Mise en place dannuaires LDAP et utilisation dans

plusieurs applications
Vincent Mathieu, vmathieu{nomine}@univ-nancy2.fr
Brigitte Nomin
Centre de Ressources Informatiques, Universit Nancy 2
CO 75 - 54037 NANCY Cedex, France

Rsum : LUniversit Nancy 2 a mis en place deux annuaires sappuyant sur le protocole LDAP. Le premier annuaire
concerne lensemble des tudiants de lUniversit (environ 20 000). Au dpart, il a t dploy pour permettre aux
enseignants de retrouver ladresse lectronique dun tudiant en autorisant plusieurs critres de recherche (nom, campus
et formation dans laquelle ltudiant est inscrit), dans un second temps cet annuaire a permis la mise en place de nouveaux
services. Cet annuaire est rgulirement mis en jour en fonction des mouvements oprs dans la base Apoge. Nous
expliquerons dans cet article lorganisation des traitements et les choix techniques qui ont permis cette implmentation
grce en particulier la coopration troite des diffrents intervenants informatiques de lUniversit : informaticiens de
gestion, cellule rseau, informaticiens de proximit.

De nombreuses difficults lies la complexit de fonctionnement dune universit ont d tre prises en
compte; on peut citer en vrac les inscriptions multiples, la ncessit pour certaines composantes doffrir un
accs informatique avant linscription administrative, la difficult de faire le mnage de fin danne, en
labsence de transaction de fin dtudes dans les procdures dinscriptions.
Grce lexprience acquise dans la mise en uvre dun annuaire LDAP, nous avons dcid de faire voluer
notre annuaire CCSO du personnel vers un annuaire de type LDAP. Celui-ci devait pouvoir contenir toutes les
personnes qui contribuent au fonctionnement de lUniversit, et en particulier les personnes qui dpendent
dautres structures que celle de lUniversit Nancy 2 (CNRS, autres universits, etc). Nous voulions galement
que cet annuaire serve de rfrentiel unique pour accder diffrentes ressources informatiques et viter ainsi
la mise jour sur plusieurs bases de comptes utilisateurs. De plus, pour tre en conformit avec la CNIL nous
grons deux visions de lannuaire : une publique - http://www.univ-nancy2.fr/ANNUAIRE - qui ne contient que
les informations de type annuaire ainsi que les personnes ayant acceptes de figurer dans cet annuaire
(gestion dune liste rouge), et une prive qui contient lensemble du personnel. Des interfaces W3 ont t
dveloppes afin daccder dune manire conviviale aux annuaires. Linterface W3 prive - accs en Intranet
permet galement de faire des extractions suivant un grand nombre de critres et dobtenir le rsultat soit en
prsentation W3 soit en tlchargement dun fichier directement utilisable par un tableur ou un traitement de
texte. Nous souhaitions galement quune partie des informations contenues dans lannuaire soient directe-
ment mise jour par les personnes concernes. Cest pourquoi nous avons communiqu chacun un login
LDAP identique au login de messagerie et nous avons fait en sorte quil ny ait plus que le mot de passe LDAP
qui soit utilis (mise en uvre de pam_ldap et dsactivation des mots de passe unix). La disponibilit du
serveur LDAP tant particulirement sensible, nous avons mis en exploitation un serveur LDAP de replica qui
permet automatiquement linterrogation dun autre serveur en cas de non rponse du serveur officiel. Ceci
nous sert galement lorsque nous devons intervenir sur le schma de la base ldap.
Enfin, nous dcrirons comment, grce ces deux annuaires et un serveur ldap referral permettant de renvoyer
les requtes vers les deux serveurs ldap, nous avons pu dployer une plate forme de diffusion de cours qui
permet une publication aise, qui donne la possibilit de limiter laccs W3 certaines formations et certains
enseignants, et qui offre la possibilit pour les enseignants de grer par eux-mmes les droits daccs en
consultation W3 et en publication.
Les dveloppements ont t raliss en Perl, PHP et nous nous appuyons sur des logiciels du domaine public
(Apache, openldap, proftpd).

