Last update: 2011/03/09 21:58

fr:documentation:totale http://www.fusiondirectory.org/doku.php?id=fr:documentation:totale

A qui sadresse FusionDirectory ?

FusionDirectory sadresse aux administrateurs systmes ayant grer un parc machine et des comptes utilisateurs. Il ny a pas de taille minimum ou maximum pour le nombre de compte ou de dordinateur grer. Il faut juste que l'annuaire LDAP (qui stocke ces informations) soit correctement dimensionn.

Les problmes des administrateurs systmes

Actuellement un systme dinformation est compos de plusieurs lments :
q q q q q q

des utilisateurs (nom, prnom, mot de passe, email, droits daccs) des groupes dutilisateurs (liste prcise dutilisateur pr existants) des serveurs (description, adresse IP, service rendu) des postes de travail (description adresse IP, listes de logiciel, licences) un systme de tlphonie (numro de tlphone, rpondeur) des services web (Messagerie, suivi client )

Dans un tel systme dinformation, le responsable informatique est confront un problme complexe qui est le suivant :

Comment avoir la bonne information au bon endroit au bon moment ?

La cration de compte informatique est un bon exemple : Le nouvel arrivant a besoin dun compte informatique, mais trs souvent linformatique est souvent le dernier service prvenu.
q q q q q q

Comment crer un compte informatique dans lurgence ? Ou sont tout les donne ncessaires la cration ? Comment tre sur que tous les systmes informatiques ont les bons accs pour la personne ? Comment maintenir linformation cohrente chez tous les lments dun systme dinformation ? Comment savoir quel poste informatique va lui tre affect ? Quels vont tre ses besoins en logiciels ou ressources rseaux ?

La rponse ces questions est lutilisation dun rfrentiel unique didentit des diffrents lments du systme dinformation. En effet, lutilisation dun tel systme inverse la travail de ladministrateur :
q

Ladministrateur systme ne remplit plus linformation sur X systmes au risque de faire des erreurs. Ladministrateur rempli une fois linformation sur ce rfrentiel, et ce sont les X systmes qui viennent consulter et rcuprer les informations dont ils ont besoin.

1/{nb}

http://www.fusiondirectory.org/doku.php?id=fr:documentation:totale fr:documentation:totale

Last update: 2011/03/09 21:58

Lintrt dun rfrentiel unique

Le rfrentiel unique des identits dun systme dinformation doit tre cr de manire structur en ayant le moins de redondance dinformations possible afin dtre interrogeable facilement par des applications externes ce rfrentiel. Ce besoin de grer de linformation de manire unique et avec un protocole normalis de requte a entrain la cration dun type de serveur appel serveur dannuaire . Ce serveur ne contient que de la donne. Cest uniquement une plate forme de stockage didentits des diffrents composants dun systme dinformation. Il permet la cration la modification et la suppression de ces donne par des applications tierces. On appelle aussi serveur LDAP, les serveurs dannuaire car cest la norme LDAP 1) qui est utilis pour la prsentation des donnes didentit dautre services.

Les services associs un annuaire dinfrastructure

Comme nonc plus haut, un annuaire sert de base de stockage organis pour le contenu dun systme dinformation. Cet annuaire peut alimenter tous les services, au sens informatique du terme, ncessaire au fonctionnement du systme dinformations pour peu que le service dispose de la possibilit dutiliser nativement cet annuaire. On pourra aussi voquer les services suivants pouvant tre associ cet annuaire
q q q q

DNS /DHCP pour laccs au rseau des postes clients utilisateur/groupes pour laccs des personnes une ressource donnes antivirus/spam pour la vrification des courriels tlphonie pour la liste des numro de tlphonie et le paramtrage des postes tlphonique dentreprise une application web de type carnet dadresse prsentant de manire conviviale les noms prnoms et numro de tlphone dune socit

La gestion quotidienne dun annuaire

Le maitre mot dans la gestion dun annuaire par un administrateur est simplicit Un annuaire doit pouvoir tre grer par des personnes ne maitrisant pas le systme dinformation dans son ensemble. Lorsquun compte est cr, le crateur na pas a intervenir dautres endroits pour crer dautres
2/{nb}

Last update: 2011/03/09 21:58

fr:documentation:totale http://www.fusiondirectory.org/doku.php?id=fr:documentation:totale

choses tel que le compte mail, le rpertoire personnel ou mme le compte sur lintranet. Cest lannuaire qui soccupe de la propagation de la donne en la rendant disponible au services tiers.

