Académique Documents
Professionnel Documents
Culture Documents
fr:documentation:totale http://www.fusiondirectory.org/doku.php?id=fr:documentation:totale
des utilisateurs (nom, prnom, mot de passe, email, droits daccs) des groupes dutilisateurs (liste prcise dutilisateur pr existants) des serveurs (description, adresse IP, service rendu) des postes de travail (description adresse IP, listes de logiciel, licences) un systme de tlphonie (numro de tlphone, rpondeur) des services web (Messagerie, suivi client )
Dans un tel systme dinformation, le responsable informatique est confront un problme complexe qui est le suivant :
Comment crer un compte informatique dans lurgence ? Ou sont tout les donne ncessaires la cration ? Comment tre sur que tous les systmes informatiques ont les bons accs pour la personne ? Comment maintenir linformation cohrente chez tous les lments dun systme dinformation ? Comment savoir quel poste informatique va lui tre affect ? Quels vont tre ses besoins en logiciels ou ressources rseaux ?
La rponse ces questions est lutilisation dun rfrentiel unique didentit des diffrents lments du systme dinformation. En effet, lutilisation dun tel systme inverse la travail de ladministrateur :
q
Ladministrateur systme ne remplit plus linformation sur X systmes au risque de faire des erreurs. Ladministrateur rempli une fois linformation sur ce rfrentiel, et ce sont les X systmes qui viennent consulter et rcuprer les informations dont ils ont besoin.
1/{nb}
http://www.fusiondirectory.org/doku.php?id=fr:documentation:totale fr:documentation:totale
DNS /DHCP pour laccs au rseau des postes clients utilisateur/groupes pour laccs des personnes une ressource donnes antivirus/spam pour la vrification des courriels tlphonie pour la liste des numro de tlphonie et le paramtrage des postes tlphonique dentreprise une application web de type carnet dadresse prsentant de manire conviviale les noms prnoms et numro de tlphone dune socit
fr:documentation:totale http://www.fusiondirectory.org/doku.php?id=fr:documentation:totale
choses tel que le compte mail, le rpertoire personnel ou mme le compte sur lintranet. Cest lannuaire qui soccupe de la propagation de la donne en la rendant disponible au services tiers.
luma bas sur Qt http://luma.sourceforge.net/ gq bas sur GTK http://www.gq-project.org/ phpldapadmin outil en ligne http://phpldapadmin.sourceforge.net/ ldapvi en ligne de commande pour les puristes http://www.lichteblau.com/ldapvi/ lam outil en ligne http://www.ldap-account-manager.org/
q
Des outils de gestion dannuaire intgr avec les outils pour grer des applications tierce
Apache Bas sur Directory Eclipse et en http://directory.apache.org/studio/ studio JAVA Ammc Environnement pour uniquement http://www.microsoft.com/windowsserver2003/technologies/directory/activedirectory/default.mspx active microsoft directory Mandriva Directory Mode web http://mds.mandriva.org/ Server Gosa2 En mode Web http://www.gosa-project.org
les services qui vont se baser dessus Quelles sont les spcifications LDAP supports par les applications ? Quels sont les critre de recherche ? Par exemples certaines applications ne supportent que les spcification de groupe rfc2039bis alors que dautre non. La gestion des utilisateurs, des groupes et leur organisation. Chaque organisme a un fonctionnement prcis. La performance est de permettre la traduction informatique de lorganisation sans trop rentrer dans les dtails.
r r r r
3/{nb}
http://www.fusiondirectory.org/doku.php?id=fr:documentation:totale fr:documentation:totale
q
Le respect des RFC On peut pas faire nimporte quoi. Un systme dannuaire obit des rgles de nommage, dorganisation et de structure. Le besoin dtre pragmatique. Un annuaire dinfrastructure nest ni un organigramme dentreprise ni un carnet dadresse.
