Scribd Logo
Importer

Bienvenue sur Scribd !

  • LDAP

    Transféré par

    Khalil Boukri
    54 vues39 pages

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    54 vues39 pages

    LDAP

    Transféré par

    Khalil Boukri

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 39

    Serveur NTP

    Network Time Protocol


    LDAP
    Lightweight Directory Access Protocol
    Ce que pensent 100 directeurs
    informatique de LDAP :
    Sommaire
    ❖ Définitions et Concepts
    ❖ Historique
    ❖ Modèles
    ❖ Applications concrètes
    ❖ Conclusion
    Sommaire
    ❖ Définitions et Concepts
    ❖ Historique
    ❖ Modèles
    ❖ Applications concrètes
    ❖ Conclusion
    Définitions et concepts
    ► Unannuaire est un conteneur d’informations
    organisées.

    ► Exemples d’annuaires courants


    ▪ annuaire téléphonique : Les Pages Jaunes
    ▪ carnet d’adresses
    ▪ catalogue de vente

    ► Un annuaire global célèbre très utilisé : DNS


    ▪ il a un espace de nommage uniforme
    ▪ il est distribué entre des serveurs coopérants
    Définitions et concepts
    ► Unannuaire est une base de données, mais une
    base de données n’est pas un annuaire
    ▪ Lecture
    ▪ Performance
    ▪ Extensibilité
    ▪ Communication entre serveurs
    ► Un annuaire n’est pas :
    ▪ approprié à de fréquentes écritures
    ▪ destiné à manipuler des données volumineuses
    ▪ un substitut à un serveur FTP, un système de fichiers,...
    Sommaire
    ❖ Définitionset Concepts
    ❖ Historique
    ❖ Modèles
    ❖ Applications concrètes
    ❖ Conclusion
    Historique – X.500 (1)
    ► Standard conçu par les opérateurs télécom pour
    interconnecter leurs annuaires téléphoniques.
    ► Destiné à devenir LE service d’annuaire GLOBAL
    distribué, normalisé et fédérateur.
    ► Mais conçu aussi pour répondre à tout type de
    besoin d’annuaire grâce à un modèle de données
    de type objet et extensible.
    Historique – X.500 (2)
    ► X.500 définit :
    ► les règles pour nommer les objets et les
    entités
    ► les protocoles pour fournir le service
    d’annuaire
    ► un mécanisme d’authentification.
    Historique – X.500 (3)
    Historique – X.500 (4)
    ❖ Atouts d’X.500 :
    ► scalability, fonctions de recherche évoluées,
    distribué (données et administration),ouvert
    ❖ Défauts d’X.500 :
    ► implémentations très lourdes, buggées et
    difficilement interopérables, basé sur les
    protocoles ISO, contraire à la culture internet
    ➢ Echec : les ambitions d’X.500 n’ont pas été
    atteintes
    Historique – LDAP (1)
    ❖ LDAP né en 1993 de l’adaptation du
    protocole DAP au protocole TCP/IP
    ❖ RFC en pagaille
    ► LDAPv1 : RFC 1487
    ► LDAPv2 : RFC 1777
    ► LDAPv3 : de RFC 2251 à 2256 (1997)
    ❖ LDAP garde beaucoup d’aspects de X.500,
    mais va dans le sens de la simplification et
    de la performance.
    Historique – LDAP (2)
    Sommaire
    ❖ Définitions et Concepts
    ❖ Historique
    ❖ Modèles
    ❖ Applications concrètes
    ❖ Conclusion
    Concepts de LDAP
    Le standard LDAP définit :
    ❖ Un protocole, cad comment accéder à
    l’information stockée.
    ❖ 4 modèles :
    ► information
    ► désignation = nommage.
    ► services = fonctionnel.
    ► sécurité
    Exemple d’un DTI de racine
    Les classes d’objets
    Attributs Fonction
    dc (domain component) une partie d’un nom DNS. Pour une
    entreprise dont le nom de domaine serait
    “mon-entreprise.com”, il est courant
    d’appeler la racine du DIT “dc=mon-
    entreprise,dc=com”

    cn (common name) le nom commun. Pour une personne, c’est


    en général le prénom + le nom de famille

    gn (given name) le prénom


    sn (surname) le nom de famille
    o (organization name) pour une entreprise, ce serait le nom de
    l’entreprise ou de la filiale

    ou (organisational unit) l’unité d’organisation. Pour une entreprise,


    ce serait le département (commercial,
    comptabilité, etc.)
    Le protocole
    ❖ Le fonctionnement Client-Serveur
    ► URL : ldap://… RFC 2255
    ► BER
    ❖ commandes pour se connecter ou se
    déconnecter, pour rechercher, comparer,
    créer, modifier ou effacer des entrées.
    ❖ Le fonctionnement Serveur-Serveur
    ► LDUP (LD Update P)
    Le modèle d’information (1)
    ► modèle objet
    ► Objets = ensemble de valeurs
    ► A une valeur est associé un type d’ attribut :
    définit la syntaxe.
    ► Classe d’objets (notion d’héritage)
    ► OID identifient les attributs, syntaxes et
    classes d’objets.
    ► Liste des attributs = RFC2252 & RFC2256
    Le modèle d’information (2)
    Le modèle de désignation (1)
    ► Arborescence hiérarchique (DIT)
    ► définit comment sont organisées les entrées
    de l’annuaire et comment elles sont
    référencées.
    ► l’identification d’une entrée se fait à l’aide
    d’un nom absolu, le Distinguish Name (DN)
    unique.
    ► DN divisé en Noms relatifs (RDN)
    Le modèle de désignation (2)

