Académique Documents
Professionnel Documents
Culture Documents
Laurent Mirtain
C. Claveleira, C. Gross
Journes LDAP - 27 et 28 septembre 2000
Plan
Concepts
Dployer un service LDAP
Les logiciels serveurs
Les clients LDAP
Les outils de dveloppement
Les applications de LDAP aujourdhui et demain
Bibliographie
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 2
Concepts
Concepts
Quest-ce quun annuaire ?
Historique
LDAP
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 3
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 4
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 5
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 6
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 7
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 8
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 9
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 10
Concepts : historique
Historiquement sont apparus :
Bases de comptes de systmes multi-utilisateurs (70-80)
Unix /etc/passwd,
IBM MVS PROFS
...
Grapevine (Xerox, dbut 80)
Internet Domain Name System (84)
service de nommage rseau
spcifique mais efficace
WHOIS
bases de contacts
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 11
Concepts : historique
Les annuaires ddis aux applications
Lotus cc:Mail, Notes
Unix sendmail /etc/aliases
Microsoft Exchange
Les annuaires Internet (offrent de plus en plus un accs LDAP)
Bigfoot, Yahoos Four11, AnyWho (AT&T), Schwitboard
Les annuaires systme-rseau (NOS)
Sun NIS, NIS+
Novell NetWare Directory Service (93) (proche dX500)
Microsoft Active Directory (natif LDAP)
Les annuaires multi-usage
X.500 (88-93-97)
WHOIS++ (93)
CSO (PH)
LDAP (93)
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 12
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 13
Master DSA2
DSP
(Directory System
Protocol)
DAP
(Directory
Access Protocol)
DAP
DUA1
(Directory User Agent)
DISP
(Directory Information
Shadowing Protocol)
DAP
Shadow DSA1
DUA2
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 14
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 15
Dfauts dX500 :
implmentations (trs) lourdes, bugges et difficilement interoprables, bas sur les
protocoles ISO, contraire la culture internet
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 16
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 17
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 18
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 19
Concepts : LDAP
Concepts
Quest-ce quun annuaire ?
Historique
LDAP
Protocole
Modle dinformation
Modle de nommage
Modle fonctionnel
Modle de scurit
Modle de duplication
APIs
LDIF
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 20
Concepts : LDAP
LDAP dfinit :
le protocole daccs -- comment accder linformation contenue
dans lannuaire,
un modle dinformation -- le type dinformations contenues dans lannuaire,
un modle de nommage -- comment linformation est organise et rfrence,
un modle fonctionnel -- comment on accde et met jour linformation,
un modle de scurit -- comment donnes et accs sont protgs,
un modle de duplication -- comment la base est rpartie entre serveurs,
des API -- pour dvelopper des applications clientes,
LDIF -- un format dchange de donnes.
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 21
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 22
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 23
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 24
1. connexion et authentification
2. rsultat authentification
3. recherche
4. rponse entre #1
5. rponse entre #2
Client LDAP
6. message de rsultat
7. abandon session
Serveur LDAP
8. dconnexion
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 25
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 26
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 27
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 28
type dattribut
valeur dattribut
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 29
syntaxe LDAP
syntaxe X.500
description
cis
caseIgnoreMatch
ces
caseExactMach
tel
telephoneNumberMatch
int
integerMatch
dn
distinguishedNameMatch
bin
octetStringMatch
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 30
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 31
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 32
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 33
organizationalUnit
person
organizationalPerson
inetOrgPerson
Chaque objet hrite des proprits (attributs) de lobjet dont il est le fils.
On prcise la classe dobjet dune entre laide de lattribut objectClass.
Il faut obligatoirement indiquer la parent de la classe dobjet en partant de lobjet
top et en passant par chaque anctre de lobjet.
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 34
top
person
organizationalPerson
inetOrgPerson
Lobjet person a comme attributs : commonName, surname, description, seeAlso, telephoneNumber, userPassword
Lobjet fils organizationalPerson ajoute des attributs comme : organizationUnitName, title,
postalAddress...
Lobjet petit-fils inetOrgPerson lui rajoute des attributs comme : mail, labeledURI, uid
(userID), photo...
