmamqcS0T/E+2vJ8MquE16lMXGYKFTStNuUPeNKdREWAlMEvIv2+Ag== =zVDn -----END PGP SIGNATURE-----

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email