r r r
Analyse de lexistant
Dans le cas dune entreprise (acme.fr) ayant 3 sites distincts ayant chacun leur services informatiques local ; mais des services gnraux identiques (comptabilit, commerciaux ..). Il faut avant tout :
q
identifier les entits structurelles informatique direction comptabilit commercial production salari serveurs et postes de travail identifier les entits organisationnelles secrtaires directeurs responsable de services stagiaire identifier dventuels sites gographiques Lyon Paris Bruxelles Identifier la rpartition : quelle structure est ou ? Lyon : informatique, comptabilit, commercial Bruxelles : informatique, commercial production Paris : informatique , commercial, direction
r r r r r r r r r r r r r r r r
1. identifier quel sont les besoins en terme de recherche dinformations dans cet annuaire
q
Cela implique de structurer linformation de manire a pouvoir faire des recherches efficaces et utilisable par les services connects.
Schma propos
Pour cette entreprise, voici le schma propos
4/{nb}
fr:documentation:totale http://www.fusiondirectory.org/doku.php?id=fr:documentation:totale
Quelques commentaires : La redondance des groupes informatique , commercial et direction est volontaire, cela permet de faciliter les recherches suivant si lon veut la liste de tout les commerciaux de la socit ou uniquement du site de Paris. exemple :
q
Liste de tous les commerciaux = liste des personnes faisant partie dun group appel commercial Liste des commerciaux lyonnais = liste des personnes faisant partie du groupe commercial de lentit lyon
5/{nb}
http://www.fusiondirectory.org/doku.php?id=fr:documentation:totale fr:documentation:totale
Quelques commentaires : Les entits structurelles salaris , serveurs ou commercial sont traduit de manire diffrentes :
q q q
salari est un entit reprsentant une personne : cest un utilisateur commercial est une entit regroupant des personnes : cest un groupe serveur est une entit reprsentant un quipement : cest une configuration Chaque entit structurelle doit tre classe dans des conteneurs appels en terme LDAP unit organisation ou Organisational Unit (OU) Chaque entit structurelle doit tre identifi de manire unique par un attribut de cette entit : le nom commun ou Common Name (CN) . Pour les utiliseurs, on pourra aussi trouver lattribut d identifiant unique ( Unique Identifier : uid) Chaque lement est identifi de manire unique par sa position dans larborescence de lannuaire :
les caractres accentus ainsi que le mlange de casse sont viter le plus possible dans les OU
6/{nb}
fr:documentation:totale http://www.fusiondirectory.org/doku.php?id=fr:documentation:totale
par convention, les utilisateurs sont stocks dans une entit appel people , les groupe dans groups La racine de larbre est gnralement lidentifant de lorganisme pour lequel larbre est cr. Cet idenfiant est souvent invariable et correspond au nom de domaine internet. On utilise donc le type de donn Domain Company : dc dou le dc=acme,dc=fr
ApacheDirectory de la fondation Apache 2) eDirectory de Novell 3) 389-Directory du projet Fedora 4) Sun Directory de Sun Microsystem 5)
q q
utilisateur : il peut se connecte FusionDirectory avec son login/mot de passe pour modifier sa fiche uniquement et son mot de passe adminstrateur local : ce rle pourra avoir la possibilit de grer des utilisateurs et groupes dune certaine branche bien identifier administrateur global : ce rle le droit de tout faire ressource humaine : ce rle peut crer des utilisateurs uniquement partir de modle afin de doptimiser les flux darrive des nouvelles personnes
http://www.fusiondirectory.org/doku.php?id=fr:documentation:totale fr:documentation:totale
Dans le cas dun systme dinformation rpartis sur plusieurs sites avec des annuaires distincts, une seul interface permettra de tous les grer.