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 35
Required Attributes
Optional Attributes
inetOrgPerson
(defines entries for a person)
commonName (cn)
surname (sn)
objectClass
businessCategory
carLicense
departmentNumber
description
employeeNumber
facsimileTelephone
Number
givenName
mail
manager
mobile
organizationalUnit (ou)
pager
postalAddress
roomNumber
secretary
seeAlso
telephoneNumber
title
labeledURI
uid
organizationalUnit
(defines entries for organizational units)
ou
objectClass
businessCategory
description
facsimileTelephoneNumber
location (l)
postalAddress
seeAlso
telephoneNumber
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 36
Un OID est une squence de nombres entiers spars par des points.
Les OIDs sont allous de manire hirarchique :
seule, lautorit qui a dlgation sur la hirarchie 1.2.3 peut dfinir la signification
de lobjet 1.2.3.4 . Par exemple :
2.5
2.5.4
2.5.6
1.3.6.1
1.3.6.1.4.1
1.3.6.1.4.1.4203
1.3.6.1.4.1.7135
CRU-UREC
Journes LDAP-27-28/9/00-Paris- 37
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 38
objectclass person
oid 2.5.6.6
superior top
requires
sn,
cn
allows
description,
seeAlso,
telephoneNumber,
userPassword
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 39
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 40
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 41
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 42
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 43
personnes
organisation
organisation
organisation
user1
services
organisation
organisation
organisation
service1
salles runions
organisation
organisation
organisation
salle1
Chaque nud de larbre correspond une entre de lannuaire ou directory specific entry (DSE).
Au sommet de larbre se trouve lentre Suffix ou Root Entry ou BaseDN,
qui caractrise une base LDAP.
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 44
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 45
ou=people
uid=jsmith
ou=countries
uid=sjones
ou=groups
cn=staff
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 46
o=acme.com
Serveur LDAP 1
Serveur LDAP 2
te.
Lattribut ref de lobjet referral a pour valeur lURL LDAP de lentre dsigne.
Les referrals sont traits au niveau du serveur en LDAP V2, par le client en V3
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 47
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 48
base object
scope
la profondeur de la recherche
derefAliases
size limit
time limit
attrOnly
search filter
le filtre de recherche
list of attributes
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 49
o=WorldCompany
ou=countries
o=WorldCompany
ou=countries
o=WorldCompany
ou=countries
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 50
(cn=Norbert Durand)
galit
(cn=*Mart*)
sous-chane
(cn~=martin)
approximation
(employeenumber>=100)
comparaison
(sn=*)
existance
(&(sn=Durand)(l=paris))
ET
(|(ou=gens)(ou=groupes))
OU
(!(tel=*))
NON
Ex :
(&(objectclass=inetOrgPerson)(!(mail=*)))Toutes les entres de type utilisateur
sans adresse mail
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 51
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 52
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 53
o=WorlCompany
ou=people
ou=guests
ou=guests
uid=john
o=WorlCompany
ou=people
dn: uid=jsmith,ou=people,o=WorlCompany
uid=john
uid=jsmith
dn: uid=john,ou=people,o=WorlCompany
dn: uid=john,ou=people,o=WorlCompany
uid=john
uid=jsmith
o=WorlCompany
uid=jsmith
ou=guests
dn: uid=jsmith,ou=people,o=WorlCompany
uid=jsmith
ou=people
ou=people
ou=guests
uid=jsmith
o=WorlCompany
ou=guests
o=WorlCompany
ou=people
ou=guests
o=WorlCompany
ou=people
uid=jsmith uid=jsmith
ou=guests
o=WorlCompany
ou=people
ou=guests
uid=john
dn: uid=jsmith,ou=people,o=WorlCompany
dn: uid=jsmith,ou=people,o=WorlCompany
dn: uid=jsmith,ou=guests,o=WorlCompany
dn: uid=john,ou=guests,o=WorlCompany
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 54
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 55
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 56
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 57
Client LDAP
LDAP
Serveur LDAP
SASL
plug-in
CRU-UREC
SASL
plug-in
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 58
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 59
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 60
<comment>
<qui>
Read
Write
Search
Compare
Selfwrite
Add
Delete
Tout le monde
Un utilisateur
Un groupe dutilisateur
Une machine
Exemple openldap :
access to * by self write
by * read
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 61
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 62
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 63
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 64
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 65
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 66
LDAP : APIs
Ces bibliothques de programmation permettent de crer des applications annuaire-compatibles.
