Académique Documents
Professionnel Documents
Culture Documents
plusieurs applications
Vincent Mathieu, vmathieu{nomine}@univ-nancy2.fr
Brigitte Nomin
Centre de Ressources Informatiques, Universit Nancy 2
CO 75 - 54037 NANCY Cedex, France
Rsum : LUniversit Nancy 2 a mis en place deux annuaires sappuyant sur le protocole LDAP. Le premier annuaire
concerne lensemble des tudiants de lUniversit (environ 20 000). Au dpart, il a t dploy pour permettre aux
enseignants de retrouver ladresse lectronique dun tudiant en autorisant plusieurs critres de recherche (nom, campus
et formation dans laquelle ltudiant est inscrit), dans un second temps cet annuaire a permis la mise en place de nouveaux
services. Cet annuaire est rgulirement mis en jour en fonction des mouvements oprs dans la base Apoge. Nous
expliquerons dans cet article lorganisation des traitements et les choix techniques qui ont permis cette implmentation
grce en particulier la coopration troite des diffrents intervenants informatiques de lUniversit : informaticiens de
gestion, cellule rseau, informaticiens de proximit.
De nombreuses difficults lies la complexit de fonctionnement dune universit ont d tre prises en
compte; on peut citer en vrac les inscriptions multiples, la ncessit pour certaines composantes doffrir un
accs informatique avant linscription administrative, la difficult de faire le mnage de fin danne, en
labsence de transaction de fin dtudes dans les procdures dinscriptions.
Grce lexprience acquise dans la mise en uvre dun annuaire LDAP, nous avons dcid de faire voluer
notre annuaire CCSO du personnel vers un annuaire de type LDAP. Celui-ci devait pouvoir contenir toutes les
personnes qui contribuent au fonctionnement de lUniversit, et en particulier les personnes qui dpendent
dautres structures que celle de lUniversit Nancy 2 (CNRS, autres universits, etc). Nous voulions galement
que cet annuaire serve de rfrentiel unique pour accder diffrentes ressources informatiques et viter ainsi
la mise jour sur plusieurs bases de comptes utilisateurs. De plus, pour tre en conformit avec la CNIL nous
grons deux visions de lannuaire : une publique - http://www.univ-nancy2.fr/ANNUAIRE - qui ne contient que
les informations de type annuaire ainsi que les personnes ayant acceptes de figurer dans cet annuaire
(gestion dune liste rouge), et une prive qui contient lensemble du personnel. Des interfaces W3 ont t
dveloppes afin daccder dune manire conviviale aux annuaires. Linterface W3 prive - accs en Intranet
permet galement de faire des extractions suivant un grand nombre de critres et dobtenir le rsultat soit en
prsentation W3 soit en tlchargement dun fichier directement utilisable par un tableur ou un traitement de
texte. Nous souhaitions galement quune partie des informations contenues dans lannuaire soient directe-
ment mise jour par les personnes concernes. Cest pourquoi nous avons communiqu chacun un login
LDAP identique au login de messagerie et nous avons fait en sorte quil ny ait plus que le mot de passe LDAP
qui soit utilis (mise en uvre de pam_ldap et dsactivation des mots de passe unix). La disponibilit du
serveur LDAP tant particulirement sensible, nous avons mis en exploitation un serveur LDAP de replica qui
permet automatiquement linterrogation dun autre serveur en cas de non rponse du serveur officiel. Ceci
nous sert galement lorsque nous devons intervenir sur le schma de la base ldap.
Enfin, nous dcrirons comment, grce ces deux annuaires et un serveur ldap referral permettant de renvoyer
les requtes vers les deux serveurs ldap, nous avons pu dployer une plate forme de diffusion de cours qui
permet une publication aise, qui donne la possibilit de limiter laccs W3 certaines formations et certains
enseignants, et qui offre la possibilit pour les enseignants de grer par eux-mmes les droits daccs en
consultation W3 et en publication.
Les dveloppements ont t raliss en Perl, PHP et nous nous appuyons sur des logiciels du domaine public
(Apache, openldap, proftpd).
Le traitement de mise jour de la base Ldap est ralis en langage Perl avec le module PerLdap de Mozilla.
Le serveur ldap retenu est OpenLdap actuellement en version 2.0.14. Il fonctionne sur un serveur Sun 450
(Solaris 2.6) qui supporte galement lensemble des botes aux lettres des 20 000 tudiants (en ralit 4 500
botes sont actives).
Les OU contiennent deux types dentres : entres de type tudiant et entres de type Groupe (un groupe Ldap
correspondant une formation).
Une entre de type tudiant comprend : le login, ladresse messagerie, ladresse ventuelle de
redirection de sa messagerie, linformation de liste rouge, le numro INE, le mot de passe, la date
de premire inscription, la date de dernire inscription, la date de validation de la charte informatique,
la liste des formations suivies (Groups Ldap).