259 Annuaires et rfrentiels

1. Lannuaire Ldap tudiant
a. Aspects fonctionnels
En 1998, nous avons attribu tous les tudiants de lUniversit, une adresse lectronique personnelle. Pour
permettre aux enseignants de contacter les tudiants, il fallait bien sr installer en parallle un annuaire
lectronique. Cest pourquoi nous avons commenc tudier le protocole Ldap.
Actuellement, cet annuaire qui comporte lensemble des tudiants (environ 20 000) est mis jour
automatiquement partir des inscriptions Apoge . Chaque nuit, une extraction des mouvements de la base
Apoge est ralise afin dalimenter la base Ldap, celle-ci est donc exhaustive et parfaitement synchronise
avec la base Apoge. Ces traitements entranent galement la cration des boites aux lettres des tudiants et
la constitution des fichiers qui permettront la mise jour des comptes des tudiants sur les serveurs
pdagogiques des diffrents campus. Toutes ces procdures sont entirement automatises.

Quelques points dlicats :

Gestion dinscriptions multiples
Pour garantir la qualit de linformation fournie par lannuaire, il a fallu prendre en compte la notion
dinscriptions multiples. En effet, un tudiant peut sinscrire en Deug de Lettres 1re anne (situ sur le Campus
Lettres) et sinscrire galement en ICN 1re anne (situ sur un autre campus).
Suppression des comptes ldap en fin danne
Une des difficults dans la gestion de lannuaire tient labsence dinformation sur larrt des tudes dun
tudiant (un tudiant sinscrit mais ne donne pas de date de fin dtudes au sein de ltablissement !). Nous
devons donc chaque anne, aprs les inscriptions universitaires lancer un traitement qui limine les tudiants
qui ne se sont pas rinscrits.
Absence didentifiant
Labsence dun identifiant tudiant parfaitement fiable a rendu la mise en correspondance entre une entre
apoge et une entre Ldap particulirement difficile.

b. Les aspects techniques

Lenchanement des traitements journaliers est le suivant :

Le traitement de mise jour de la base Ldap est ralis en langage Perl avec le module PerLdap de Mozilla.
Le serveur ldap retenu est OpenLdap actuellement en version 2.0.14. Il fonctionne sur un serveur Sun 450
(Solaris 2.6) qui supporte galement lensemble des botes aux lettres des 20 000 tudiants (en ralit 4 500
botes sont actives).

260 Annuaires et rfrentiels

Le schma de la base est dcoup de manire hirarchique en OU (Organisational Unit) en tenant
compte des diffrents campus gographiques :

Les OU contiennent deux types dentres : entres de type tudiant et entres de type Groupe (un groupe Ldap
correspondant une formation).
Une entre de type tudiant comprend : le login, ladresse messagerie, ladresse ventuelle de
redirection de sa messagerie, linformation de liste rouge, le numro INE, le mot de passe, la date
de premire inscription, la date de dernire inscription, la date de validation de la charte informatique,
la liste des formations suivies (Groups Ldap).
Un tudiant na quune seule entre dans Ldap ; il est mis dans lOU qui correspond son inscription
Apoge principale.
Une entre de type Groupe comprend lensemble des tudiants suivant une formation et un champ de
description.

Nous maintenons volontairement une redondance sur lappartenance aux groupes afin de simplifier et
dacclrer certains traitements.
Le serveur Ldap nest pas accessible directement depuis lextrieur. Seuls certains serveurs de lUniversit
peuvent y accder.

C. Diffrentes interfaces web pour laccs aux informations Ldap

Les interfaces web dveloppes autour de lannuaire Ldap tudiant ont t crites en Perl ou en PHP.
Annuaire public (http://etudiant.univ-nancy2.fr/ANNUAIRE/)
Cet annuaire, accessible tous, ne regroupe que les tudiants ne souhaitant pas tre en liste rouge. Il est
interrogeable en fonction de plusieurs critres (nom, campus, formation).
Annuaire priv
Cet annuaire est uniquement accessible en intranet (personnel administratif et enseignant de ltablissement)
et regroupe lensemble des tudiants inscrits lUniversit. Le rsultat de la recherche est affich lcran ou
bien est exporte dans un fichier format Excel .