Les outils de gestion dannuaire existants

En terme de gestion dannuaire il existe 2 types doutils
q

Des outils ddition dannuaires

luma bas sur Qt http://luma.sourceforge.net/ gq bas sur GTK http://www.gq-project.org/ phpldapadmin outil en ligne http://phpldapadmin.sourceforge.net/ ldapvi en ligne de commande pour les puristes http://www.lichteblau.com/ldapvi/ lam outil en ligne http://www.ldap-account-manager.org/
q

Des outils de gestion dannuaire intgr avec les outils pour grer des applications tierce

Apache Bas sur Directory Eclipse et en http://directory.apache.org/studio/ studio JAVA Ammc Environnement pour uniquement http://www.microsoft.com/windowsserver2003/technologies/directory/activedirectory/default.mspx active microsoft directory Mandriva Directory Mode web http://mds.mandriva.org/ Server Gosa2 En mode Web http://www.gosa-project.org

Concevoir son annuaire

Cette partie propose une mthode de conception dannuaire et les piges viter.

Les piges viter

Concevoir son annuaire relve parfois de la mission impossible tant la volont de tout mettre dans des cases et de tout prvoir mme limprvisible est forte. Pour concevoir son annuaire il faut prendre en compte :
q

les services qui vont se baser dessus Quelles sont les spcifications LDAP supports par les applications ? Quels sont les critre de recherche ? Par exemples certaines applications ne supportent que les spcification de groupe rfc2039bis alors que dautre non. La gestion des utilisateurs, des groupes et leur organisation. Chaque organisme a un fonctionnement prcis. La performance est de permettre la traduction informatique de lorganisation sans trop rentrer dans les dtails.
r r r r

3/{nb}

http://www.fusiondirectory.org/doku.php?id=fr:documentation:totale fr:documentation:totale
q

Last update: 2011/03/09 21:58

Le respect des RFC On peut pas faire nimporte quoi. Un systme dannuaire obit des rgles de nommage, dorganisation et de structure. Le besoin dtre pragmatique. Un annuaire dinfrastructure nest ni un organigramme dentreprise ni un carnet dadresse.
r r r

Mthodologie de conception dannuaire

La mthodologie propose nest pas LA vrit mais une proposition !

Analyse de lexistant
Dans le cas dune entreprise (acme.fr) ayant 3 sites distincts ayant chacun leur services informatiques local ; mais des services gnraux identiques (comptabilit, commerciaux ..). Il faut avant tout :
q

identifier les entits structurelles informatique direction comptabilit commercial production salari serveurs et postes de travail identifier les entits organisationnelles secrtaires directeurs responsable de services stagiaire identifier dventuels sites gographiques Lyon Paris Bruxelles Identifier la rpartition : quelle structure est ou ? Lyon : informatique, comptabilit, commercial Bruxelles : informatique, commercial production Paris : informatique , commercial, direction
r r r r r r r r r r r r r r r r

1. identifier quel sont les besoins en terme de recherche dinformations dans cet annuaire
q

Cela implique de structurer linformation de manire a pouvoir faire des recherches efficaces et utilisable par les services connects.

Schma propos
Pour cette entreprise, voici le schma propos

4/{nb}

Last update: 2011/03/09 21:58

fr:documentation:totale http://www.fusiondirectory.org/doku.php?id=fr:documentation:totale

Quelques commentaires : La redondance des groupes informatique , commercial et direction est volontaire, cela permet de faciliter les recherches suivant si lon veut la liste de tout les commerciaux de la socit ou uniquement du site de Paris. exemple :
q

Liste de tous les commerciaux = liste des personnes faisant partie dun group appel commercial Liste des commerciaux lyonnais = liste des personnes faisant partie du groupe commercial de lentit lyon

Traduction en terme LDAP du schma prcdent

5/{nb}

http://www.fusiondirectory.org/doku.php?id=fr:documentation:totale fr:documentation:totale

Last update: 2011/03/09 21:58

Quelques commentaires : Les entits structurelles salaris , serveurs ou commercial sont traduit de manire diffrentes :
q q q

salari est un entit reprsentant une personne : cest un utilisateur commercial est une entit regroupant des personnes : cest un groupe serveur est une entit reprsentant un quipement : cest une configuration Chaque entit structurelle doit tre classe dans des conteneurs appels en terme LDAP unit organisation ou Organisational Unit (OU) Chaque entit structurelle doit tre identifi de manire unique par un attribut de cette entit : le nom commun ou Common Name (CN) . Pour les utiliseurs, on pourra aussi trouver lattribut d identifiant unique ( Unique Identifier : uid) Chaque lement est identifi de manire unique par sa position dans larborescence de lannuaire :

ex : mme Z est identifi par cn=mm Z,ou=people,ou=bruxelles,dc=acme,dc=fr A noter que :

q

les caractres accentus ainsi que le mlange de casse sont viter le plus possible dans les OU