Les APIs disponibles actuellement :
U-M LDAP SDK -- C (UMICH, OpenLDAP)
Innosoft LDAP Client SDK (ILC-SDK) -- C (InnoSoft)
Netscape Directory SDK -- Java, C (Netscape)
PerLDAP Modules -- Perl (Netscape)
Net- LDAPapi -- PERL (GNU)
Java Naming and Directory Interface (JUNI) -- Java (SUN)
Active Directory Service Interface (ADSI) -- COM (Microsoft)
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 67
LDAP : LDIF
LDAP Data Interchange Format (LDIF) est le standard de reprsentation des entres sous forme texte.
Utilis pour afficher ou modifier les donnes de la base suivant deux
modes :
faire des imports/exports de base,
faire des modifications sur des entres.
Le format utilis est lASCII. Toute valeur dattribut ou tout DN qui nest
pas ASCII, est cod en base 64.
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 68
LDAP : LDIF
Mode import
La forme gnrale est :
dn: <distinguished name>
objectClass: <object class>
objectClass: <object class>
[...]
attribute type:<attribute value>
attribute type:<attribute value>
[...]
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 69
LDAP : LDIF
Mode modification
La forme gnrale est :
dn: distinguished name
changetype identifier
change operation identifier
list of attributes...
change operation identifier
list of attributes ...
Le caractre - spcifie le sparateur entre 2 instructions
Pour
Pour
Pour
Pour
crer un
dtruire
renommer
modifier
nouvel enregistrement
un enregistrement
une entre
un enregistrement
changetype:
changetype:
changetype:
changetype:
add
delete
modrdn
modify
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 70
LDAP : LDIF
Exemple :
Ajouter le numro de tlphone et le nom du manager pour la personne Lisa Jangles.
dn: cn=Lisa Jangles, ou=Sales, o=Ace Industry, c=US
changetype: modify
add: telephonenumber
telephonenumber: (408) 555-2468
add: manager
manager: cn=Harry Cruise, ou=Manufacturing, o=Ace Industry, c=US
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 71
LDAP : LDIF
Le format utilis dans LDIF est lASCII.
Toute donne non ASCII doit tre encod en base 64. Dans ce cas le sparateur entre le type et la valeur de lattribut est :: .
jpegPhoto:: /9j/4AAQSkZJRgABAQAAAQABAAD//gBHQ1JFQVRPUjogWFYgVmVyc2lvbiAzLjEwI
CBSZXY6IDEyLzE2Lzk0ICBRdWFsaXR5ID0gNzUsIFNtb290aGluZyA9IDAK/9sAQwAIBgYHBgUIB
wcHCQkICgwUDQwLCwwZEhMPFB0aHx4dGhwcICQuJyAiLCMcHCg3KSwwMTQ0NB8nOT04MjwuMzQy/
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 72
ldap://ldap.netscape.com/ou=Sales,o=Netscape,c=US
ldap://ldap.worldcompany.com/cn=John%20Smith,ou=people,o=worldcompany
ldap://ldap.worldcompany.com/o=worldcompany?mail,uid?sub?(sn=Smith)
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 73
Dploiement
Dployer un service dannuaire LDAP, cest rflchir :
la nature des donnes que lon y met,
la manire dont on les rcupre,
lutilisation que lon compte en faire,
la faon de grer le tout.
La mise en place dun annuaire LDAP met donc en jeu plusieurs phases
de conception que lon va passer en revue.