Schma 1 : recherche dans lannuaire via lintranet

261 Annuaires et rfrentiels

 Interface dadministration
Cette interface est destine permettre aux informaticiens des diffrents campus de visualiser lensemble des
informations de la base Ldap pour un tudiant, de connatre des informations sur lutilisation de la messagerie
et enfin si ncessaire, de modifier le mot de passe Ldap.

Schma 2 : interface web disposition des informaticiens sur les campus

Interfaces destination des tudiants

Ltudiant a la possibilit de rcuprer son login/mot de passe initial (en fournissant son nom, son numro INE
et en validant la charte informatique). Il peut galement changer son mot de passe Ldap et choisir de rediriger
son courrier lectronique vers une adresse personnelle.

Indpendamment de lutilisation de lannuaire ldap, la mise en place de ces procdures a permis dautomatiser
la mise jour des comptes informatiques sur tous les serveurs pdagogiques et sur le serveur de messagerie.
Cela a supprim des traitements plus ou moins manuels et a permis dutiliser une procdure identique pour
toute luniversit.

2.Lannuaire Ldap Personnel

a. Aspects fonctionnels
Historiquement, un annuaire de type CCSO avait t install. Aprs quelques annes de fonctionnement, son
contenu tait devenu en partie obsolte en raison de mises jour irrgulires.
Compte tenu de notre exprience dans la mise en uvre des serveurs Ldap et de laugmentation du nombre
dapplications ncessitant une authentification, il est apparu ncessaire de disposer dun annuaire Ldap fiable
regroupant lensemble des personnes qui concourent au fonctionnement de lUniversit, savoir :
les enseignants/chercheurs, les personnels administratifs et techniques, les personnels CNRS, les tudiants en
thse, quelques retraits , etc.
De plus comme aucun service dans lUniversit navait connaissance de lensemble de ces personnes, il tait
difficile dassurer une mise jour correcte. Cest pourquoi, le CRI a dcid de conditionner la cration dun
compte de messagerie lexistence dans lannuaire Ldap. De plus lauthentification ldap tant obligatoire pour
accder de nombreux services (messagerie, intranet, etc.), lexhaustivit des informations se trouve
sensiblement amliore.
Actuellement, la mise jour de lannuaire est centralise et des procdures de validation ont t dfinies pour
chaque type de personnel (exemple : lajout dun enseignant vacataire doit tre valid par le directeur de
composante, lajout de personnel fonctionnaire est transmis par le service du personnel,).
Lannuaire mis en place rpond plusieurs objectifs :
Annuaire classique (pages blanches)
Authentification (messagerie, w3, )
Informations applicatives (alias et redirections de messagerie, autorisations diverses)

262 Annuaires et rfrentiels

Quelques points dlicats
Appartenance plusieurs composantes
Certains personnels sont affects deux composantes, avec des numro de tlphone, de fax diffrents.
Rcupration et traitement des informations provenant de diffrentes sources
Pour initialiser lannuaire ldap, il a fallu traiter et recouper des informations provenant de lannuaire
CCSO, des fichiers passwd des serveurs de messagerie, des fichiers du service du personnel et du
fichier des tudiants inscrits en thse. Le but de cette opration tait dattribuer un login unique
chaque personnel et donc dliminer les doublons.

b. Les aspects techniques

Le serveur ldap retenu est OpenLdap en version 2.0.14 et fonctionne sur un serveur Linux (redhat 7.1). Le
schma de la base est dcoup en OU :

Les entres de type personne sont sur un seul niveau (OU People) afin de traiter simplement le cas particulier
des affections deux composantes. Dautres OU ont t cres pour des applications particulires.

Les principales informations dune entre de type personne sont les suivantes : Nom, Prnom, informations de
messagerie (adresse, alias), mot de passe, tlphone, fax , tablissement de rattachement, campus,
composante, code CNU (enseignant), information de liste rouge, type de personnel, attributs donnant des droits
certaines applications, etc.