6/{nb}

Last update: 2011/03/09 21:58

q

fr:documentation:totale http://www.fusiondirectory.org/doku.php?id=fr:documentation:totale

par convention, les utilisateurs sont stocks dans une entit appel people , les groupe dans groups La racine de larbre est gnralement lidentifant de lorganisme pour lequel larbre est cr. Cet idenfiant est souvent invariable et correspond au nom de domaine internet. On utilise donc le type de donn Domain Company : dc dou le dc=acme,dc=fr

Les possibilits de FusionDirectory

FusionDirectory considre que le rle dun arbre LDAP nest, ni plus ni moins, que du stockage organis. Ce nest pas au serveur LDAP de sassurer de la cohrence du contenu (cohrence pouvant tre assur par openLDAP par loverlay dynamicGroup) ou bien mme de dfinir la politique de scurit du mot de passe (overlay LDAP ppolicy). Cette vision permet FusionDirectory dtre utilis avec nimporte quel type de serveur LDAP pourvu que ce dernier sache communiquer en LDAPv3 tel que :
q q q q

ApacheDirectory de la fondation Apache 2) eDirectory de Novell 3) 389-Directory du projet Fedora 4) Sun Directory de Sun Microsystem 5)

La protection du contenu dun arbre LDAP

FusionDirectory rajoute dans les entres dannuaire, un attribut (FusionDirectoryACL) permettant de limiter laccs une fiche LDAP, voire mme un attribut, des utilisateurs. Cela vite la rdaction fastidieuse de rgles de controle daccs (ACL) au niveau du serveur dannuaire. Les ACLs FusionDirectory sont uniquement utilis par FusionDirectory et ne sont pas intrusives pour les applications utilisant le serveur dannuaire. Ces ACL permettent une intgration assez pousse de FusionDirectory dans un systme dinformation aussi complexe soit il. Ces ACL peuvent tre assign des rles. On pourra avoir un rle :
q

q q

utilisateur : il peut se connecte FusionDirectory avec son login/mot de passe pour modifier sa fiche uniquement et son mot de passe adminstrateur local : ce rle pourra avoir la possibilit de grer des utilisateurs et groupes dune certaine branche bien identifier administrateur global : ce rle le droit de tout faire ressource humaine : ce rle peut crer des utilisateurs uniquement partir de modle afin de doptimiser les flux darrive des nouvelles personnes

Laccs plusieurs arbres LDAP

FusionDirectory est une interface web fonctionnant par profil. Il est donc possible davoir un seul serveur FusionDirectory et accder plusieurs serveurs LDAP diffrents avec des profils diffrents.
7/{nb}

http://www.fusiondirectory.org/doku.php?id=fr:documentation:totale fr:documentation:totale

Last update: 2011/03/09 21:58

Dans le cas dun systme dinformation rpartis sur plusieurs sites avec des annuaires distincts, une seul interface permettra de tous les grer.

Les dclencheurs FusionDirectory

FusionDirectory intgre un srie de dclencheurs qui permettent de lancer une action spcifique en fonction dune tache excuter sur FusionDirectory. Ces dclencheurs sont associs un type de contenu LDAP (utilisateur, groupe, serveur, mot de passe , service (etc) et laction de dclenchement (cration, modification, suppression, changement de mot de passe ) Ce systme est trs pratique lorsque certaines actions doivent tre fait suite au dpart ou a larrive dune personne dans lentreprise Par exemple, lors de la cration dun utilisateur, un script de gnration de formulaire peut tre excut automatiquement avec des informations provenant du serveur LDAP. Cela peut tre utile pour gnrer des badges avec la photo, un formulaire daccs au restaurant dentreprise ou lenvoi dun mail pour prvenir de larrive effective de la personne. Ce systme est pratique aussi lorsque que lon veut dployer le compte de cette personne sur un applicatif ne supportant pas le protocole LDAP ( FusionDirectory peut aussi transmettre le mot de passe) Autre exemple, lorsquun utilisateur part, il faut :
q q q

archiver et supprimer sa boite mail archiver et supprimer son espace rseau le supprimer des applicatifs tierce non connect LDAP Tout ceci peut tre facilement fait par des scripts shell ( du moins en environnement UNIX) et dclencher automatiquement par FusionDirectory aprs la suppresion de la personne par ladministrateur

Linteraction avec des applicatifs non LDAP (EN PROJET)

FusionDirectory stocke linformation dun service ou dun serveur sur un serveur LDAP. Comment faire lorsque que ce service ne dispose pas de la possibilit linteraction avec LDAP ? Cette question peut tre rsolu par la cration :
q q q

dun schma LDAP adapt lapplication sur le serveur LDAP dun plugin pour sa gestion dans FusionDirectory dun plugin pour le client install sur le serveur (client sou forme de module FusionInventory 6)