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 74
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 75
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 76
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 77
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 78
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 79
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 80
o=cnrs
l=Grenoble
o=inria
l=Paris
cn=Claude Dupont
cn=Henri Durand
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 81
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 82
c=us
o=WorldCompany
cn=smith
cn=jones
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 83
ou=R&D
CRU-UREC
c=us
c=us
o=WorldCompany
o=WorldCompany
ou=Ventes
ou=Administration
ou=Nantes
ou=Lyon
ou=Paris
cn=jones
cn=dupont
cn=smith
cn=durand
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 84
c=us
o=WorldCompany
ou=Location
CRU-UREC
ou=Groups
ou=People
Site=Paris
cn=admins
cn=dupont
Site=New York
cn=Mail admins
cn=jones
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 85
l=United States
ou=Sales
l=WDC
l=LA
l=France
ou=Engineering
l=NYC
ou=Engineering
ou=Sales
cn=Mike Smith
cn=Jean Dupont
cn=John Doe
CRU-UREC
ou=R&D
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 86
Longueur du DN.
Problme si lorganisation change.
Dure de recherche augmente.
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 87
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 88
o=world-company.com
utilisation de lattribut Domain Component (dc) dfini par le RFC 2377 :
dc=world-company, dc=com
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 89
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 90
Problmes :
garantir lunicit
viter les changements de DN
donner une information pertinente
prise en compte des clients
Recommendations de lETF : Identification des utilisateurs par leur email
dn = uid=rdupont@world-company.com,ou=people,dc=world-company,dc=com
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 91
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 92
serveur B serveur C
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 93
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 94
ou=New York
ou=LA
subordinate reference
ou=Paris
contexte de nom-
Les knowledge references permettent un serveur de faire suivre les requtes des utilisateurs lorsque lobjet recherch nappartient pas larbre quil gre.
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 95
lentre recherche nappartient pas son arborescence, lui indiquant vers quel
serveur il doit re-formuler sa requte (via un URL LDAP). Le mcanisme de referral est standardis dans le protocole LDAPv3.
Le chanage (chaining) est un mcanisme o cest le serveur qui se charge de
contacter un autre serveur pour le compte du client et lui retourne la rponse. Le
chanage nest pas un standard du protocole LDAP, il est plutt utilis dans les
logiciels X.500.
Le choix entre lune ou lautre mthode dpend essentiellement des fonctionnalits du serveur choisi.
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 96
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 97
Les smart referrals sont stocks dans lattribut ref de lobjet auquel on a
rajout la classe dobjet referral.
Exemple en LDIF :
dn: ou=Paris, dc=world-company, dc=com
objectclass: top
objectclass: organization
objectclass: referral
ou: Sophia
description: Filiale Paris
l: Paris
ref: ldap://ldap.paris.world-company.fr:389/ou=paris
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 98
Le replication service est LE moyen dassurer un service dannuaire fiable, hautement disponible, et performant.
CRU-UREC
Tutorial LDAP
Journes LDAP-27-28/9/00-Paris- 99
Tutorial LDAP
CRU-UREC
Tutorial LDAP
CRU-UREC
Tutorial LDAP
CRU-UREC
Tutorial LDAP
CRU-UREC
Tutorial LDAP
CRU-UREC
Tutorial LDAP
replica server
(read-only)
replica server
(read-only)
updates
modifica-
search
Client LDAP
CRU-UREC
Tutorial LDAP
replica server
(read-only)
updates
search
modifications
Client LDAP
CRU-UREC
Tutorial LDAP
master server
(read-write)
synchro.
modifications
modifications
Client LDAP
CRU-UREC
Tutorial LDAP
CRU-UREC
Tutorial LDAP
...Vrifier que ces ACLs sont bien dans la partie dupliques du DIT ou comment
cest pris en compte par le logiciel.
CRU-UREC
Tutorial LDAP
Attention : le suffix doit toujours tre le mme entre les serveurs replicas.