Dautres type dobjets spcifiques Nancy 2 ont t crs pour rpondre diffrents besoins : redirection et
listes de messagerie, listes des composantes et des codes CNU.

Le serveur Ldap complet nest pas accessible directement depuis lextrieur. Seuls certains serveurs de
lUniversit peuvent y accder. Une recopie partielle (uniquement les informations dannuaires et sans les
personnes en liste rouge) est effectue toutes les nuits sur un serveur Ldap ouvert tous (port habituel 389).

c. Diffrentes interfaces web pour laccs aux informations Ldap

Les interfaces web dveloppes autour de lannuaire Ldap Personnel ont t crites en Perl ou en PHP.
Annuaire public (http://www.univ-nancy2.fr/ANNUAIRE/)
Cet annuaire accessible tous, ne regroupe que les personnels ne souhaitant pas tre en liste rouge. Il est
interrogeable en fonction de plusieurs critres (nom, composante, code CNU).
Annuaire priv
Cet annuaire est uniquement accessible en intranet (pour tout le personnel de lUniversit) et regroupe
lensemble des personnels qui concourent au fonctionnement de lUniversit. Il est interrogeable en fonction de
plusieurs critres (nom, composante, type de personnel, code CNU, tablissement de rattachement). Le
rsultat de la recherche est affich lcran ou peut tre export dans un fichier au format Excel ou en
format utilisable pour du publipostage.
Interfaces dadministration
Plusieurs interfaces ont t dveloppes :
- mise jour des informations dannuaire
- mise jour des informations de messagerie (redirection, alias, listes de messagerie)
- changement de mot de passe et informations de messagerie destination des informaticiens sur les
campus

263 Annuaires et rfrentiels

 schma 3 : interface web pour modification de lannuaire

Interface pour le personnel

Chaque personne peut changer via une interface W3 certaines informations la concernant, savoir : le mot de
passe, le numro de tlphone, le fax, ladresse dune page web, et la mise ventuelle en liste rouge. Linterface
nest accessible quen intranet.

La mise en uvre de cet annuaire a permis dune part lattribution dun identifiant unique chaque membre du
personnel et dautre part la mise en place de procdures fiables et globales ltablissement pour la cration
des comptes accdant des ressources informatiques. Par exemple, la suppression dune personne dans
lannuaire entrane
la suppression de sa bote lectronique,
la mise jour des listes auxquelles elle appartenait,
la suppression ventuelle du compte de connexion distance,
la suppression de son compte sur les autres serveurs ventuels.

3. Disponibilit du service Ldap

Plusieurs services sensibles reposent maintenant sur une authentification Ldap, en particulier la messagerie, les
accs intranet et certaines applications. Cest pourquoi il est essentiel dassurer une disponibilit parfaite de ce
service et de rpartir la charge sur plusieurs serveurs. Pour cela, nous avons mis en uvre diffrents serveurs
de replica qui sont parfaitement synchrones avec le serveur ldap matre.
Chaque application cliente ldap a t paramtre afin de basculer automatiquement sur un autre serveur ldap
en cas dindisponibilit du serveur qui est interrog de faon prioritaire.
Cette configuration permet galement dassurer une maintenance sur un serveur sans pnaliser le
fonctionnement du service ldap.
Nous avons dvelopp galement un script qui vrifie la validit des replica et ventuellement les
resynchronise.

4. Mise en place du mcanisme de referral

Certaines applications mises en uvre doivent authentifier simultanment sur le serveur ldap etudiant et le
serveur ldap Personnel. Pour effectuer cela, nous avons utilis le mcanisme de referral (inclus dans le protoco-
le ldap) qui nous a permis dinterroger les deux serveurs en parallle .
Choix de mise en uvre :
- nous avons opt pour la cration dun troisime serveur ldap, qui ninclus que les informations de
redirection vers les serveurs tudiant et personnel. Cette solution a t retenue, car les applications
mises en uvre nont pas toutes besoin daccder simultanment aux informations des deux serveurs.
- Il faut galement prciser que le mcanisme de referral est trait par le client ldap. Certains clients ne
limplmentent pas, ce qui limite son usage.