Un tudiant na quune seule entre dans Ldap ; il est mis dans lOU qui correspond son inscription
Apoge principale.
Une entre de type Groupe comprend lensemble des tudiants suivant une formation et un champ de
description.
Nous maintenons volontairement une redondance sur lappartenance aux groupes afin de simplifier et
dacclrer certains traitements.
Le serveur Ldap nest pas accessible directement depuis lextrieur. Seuls certains serveurs de lUniversit
peuvent y accder.
Les interfaces web dveloppes autour de lannuaire Ldap tudiant ont t crites en Perl ou en PHP.
Annuaire public (http://etudiant.univ-nancy2.fr/ANNUAIRE/)
Cet annuaire, accessible tous, ne regroupe que les tudiants ne souhaitant pas tre en liste rouge. Il est
interrogeable en fonction de plusieurs critres (nom, campus, formation).
Annuaire priv
Cet annuaire est uniquement accessible en intranet (personnel administratif et enseignant de ltablissement)
et regroupe lensemble des tudiants inscrits lUniversit. Le rsultat de la recherche est affich lcran ou
bien est exporte dans un fichier format Excel .
Indpendamment de lutilisation de lannuaire ldap, la mise en place de ces procdures a permis dautomatiser
la mise jour des comptes informatiques sur tous les serveurs pdagogiques et sur le serveur de messagerie.
Cela a supprim des traitements plus ou moins manuels et a permis dutiliser une procdure identique pour
toute luniversit.
Les entres de type personne sont sur un seul niveau (OU People) afin de traiter simplement le cas particulier
des affections deux composantes. Dautres OU ont t cres pour des applications particulires.
Les principales informations dune entre de type personne sont les suivantes : Nom, Prnom, informations de
messagerie (adresse, alias), mot de passe, tlphone, fax , tablissement de rattachement, campus,
composante, code CNU (enseignant), information de liste rouge, type de personnel, attributs donnant des droits
certaines applications, etc.
Dautres type dobjets spcifiques Nancy 2 ont t crs pour rpondre diffrents besoins : redirection et
listes de messagerie, listes des composantes et des codes CNU.
Le serveur Ldap complet nest pas accessible directement depuis lextrieur. Seuls certains serveurs de
lUniversit peuvent y accder. Une recopie partielle (uniquement les informations dannuaires et sans les
personnes en liste rouge) est effectue toutes les nuits sur un serveur Ldap ouvert tous (port habituel 389).
Les interfaces web dveloppes autour de lannuaire Ldap Personnel ont t crites en Perl ou en PHP.
Annuaire public (http://www.univ-nancy2.fr/ANNUAIRE/)
Cet annuaire accessible tous, ne regroupe que les personnels ne souhaitant pas tre en liste rouge. Il est
interrogeable en fonction de plusieurs critres (nom, composante, code CNU).
Annuaire priv
Cet annuaire est uniquement accessible en intranet (pour tout le personnel de lUniversit) et regroupe
lensemble des personnels qui concourent au fonctionnement de lUniversit. Il est interrogeable en fonction de
plusieurs critres (nom, composante, type de personnel, code CNU, tablissement de rattachement). Le
rsultat de la recherche est affich lcran ou peut tre export dans un fichier au format Excel ou en
format utilisable pour du publipostage.
Interfaces dadministration
Plusieurs interfaces ont t dveloppes :
- mise jour des informations dannuaire
- mise jour des informations de messagerie (redirection, alias, listes de messagerie)
- changement de mot de passe et informations de messagerie destination des informaticiens sur les
campus
La mise en uvre de cet annuaire a permis dune part lattribution dun identifiant unique chaque membre du
personnel et dautre part la mise en place de procdures fiables et globales ltablissement pour la cration
des comptes accdant des ressources informatiques. Par exemple, la suppression dune personne dans
lannuaire entrane
la suppression de sa bote lectronique,
la mise jour des listes auxquelles elle appartenait,
la suppression ventuelle du compte de connexion distance,
la suppression de son compte sur les autres serveurs ventuels.
dn: dc=univ-nancy2,dc=fr
objectClass: top
objectClass: domain
dc: univ-nancy2
dn: ou=Etudiants,dc=univ-nancy2,dc=fr
ou: Etudiants
objectClass: referral
objectClass: extensibleObject
ref: ldap://ldap.etudiant.univ-nancy2.fr:392/ou=Etudiants,dc=univ-nancy2,dc=fr
dn: ou=Pers,dc=univ-nancy2,dc=fr
ou: Pers
objectClass: referral
objectClass: extensibleObject
ref: ldap://ldap.univ-nancy2.fr:392/ou=Pers,dc=univ-nancy2,dc=fr
Authentification
Il sagit de faire en sorte que les requtes de pop3 et imap sappuient sur ldap pour authentifier les
utilisateurs. La solution retenue utilise PAM (Pluggable Authentication Modules) et le module
Pam-ldap. Elle a t valide sous Solaris (5.6) et Linux (Redhat 6.2 et 7.1).