CRU-UREC
Tutorial LDAP
CRU-UREC
Tutorial LDAP
CRU-UREC
Tutorial LDAP
CRU-UREC
Tutorial LDAP
CRU-UREC
Tutorial LDAP
CRU-UREC
Tutorial LDAP
Attribut
CRU-UREC
Personne
Droit daccs
cn,sn,givenname
tous
administrateur
lecture
lecture/modification
uid
utilisateurs authentifis
administrateur
lecture
lecture/modification
telephoneNumber
tous
propritaire
administrateur
lecture
lecture/modification
lecture/modification
employeeNumber
tous
manager
administrateur
lecture
lecture/modification
lecture/modification
Tutorial LDAP
aci: (target="ldap:///ou=people,dc=world-company,dc=com)
(targetattr="telephonenumber")
(version 3.0;acl "anonymous read-search access";
allow (read,search,compare) (userdnattr="manager");)
rgle pour administrateur
aci: (target="ldap:///dc=world-company,dc=com)
(targetattr="*")
(version 3.0;acl "Admin write access";
allow (write) (userdn="ldap:///cn=Directory Manager");)
rgle pour propritaire
aci: (target="ldap:///ou=people,dc=world-company,dc=com)
(targetattr="telephonenumber||roomnumber||userpassword")
(version 3.0;acl "self write access";
allow (write) (userdn="ldap:///self");)
CRU-UREC
Tutorial LDAP
CRU-UREC
Tutorial LDAP
CRU-UREC
Tutorial LDAP
ACLs sappliquant
tout larbre
dc=world-company,dc=com
ou=people
ou=groups
ACLs sappliquant au
sous-arbre groups
uid=jones
cn=smith
ACLs sappliquant
lentre jones
CRU-UREC
Tutorial LDAP
CRU-UREC
Tutorial LDAP
CRU-UREC
Tutorial LDAP
CRU-UREC
Tutorial LDAP
CRU-UREC
Tutorial LDAP
Logiciels serveurs
Concepts
Dployer un service LDAP
Les logiciels serveurs
Les clients LDAP
Les outils de dveloppement
Les applications de LDAP aujourdhui et demain
Bibliographie
CRU-UREC
Tutorial LDAP
Logiciels serveurs
A cette date, les logiciels les plus connus sont :
OpenLDAP server,
Innosofts Distributed Directory Server,
Netscape Directory Server,
Sun Microsystemss Directory Services,
IBMs DSSeries LDAP Directory,
University of Michigans SLAPD.
CRU-UREC
Tutorial LDAP
Logiciels serveurs
Choisir un logiciel serveur : quelques critres de choix
le prix dachat
les cot de maintenance et de support
ladquation du logiciel avec le type dapplications envisages :
dtermine limportance accorder aux critres dvaluations (performances, nombre dentres supports, niveau de scurisation...)
la facilit de prise en main
ladquation entre son choix de design et les fonctionnalits du logiciel (schma, replication, referral...)
la compatibilit avec le logiciel antrieur (rutilisabilit)
CRU-UREC
Tutorial LDAP
Logiciels serveurs
Choisir un logiciel serveur : quelques critres dvaluation
les fonctionnalits de base
CRU-UREC
Tutorial LDAP
Logiciels serveurs
Choisir un logiciel serveur : quelques critres dvaluation (suite)
Les outils de dveloppement
API
SDK
logiciels clients
la fiabilit
sauvegardes et modifications de configuration chaud
mcanismes de replication multi-master
outils de monitoring
qualit de la base de donnes utilise en cas darrt intempestif
CRU-UREC
Tutorial LDAP
Logiciels serveurs
Choisir un logiciel serveur : quelques critres dvaluation (suite)
performance et volutivit
temps de latence
nombre doprations par seconde
nombre de connexions simultanes
nombre dentres, dattributs et taille supports
nombre de replicas et de partitions supports
benchmark DirectoryMark (http://www.mindcraft.com/benchmarks/dirmark)
scurit
mthodes de contrle daccs
gestion des droits daccs
mthodes dauthentification
chiffrement des transactions, de la duplication
CRU-UREC
Tutorial LDAP
Logiciels serveurs
Choisir un logiciel serveur : quelques critres dvaluation (suite)
conformit aux standards
LDAPv2 core : RFC1777-1779
LDAPv3 core : RFC2251-2256
LDAPv3 extension
LDIF
API
SSL/TLS, certificats X509
schmas standards
standards X.500
interoprabilit
CRU-UREC
Tutorial LDAP
Logiciels serveurs
Choisir un logiciel serveur : valuation
comparer les fonctionnalits
tester les softs sur une base pilote
faire quelques benchmarks
CRU-UREC
Tutorial LDAP
Logiciels clients
Concepts
Dployer un service LDAP
Les logiciels serveurs
Les clients LDAP
Les outils de dveloppement
Les applications de LDAP aujourdhui et demain
Bibliographie
CRU-UREC
Tutorial LDAP
Clients LDAP
Accs natif :
Netscape Communicator
Microsoft Outlook, NetMeeting
Netscape SuiteSpot (les serveurs mail, news, web...)