264 Annuaires et rfrentiels

Contenu exhaustif de ce serveur ldap de referral :

dn: dc=univ-nancy2,dc=fr
objectClass: top
objectClass: domain
dc: univ-nancy2

dn: ou=Etudiants,dc=univ-nancy2,dc=fr
ou: Etudiants
objectClass: referral
objectClass: extensibleObject
ref: ldap://ldap.etudiant.univ-nancy2.fr:392/ou=Etudiants,dc=univ-nancy2,dc=fr

dn: ou=Pers,dc=univ-nancy2,dc=fr
ou: Pers
objectClass: referral
objectClass: extensibleObject
ref: ldap://ldap.univ-nancy2.fr:392/ou=Pers,dc=univ-nancy2,dc=fr

5. Les services utilisant les annuaires Ldap

La messagerie
Notre serveur de messagerie fonctionne avec Postfix (V. 20010228-pl03) et utilise Cyrus/Imap pour les
protocoles Imap et Pop3.

Authentification
Il sagit de faire en sorte que les requtes de pop3 et imap sappuient sur ldap pour authentifier les
utilisateurs. La solution retenue utilise PAM (Pluggable Authentication Modules) et le module
Pam-ldap. Elle a t valide sous Solaris (5.6) et Linux (Redhat 6.2 et 7.1).
Cette solution a fonctionn auparavant avec le Popper de Qualcom et PAM.
Voici un extrait du ldap.conf :
host 127.0.0.1 ldap.univ-nancy2.fr
base ou=pers,dc=univ-nancy2,dc=fr
ldap_version 3
port 392
scope sub

et du fichier pam pour imap :

auth sufficient /lib/security/pam_ldap-patche.so
auth required /lib/security/pam_pwdb.so shadow nullok
account required /lib/security/pam_ldap-patche.so

Gestion des redirections, des alias et des listes

Actuellement ces informations sont incluses dans ldap. Nous regnrons chaque nuit les fichiers de
gestion utiliss par postfix pour traiter ces aspects. Postfix sachant nativement interroger ldap,
limplmentation que nous avons mis en place devrait nous permettre, lavenir, de nous affranchir
de la cration de ces fichiers.

Extrait du fichier main.cf de postfix, pour fonctionnement avec ldap :

alias_maps = hash :/etc/postfix/aliases,ldap :ldapsource
ldapsource_search_base = ou=Pers,dc=univ-nancy2,dc=fr
ldapsource_server_host = ldap2.univ-nancy2.fr:392 ldap.univ-
nancy2.fr:392
ldapsource_server_port = 392
ldapsource_scope = sub
ldapsource_query_filter = (&(objectclass=n2classmail)(n2atraliasmail=%s))
ldapsource_result_attribute = n2atrmaildrop

Modification du mot de passe

La procdure normale se fait via linterface web disponible en intranet, mais nous avons galment
modifi le programme poppassd afin de permettre une modification depuis le logiciel de
messagerie eudora.

265 Annuaires et rfrentiels

 Passerelle ldap vers CCSO
Pour assurer une continuit dans linterrogation de lannuaire, nous avons install le logiciel ph2ldap
de Qualcom qui est une passerelle ldap vers CCSO. Le programme source a t modifi pour grer
les caractres accentus.
Extrait du fichier ph2ldap.conf :
HOST ldap.univ-nancy2.fr
PORT 389
BASE_DN ou=People,ou=Pers,dc=univ-nancy2,dc=fr
MAP cn name
MAP mail email
MAP Title title
MAP telephoneNumber tel
MAP facsimileTelephoneNumber fax
MAP postalAddress adresse
MAP n2atrperscompcode composante
MAP n2atrpersservice service
MAP n2atrpersetablissement etablissement
MAP postaladdress adresse