archiver et supprimer sa boite mail archiver et supprimer son espace rseau le supprimer des applicatifs tierce non connect LDAP Tout ceci peut tre facilement fait par des scripts shell ( du moins en environnement UNIX) et dclencher automatiquement par FusionDirectory aprs la suppresion de la personne par ladministrateur
dun schma LDAP adapt lapplication sur le serveur LDAP dun plugin pour sa gestion dans FusionDirectory dun plugin pour le client install sur le serveur (client sou forme de module FusionInventory 6)
samba
8/{nb}
fr:documentation:totale http://www.fusiondirectory.org/doku.php?id=fr:documentation:totale
tape 1 : lutilisateur se connecte sur le serveur FusionDirectory via une interface web. le compte de lutilisateur existe dj dans le serveur LDAP tape 2 : Pour chaque criture ou lecture dans lannuaire, lapplication web FusionDirectory se connecte sur le serveur LDAP avec un utilisateur ayant suffisamment de droits pour pouvoir supprimer, modifier ou crer nimporte quel objet. Le dialogue seffectue par le biais du protocole LDAP v3. Tout les paramtres de connexion et de laffichage de la console web FusionDirectory sont stocks dans le fichier /etc/FusionDirectory/FusionDirectory.conf
q q
tape 1 et 2 : Ladministrateur a cr un compte utilisateur avec lextension Posix (qui permet le remplissage du mot de passe pour un compte donn) tape 3 : Lutilisateur se connecte lapplication web en fournissent un couple login/mot de passe, tape 4 : Lapplication web confirme ou infirme la connexion de lutilisateur sur cette applications via une requte LDAP sur lannuaire.
9/{nb}
http://www.fusiondirectory.org/doku.php?id=fr:documentation:totale fr:documentation:totale
q q
tape 1 et 2 : Ladministrateur a modifi le compte de la personne prcdente en rajoutant loption Samba (conversion du mot de passe posix en mot de passe windows, dfinition des rgles daccs, chemin UNC du lecteur rseau de lutilisateur ..) tape 5 : Lutilisateur demande laccs au serveur Samba. tape 6 : * Liste puce Le serveur Samba rcupre sur le serveur LDAP les informations relatives lutilisateur demandeur et les utilise pour autoriser les accs et diriger lutilisateur vers le bon rpertoire partag
tape 1 : Via linterface web, ladministrateur dclare des enregistrements DNS. tape 2 : Les donnes sont crite sur le serveur LDAP . tape 7 : une synchronisation rgulire des tables dquivalence locales par rapport au contenu du serveur LDAP est faite par le biais dun script ( ldap2zone) sexcutant sur le serveur DNS. Lexcution de ce script chaque modification des paramtres DNS sur le serveur LDAP peut tre mise en place grce au dclencheurs. Etape 8 : le client accde au serveur DNS par les requete classiques Dans sa version 9, Bind pourra interroger directement le serveur LDAP
FusionDirectory lit/crit dans le LDAP, les application ou serveur tiers lisent le LDAP FusionDirectory nest donc pas indispensable au fonctionnement des serveurs et/ou des applications. FusionDirectory est juste indispensable pour lexploitation des donnes de manire conviviale.
Les 3 exemples cits ne sont pas les seuls applications, en effet dautres services utilisent le mme principe tel le serveur de mail Postfix pour le routage des mails ou le serveur dhcpd pour lattribution dynamiques des adresses IP. http://fr.wikipedia.org/wiki/Ldap http://directory.apache.org/ 3) http://www.novell.com/fr-fr/products/edirectory/overview.html 4) http://directory.fedoraproject.org/ 5) http://www.sun.com/software/products/directory_srvr_ee/dir_srvr/index.xml 6) http://forge.fusioninventory.org/projects/fusioninventory-ldap
1) 2)
10/{nb}
fr:documentation:totale http://www.fusiondirectory.org/doku.php?id=fr:documentation:totale
https://www.isc.org/software/bind
From: http://www.fusiondirectory.org/ - FusionDirectory Website Permanent link: http://www.fusiondirectory.org/doku.php?id=fr:documentation:totale Last update: 2011/03/09 21:58
11/{nb}