Cette solution a fonctionn auparavant avec le Popper de Qualcom et PAM.
Voici un extrait du ldap.conf :
host 127.0.0.1 ldap.univ-nancy2.fr
base ou=pers,dc=univ-nancy2,dc=fr
ldap_version 3
port 392
scope sub
Le web
Nous grons plusieurs serveurs w3 avec parfois la ncessit de limiter laccs. Cette limitation peut tre faite
en fonction des numros IP des machines clientes ou bien dun login utilisateur. Nos serveurs w3 fonctionnent
pour lessentiel sous Apache et pour le reste sous IIS.
Restrictions daccs gres par le serveur
Sous Apache, le module auth-ldap permet dinterroger directement lannuaire ldap afin de
ositionner desrestrictions daccs par utilisateur ou par groupe dutilisateurs. En particulier cette
mthode est utilise pou assurer laccs lintranet.
Exemple de paramtrage :
AuthLDAPAuthoritative on
AuthType Basic
AuthName administration reseau
AuthLDAPURL ldap://ldap.univ-nancy2.fr:392 ldap2.univ-
nancy2.fr:392/ou=Pers,dc=univ-
nancy2,dc=fr?uid?sub?(objectClass=N2ClassPersonnel)
require user toto tata
require group cn=AdminMailPerso,ou=Groups,ou=Pers,dc=univ-nancy2,dc=fr
#require valid_user
Sous IIS, nous navons pas pu utiliser Ldap pour grer directement ces restrictions daccs
IIS sappuie sur les droits NTFS et les utilisateurs NT).
Il a t ncessaire de mettre en commentaire une ligne dans le code source, proftpd cherchant rcuprer des
informations inutiles dans notre cas (uid, gid, home-directory).
Voici un extrait de fichier de configuration :
Applications sur PC
Certaines applications dveloppes par lquipe de gestion ont besoin daccder aux ressources ldap, pour
authentification ou pour rcuprer des informations (adresse mail, par exemple).
Ces applications utilisent lobjet COM dj prsent, ou un objet Delphi dvelopp localement.
Conclusion
La mise en place des deux serveurs Ldap sest traduite par une remise plat de nos diffrents traitements
informatiques, une structuration et une homognisation de nombreuses procdures. Lattribution dun login
unique pour chaque tudiant a facilit le dploiement de services bass sur une authentification (intranet pda-
gogique, messagerie, visualisation des notes, du dossier administratif de ltudiant, prinscriptions,). De
mme, le login unique pour le personnel a supprim lexistence de bases redondantes. Toutefois laccs aux
applications nationales (comptabilit, scolarit, paie) se fait par un autre code daccs essentiellement pour des
raisons de scurit. Il reste tudier une meilleure scurisation de la transmission du mot de passe aux diff-
rentes applications qui est trop souvent non chiffre (pop, imap, etc.).
Lannuaire Ldap du personnel est actuellement la base la plus complte de ltablissement. Sa mise en uvre
a ncessit un investissement important dont la dimension organisationnelle a t probablement aussi
importante que la partie technique.
openldap : http://www.openldap.org/
pam-ldap : http://www.padl.com/pam_ldap.html
auth-ldap : http://www.rudedog.org/auth_ldap/
proftpd : http://www.proftpd.org/
ph2ldap : http://www.eudora.com/free/ldap.html
Netscape (iPlanet) SDK Ldap : http://www.iplanet.com/downloads/developer/
Librairies binaires utiles pour certains clients Ldap
BrowserLDAP : http://www.iit.edu/~gawojar/ldap/download.html
un outil en java trs utile pour explorer / modifier une base Ldap
Perldap : http://www.mozilla.org/directory/perldap.html
Accder Ldap en perl. Ncessite le SDK iPlanet
Net::LDAP : http://search.cpan.org/search?mode=module&query=ldap
Autre module perl daccs Ldap
IANA : http://www.iana.org/cgi-bin/enterprise.pl
Pour lobtention dun OID, pralable lextension dun schema LDAP
La page LDAP du CRU : http://www.cru.fr/ldap/
Documents de Laurent Mirtain (CNRS) :
http://www-sop.inria.fr/semir/personnel/Laurent.Mirtain/LDAP.html
Certaines ressources LDAP de lUniversit Nancy 2 :
http://docs.univ-nancy2.fr/ldap/