Le web
Nous grons plusieurs serveurs w3 avec parfois la ncessit de limiter laccs. Cette limitation peut tre faite
en fonction des numros IP des machines clientes ou bien dun login utilisateur. Nos serveurs w3 fonctionnent
pour lessentiel sous Apache et pour le reste sous IIS.
Restrictions daccs gres par le serveur
Sous Apache, le module auth-ldap permet dinterroger directement lannuaire ldap afin de
ositionner desrestrictions daccs par utilisateur ou par groupe dutilisateurs. En particulier cette
mthode est utilise pou assurer laccs lintranet.
Exemple de paramtrage :
AuthLDAPAuthoritative on
AuthType Basic
AuthName administration reseau
AuthLDAPURL ldap://ldap.univ-nancy2.fr:392 ldap2.univ-
nancy2.fr:392/ou=Pers,dc=univ-
nancy2,dc=fr?uid?sub?(objectClass=N2ClassPersonnel)
require user toto tata
require group cn=AdminMailPerso,ou=Groups,ou=Pers,dc=univ-nancy2,dc=fr
#require valid_user

Sous IIS, nous navons pas pu utiliser Ldap pour grer directement ces restrictions daccs
IIS sappuie sur les droits NTFS et les utilisateurs NT).

Restrictions daccs gres par lapplicatif web

Sous IIS et Apache, des procdures Perl et PHP ont permis de grer ces accs en fonction des
informations Ldap.
Pour IIS en programmation ASP, nous avons dvelopp un objet COM permettant ce type daccs
(nous avons eu des dconvenues avec lAPI ADSI disponible chez Microsoft).

Accs par FTP

Nous utilisons le logiciel ProFTPd comme serveur FTP, en partie pour sa capacit sinterfacer avec ldap.
Nous en faisons un usage particulier, savoir la publication de documents dans larborescence de serveurs W3
avec les spcificits suivantes :

les utilisateurs ne disposent pas de compte UNIX ;

les fichiers doivent tre crits sous un couple uid-gid bien prcis (ex : www :www) ;
la racine du serveur FTP doit tre la racine du serveur w3 ;
lutilisateur ne doit visualiser et publier des fichiers que dans des rpertoires prcis.

Il a t ncessaire de mettre en commentaire une ligne dans le code source, proftpd cherchant rcuprer des
informations inutiles dans notre cas (uid, gid, home-directory).
Voici un extrait de fichier de configuration :

266 Annuaires et rfrentiels

 AuthPAMAuthoritative on
RequireValidShell off
LDAPDoAuth on ou=Pers,dc=univ-nancy2,dc=fr
(&(N2AtrPersACLDivers=ftp-univ)(uid=%u))
LDAPServer ldap.univ-nancy2.fr:392 ldap2.univ-nancy2.fr:392
LDAPSearchScope subtree
LDAPAuthBinds on
LDAPDefaultUID 8000
LDAPDefaultGID 800
DefaultRoot /home/www/htdocs
PathDenyFilter (\.ftpaccess|\.htaccess)
Proftpd permet ensuite de grer des droits daccs aux rpertoires la faon dApache, soit dans le fichier de
configuration, soit laide de fichiers ftpaccess dans les rpertoires.

Authentification au niveau du cache W3

Les rseaux pdagogiques doivent obligatoirement passer par le cache W3 (squid) pour tous les accs web
(mises en place dACLs adquates sur les routeurs). De plus, tout utilisateur se trouvant sur un de ces rseaux
est authentifi via un login NT ou Unix et des fichiers de traces sont gnrs. Nous avons cependant quelques
postes dans une bibliothque qui ne peuvent tre rattachs un serveur et qui utilisent le service web. Pour
pouvoir identifier ces utilisateurs, nous utilisons une authentification ldap au niveau de Squid.
Le module SquidLDAP fourni avec squid na pas pu tre utilis car trop simpliste. Il a donc t rcrit localement.

Applications sur PC
Certaines applications dveloppes par lquipe de gestion ont besoin daccder aux ressources ldap, pour
authentification ou pour rcuprer des informations (adresse mail, par exemple).
Ces applications utilisent lobjet COM dj prsent, ou un objet Delphi dvelopp localement.

