CNRSUNIVERSITEetINSAdeRouen

LDAP au CORIA
Journe RESINFO
10 juin 2005
Henri Cavalier
 PLAN
Topologie des serveurs dannuaire au CORIA
Passerelle NIS/LDAP: ypldapd (PADL)
Synchronisation LDAP/AD: ISW (SUN)
Applications:
Authentification des utilisateurs
Mail :Postfix
Autres

CNRSUNIVERSITEetINSAde 2
 Serveurs dannuaire au CORIA
3 domaines (coria.fr)
Domaine AD : monde Windows et Samba
Domaine LDAP : authentification sur machines
unix rcentes et annuaires divers (mail, )
Domaine NIS: authentification sur machines
Unix qui ne supportent pas dautres services
Ncessit de synchronisation LDAP/NIS et
LDAP/AD

CNRSUNIVERSITEetINSAde 3
 Topologie des serveurs dannuaire au CORIA
Serveur LDAP Serveur LDAP Serveur AD
xxx. Rplication
ds5.2 multi-master ds5.2
coria.fr
yyy.cori zzz
a.fr coria.fr
Passerelle nis-ldap
Synchro
vvv ypldapd LDAP-AD
coria.fr isw 1.0

PC
Windows

Clients LDAP natifs: Solaris

Clients NIS:solaris<2.8, vieux 2.8, linux rcents, TRU645.0,
linux, TRU64<5.0, HPUX<11,
CNRSUNIVERSITEetINSAde 4
 Choix dun serveur LDAP

Choix de DIRECTORY SERVER (Sun

Microsystems):
Connaissance de lOS
Disponibilit dun support Hot Line SUN au CORIA
Simplicit de mise en uvre dun doublon master-replica
en mode multi-masters
Disponibilit dun logiciel de synchronisation
LDAP/Active Directory du mme diteur
Prochainement disponible sous RedHat

CNRSUNIVERSITEetINSAde 5
SunOne Directory Server

Spcial CORIA

Smart Referal

CNRSUNIVERSITEetINSAde 6
Cas des machines vieillissantes
Pour certaines machines ( vieux linux, Solaris <
2.8, TRU64 < 5, HPUX < 11, )

Utilisation dun domaine NIS (Partiellement

pr-existant)
Utilisation dune passerelle NIS/LDAP:
ypldapd de PADL

CNRSUNIVERSITEetINSAde 7
 Ypldapd de PADL
Passerelle entre NIS (yp) et LDAP
Serveur de domaine NIS pour les clients NIS
Client LDAP
Les domaines NIS et LDAP ont le mme nom
Sinstalle sur une machine linux ou solaris pralablement
cliente dun serveur LDAP
Synchronise les maps NIS priodiquement (10 mn) sur le
serveur LDAP
Mais la mise jour des passwd depuis les clients NIS nest pas
possible.
Supporte par configuration un minimum de scurit:
Securenets: liste de rseaux srs
Filters: liste de maps NIS cacher
ACLs: liste de machines ou rseaux allow/deny.
CNRSUNIVERSITEetINSAde 8
 Ypldapd: ACLs

CNRSUNIVERSITEetINSAde 9
ISW: Identity Synchronization
for Windows

Produit SUN install sur un des 2 serveurs LDAP

Assure la synchro bidirectionnelle des mots de passe entre
LDAP et AD grce des connecteurs (Dploiement en
cours)
La rplication multi-masters propage les infos sur le 2me
serveur
Peut assurer la synchro. la cration des users
(Ultrieurement)

CNRSUNIVERSITEetINSAde 10
 ISW: Remarques
Les mots de passe sur le DS doivent tre
au format crypt pour les NIS
la synchronisation des passwd Windows
vers Unix nest pas problmatique
La synchronisation des passwd Unix vers
Windows ncessite SSL (LDAPS) et donc
la mise en place de certificats sur les 2
serveurs dannuaire (Certificats CNRS
standards)

CNRSUNIVERSITEetINSAde 11
 ISW Console

CNRSUNIVERSITEetINSAde 12
ISW: critres de correspondance
La correspondance entre les attributs LDAP et AD est
effectue via un fichier de config. au format XML

CNRSUNIVERSITEetINSAde 13
 Applications 1
Authentification des utilisateurs
A la cration des utilisateurs:

Gestion de la rpartition des UidNumber

A linstant
Pour crer les entres LDAP utilisation de scripts PERL
Entre directe sur le serveur AD des utilisateurs Windows
A venir prochainement:
A partir dune interface web, inscription des nouveaux
arrivants dans le labo: tlphone, codes divers, cration de
login unix et windows ( terme par synchro ISW),

CNRSUNIVERSITEetINSAde 14
 Applications 2
Autres applications

Mail: postfix consulte ses informations sur le

serveur LDAP
Entre liste de diffusion
Entre relais de mail
Entre utilisateur standard
Tables dhcp, copies priodiquement sur le serveur
dhcp (indpendance des services par scurit) (en
projet)

CNRSUNIVERSITEetINSAde 15
 Postfix: Liste de diffusion

Listes gres en tant qualias (pass )

ou compose de classes mailgroup
Modification du schma (Non standard)
Comprend essentiellement 3 objets
obligatoires:
Nom de la liste
mail de la liste (unique)
mailMember (multiple) qui peut tre lui-mme une
liste. Exemple:

CNRSUNIVERSITEetINSAde 16
Postfix: Exemple de liste de diffusion

Listes

Utilisateurs

CNRSUNIVERSITEetINSAde 17
Rouen
 Postfix: relais de mail

Pour les utilisateurs nayant pas de compte

local
On se limite renvoyer leur mail vers une adresse
extrieure
ou relais de mail compose de
pseudo-users inaccessibles
lauthentification

Consultation par postfix aprs les users

standards de ou=people

CNRSUNIVERSITEetINSAde 18
Rouen
Postfix: Exemple de relais de mail

CNRSUNIVERSITEetINSAde 19
Rouen
Postfix: Exemple dutilisateur

CNRSUNIVERSITEetINSAde 20
Rouen
Postfix: requtes lannuaire LDAP
Rception mail Pour chaque user trouv
user@coria.fr
Requte LDAP
dans ou=people
Requte LDAP dans
puis ou=relais de mail
ou=Liste de diffusion
Recherche dans mail,
puis mailAlternateAddress
Recherche parmi les
mailMember de la liste
Trouv N
User
et Enable? unknown
N
Sous-liste?
Cas user O
Extraction de
O MailForwardingAddress
CNRSUNIVERSITEetINSAde
et envoi au serveur pop 21
 CONCLUSION

Systme actuellement largement surdimen-

sionn pour lutilisation
Tests de charge faire quand les applications
seront plus nombreuses
Attention ne pas installer sur le serveur tous
les services (pas tous les ufs dans le mme panier !), par
scurit et par simplicit de rsolution des
problmes. Ex.: DHCP.

CNRSUNIVERSITEetINSAde 22
Rouen
 CONCLUSION

VOS QUESTIONS

CNRSUNIVERSITEetINSAde 23
Rouen