Oblix (gestionnaire dannuaire)
Navigateur Web : URLs LDAP
U-Mich xaX.500
GQ (GTK-based LDAP client)
LDAP Browser/Editor (Java-based LDAP client)
Applications dveloppes avec un SDK LDAP
CRU-UREC
Tutorial LDAP
Clients LDAP
Appels systmes LDAP
Microsoft Windows NT
NT 5 utilise une base LDAP la place des bases SAM
PADL software :
ypldapd : a gateway between NIS/YP and LDAP
NSS LDAP : Nameservice switch library module
PAM LDAP : Pluggable authentication module
Sun Solaris
NSS : Nameservice switch library module
Linux
Linux Directory Services : projet de remplacement de NIS par LDAP
CRU-UREC
Tutorial LDAP
CRU-UREC
Tutorial LDAP
CRU-UREC
Tutorial LDAP
CRU-UREC
Tutorial LDAP
Tutorial LDAP
Tutorial LDAP
CRU-UREC
Tutorial LDAP
Tutorial LDAP
CRU-UREC
Tutorial LDAP
CRU-UREC
Tutorial LDAP
CRU-UREC
Tutorial LDAP
Tutorial LDAP
Tutorial LDAP
CRU-UREC
Tutorial LDAP
CRU-UREC
Tutorial LDAP
CRU-UREC
Tutorial LDAP
ldapmodify
ldapmodify -h ldap.worldcompany.com -b "o=worldcompany" -D "cn=Directory Manager"
-w "toto"
dn: uid=jsmith, ou=people, o=worldcompany
changetype: modify
replace: roomnumber
roomnumber: C105
add: description
description: newsmaster
delete: title
\n\n
CRU-UREC
Tutorial LDAP
CRU-UREC
Tutorial LDAP
CRU-UREC
Tutorial LDAP
CRU-UREC
Tutorial LDAP
CRU-UREC
Tutorial LDAP
CRU-UREC
Tutorial LDAP
CRU-UREC
Tutorial LDAP
CRU-UREC
Tutorial LDAP
Tutorial LDAP
Netscape Directory Server - synchronisation des bases utilisateurs Windows NT4 avec base LDAP
Netscape SuiteSpot - serveur de Mail, de News, Web utilisant LDAP pour
lauthentification
Cyrus IMAP/POP3 pwcheck_ldap.c - programme externe dauthentification LDAP pour les serveurs IMAP/POP3 de Cyrus.
Apache::AuthLDAP - module dauthentification et de gestion des autorisations daccs au serveur Web Apache via LDAP.
PADL Softwares PAM (Pluggable Authentification Module) & NSS (Name
Service Switch) Modules - authentification/lookup redirigs sur LDAP
sous Solaris et Linux
CRU-UREC
Tutorial LDAP
CRU-UREC
Tutorial LDAP
CRU-UREC
Tutorial LDAP
CRU-UREC
Tutorial LDAP
CRU-UREC
Tutorial LDAP
Futur
apparition des mta-annuaires
intgration des annuaires dans les OS
tendance utiliser LDAP comme un protocol lger daccs des bases de donnes
prdominance de LDAP
des annuaires partout !
CRU-UREC
Tutorial LDAP
Bibliographie
Linuxworld LDAP in action:
http://linuxworld.com/linuxworld/lw-1999-07/lw-07-ldap_1.html
OPenLDAP.org:
http://www.openldap.org
LDAP FAQ:
http://www.critical-angle.com/ldapworld/ldapfaq.html
LDAP Central
http://www.ldapcentral.com/
CRU-UREC
Tutorial LDAP