Fonctionnement basique de FusionDirectory

Schma darchitecture
Voici aprs un schma dtaillant le fonctionnement pour des serveurs
q

samba

8/{nb}

Last update: 2011/03/09 21:58

q q

fr:documentation:totale http://www.fusiondirectory.org/doku.php?id=fr:documentation:totale

serveur DNS hbergeant application Web

Les tapes communes

q

tape 1 : lutilisateur se connecte sur le serveur FusionDirectory via une interface web. le compte de lutilisateur existe dj dans le serveur LDAP tape 2 : Pour chaque criture ou lecture dans lannuaire, lapplication web FusionDirectory se connecte sur le serveur LDAP avec un utilisateur ayant suffisamment de droits pour pouvoir supprimer, modifier ou crer nimporte quel objet. Le dialogue seffectue par le biais du protocole LDAP v3. Tout les paramtres de connexion et de laffichage de la console web FusionDirectory sont stocks dans le fichier /etc/FusionDirectory/FusionDirectory.conf

Cas de lapplication web

Lapplication a t paramtre afin dauthentifier chaque utilisateur par le biais du LDAP. Lapplication web a donc le nom du serveur LDAP, la branche de recherche et ventuellement un compte de service.
q

q q

tape 1 et 2 : Ladministrateur a cr un compte utilisateur avec lextension Posix (qui permet le remplissage du mot de passe pour un compte donn) tape 3 : Lutilisateur se connecte lapplication web en fournissent un couple login/mot de passe, tape 4 : Lapplication web confirme ou infirme la connexion de lutilisateur sur cette applications via une requte LDAP sur lannuaire.
9/{nb}

http://www.fusiondirectory.org/doku.php?id=fr:documentation:totale fr:documentation:totale

Last update: 2011/03/09 21:58

Cas du serveur Samba

Le serveur Samba contient les lecteurs rseaux propre lutilisateur et ventuellement le contrleur de domaine.
q

q q

tape 1 et 2 : Ladministrateur a modifi le compte de la personne prcdente en rajoutant loption Samba (conversion du mot de passe posix en mot de passe windows, dfinition des rgles daccs, chemin UNC du lecteur rseau de lutilisateur ..) tape 5 : Lutilisateur demande laccs au serveur Samba. tape 6 : * Liste puce Le serveur Samba rcupre sur le serveur LDAP les informations relatives lutilisateur demandeur et les utilise pour autoriser les accs et diriger lutilisateur vers le bon rpertoire partag

Cas du serveur DNS

Le serveur DNS fourni entre autres, les quivalences entre les adresses IP et les noms qualifis des serveurs. Pour cela il a besoin de consulter une table dquivalence IP nom et nom IP. FusionDirectory permet la manipulation et le stockage dans lannuaire LDAP de la configuration du serveur DNS bind 7) .
q q q

tape 1 : Via linterface web, ladministrateur dclare des enregistrements DNS. tape 2 : Les donnes sont crite sur le serveur LDAP . tape 7 : une synchronisation rgulire des tables dquivalence locales par rapport au contenu du serveur LDAP est faite par le biais dun script ( ldap2zone) sexcutant sur le serveur DNS. Lexcution de ce script chaque modification des paramtres DNS sur le serveur LDAP peut tre mise en place grce au dclencheurs. Etape 8 : le client accde au serveur DNS par les requete classiques Dans sa version 9, Bind pourra interroger directement le serveur LDAP

Remarques gnrales sur lutilisation simple de FusionDirectory

Dans ce cadre la, les rles entre FusionDirectory, le serveur LDAP et les serveurs tiers sont bien dfinit :
q q

FusionDirectory lit/crit dans le LDAP, les application ou serveur tiers lisent le LDAP FusionDirectory nest donc pas indispensable au fonctionnement des serveurs et/ou des applications. FusionDirectory est juste indispensable pour lexploitation des donnes de manire conviviale.

Les 3 exemples cits ne sont pas les seuls applications, en effet dautres services utilisent le mme principe tel le serveur de mail Postfix pour le routage des mails ou le serveur dhcpd pour lattribution dynamiques des adresses IP. http://fr.wikipedia.org/wiki/Ldap http://directory.apache.org/ 3) http://www.novell.com/fr-fr/products/edirectory/overview.html 4) http://directory.fedoraproject.org/ 5) http://www.sun.com/software/products/directory_srvr_ee/dir_srvr/index.xml 6) http://forge.fusioninventory.org/projects/fusioninventory-ldap
1) 2)

10/{nb}

Last update: 2011/03/09 21:58

7)

fr:documentation:totale http://www.fusiondirectory.org/doku.php?id=fr:documentation:totale

https://www.isc.org/software/bind

From: http://www.fusiondirectory.org/ - FusionDirectory Website Permanent link: http://www.fusiondirectory.org/doku.php?id=fr:documentation:totale Last update: 2011/03/09 21:58

11/{nb}