6. Un exemple dutilisation : Lintranet pdagogique

Des enseignants souhaitaient mettre disposition de leurs tudiants des documents accessibles sur le web.
Ces accs devaient tre limits aux tudiants de certaines formations et galement certains enseignants.
Lauthentification ne devait pas ncessiter la transmission aux utilisateurs dun nouveau couple
login/mot_de_passe. Grce aux diffrents outils dcrits, nous avons pu dployer rapidement une plate forme
rpondant aux besoins exprims :
limitation de laccs W3 ralise avec Apache (auth-ldap) lutilisation du referral a t ncessaire
pour pouvoir interroger les deux serveurs ldap. La restriction daccs peut porter sur une ou plusieurs
formations (notion de Groupe Ldap) ou concerner un tudiant ou un personnel particulier.
La publication est assure par une instance de ProFTPd interrogeant le serveur Ldap Personnel.
Cette solution demandait toutefois lintervention dun administrateur systme pour attribuer les droit daccs.
Nous avons donc dvelopp une interface dadministration qui permet lenseignant responsable dun cours
de prciser lui-mme les formations qui pourront visualiser ce cours, de grer la mise en ligne des documents
ainsi que lautorisation daccs dautres enseignants (consultation, criture de cours) de manire fine.

Schma 4 : interface pour ladministration des cours disposition des enseignants

267 Annuaires et rfrentiels

Le dveloppement ralis en PHP, sappuie sur une base MySql et gnre des fichiers .ftpaccess et .htaccess
dans larborescence du site.
Le site intranet pdagogique est accessible ladresse http://cours.univ-nancy2.fr

Conclusion
La mise en place des deux serveurs Ldap sest traduite par une remise plat de nos diffrents traitements
informatiques, une structuration et une homognisation de nombreuses procdures. Lattribution dun login
unique pour chaque tudiant a facilit le dploiement de services bass sur une authentification (intranet pda-
gogique, messagerie, visualisation des notes, du dossier administratif de ltudiant, prinscriptions,). De
mme, le login unique pour le personnel a supprim lexistence de bases redondantes. Toutefois laccs aux
applications nationales (comptabilit, scolarit, paie) se fait par un autre code daccs essentiellement pour des
raisons de scurit. Il reste tudier une meilleure scurisation de la transmission du mot de passe aux diff-
rentes applications qui est trop souvent non chiffre (pop, imap, etc.).
Lannuaire Ldap du personnel est actuellement la base la plus complte de ltablissement. Sa mise en uvre
a ncessit un investissement important dont la dimension organisationnelle a t probablement aussi
importante que la partie technique.

Quelques liens intressants

openldap : http://www.openldap.org/
pam-ldap : http://www.padl.com/pam_ldap.html
auth-ldap : http://www.rudedog.org/auth_ldap/
proftpd : http://www.proftpd.org/
ph2ldap : http://www.eudora.com/free/ldap.html
Netscape (iPlanet) SDK Ldap : http://www.iplanet.com/downloads/developer/
Librairies binaires utiles pour certains clients Ldap
BrowserLDAP : http://www.iit.edu/~gawojar/ldap/download.html
un outil en java trs utile pour explorer / modifier une base Ldap
Perldap : http://www.mozilla.org/directory/perldap.html
Accder Ldap en perl. Ncessite le SDK iPlanet
Net::LDAP : http://search.cpan.org/search?mode=module&query=ldap
Autre module perl daccs Ldap
IANA : http://www.iana.org/cgi-bin/enterprise.pl
Pour lobtention dun OID, pralable lextension dun schema LDAP
La page LDAP du CRU : http://www.cru.fr/ldap/
Documents de Laurent Mirtain (CNRS) :
http://www-sop.inria.fr/semir/personnel/Laurent.Mirtain/LDAP.html
Certaines ressources LDAP de lUniversit Nancy 2 :
http://docs.univ-nancy2.fr/ldap/

268 Annuaires et rfrentiels