    Exemple de DIT
    Modèle des services (1)
    ❖ Définit les fonctions offertes :
    ► la connexion, déconnexion
    ► la notification (de déconnexion)
    ► la mise à jour
    ► les services annexes (abandon d'une
    opération en cours, extensions)
    ❖ Offre des fonctions de recherche avancée
    Modèle des services (2)
    Modèle de sécurité
    ❖ Le modèle définit les méthodes :
    ► d'authentification
    ► d'intégrité des informations échangées
    ► de confidentialité
    ► d'habilitations (accès lecture/écriture).
    Sommaire
    ❖ Définitions et Concepts
    ❖ Historique
    ❖ Modèles
    ❖ Applications concrètes
    ❖ Conclusion
    DEN : Directory Enabled Networking

    ► Initiative
    de Microsoft et Cisco en 1997
    ► Partage d’informations dans un annuaire
    entre éléments réseaux
    ► Permet QoS et facilité d’administration du
    réseau
    DEN
    Distributed
    Central Policy Policy Enforcement Intelligent
    Repository Security Infrastructure
    Policy RADIUS
    Engine
    User and Devices LDAP

    Profiles and Policies QoS


    Server
    Policy
    Services and SLAs Cache Engine
    LDAP LDAP

    Addresses
    Policy
    Engine DNS/DHCP
    LDAP
    Microsoft Active Directory
    ► LDAP propriétaire mais :
    ► Lisible par tout client LDAP
    ► Par contre la création d’objets doit passer
    par les interfaces fournies (LDIFDE)
    ► Nécessite connaissance de l’arborescence
    propriétaire (attributs obligatoires non
    normalisés).
    Novell NDS
    ❖ NDS est un annuaire généraliste décliné en deux
    versions :
    ► NDS eDirectory dédié aux applications Internet
    et aux extranets
    ► NDS Corporate Edition dédié aux intranet.
    ❖ Particularité de NDS :
    ► il fonctionne en environnement Netware ou
    windwsNT ou Solaris
    ► il supporte LDAP v.3
    ► il offre un outil permettant d'importer et
    d'exporter des données au format LDIF
    Commerce électronique
    ► Partage des profils utilisateurs grâce à LDAP
    ► Une base pour plusieurs sites
    ► Différents logiciels :
    ▪ SUN : iPlanet E-Commerce Solutions
    ▪ Microsoft : SiteServer Commerce Edition
    ▪ IBM : WebSphere Commerce Suite
    ▪ Oblix : Oblix E-Business
    ▪ BroadVision : BroadVision One-to-On
    Certificats X509
    ❖ Infrastructure à clés publiques (PKI)
    ► authentifier des utilisateurs et des services
    ► gérer des habilitations
    ❖ Certificats :
    ► authentification,
    ► signature et chiffrement des données
    ❖ outil basé sur un standard accessible de
    différentes plateformes et permettant de stocker
    ces certificats, de rechercher…
    ❖ iPlanet de Sun, NDS de Novell, SecureWay
    Directory d'IBM
    SSO : Single Sign On
    ► Une seule authentification permet l’accès à
    différentes applications.
    ► Nécessite un Policy Server.
    ► SiteMinder de Netegrity, getAccess de
    enCommerce.
    Meta-annuaire
    ► Référentiel unique de plusieurs applications
    hétérogènes
    ► basé soit sur la réplication des données
    ► soit sur un annuaire virtuel
    API disponibles
    ► API C : #include <ldap.h>
    ► API Java : import javax.naming.*;
    ▪ Netscape
    ▪ JNDI (Java Naming and Directory Interfaces)
    ► ADSI (Active Directory Service Interface)
    ▪ C, C++, VB, VBScript, JavaScript, VBA, ASP
    ldap search
    -Q active le mode silencieux pour l’authentification
    SASL.

    -Y indique le mode SASL choisi pour l’authentification.


    Normalement, EXTERNAL implique une
    authentification par certificat client, mais dans ce
    cas-là, ça signifie que l’authentification se fera par
    l’UID et le GID du compte système. C’est pour ça
    que vous devez lancer la commande avec “sudo”.
    L’utilisateur root a des passe-droits pour accéder à la
    base locale LDAP.

    -L indique d’afficher le résultat au format LDIF. On


    aurait pu indiquer -LLL pour avoir la même chose
    sans toutes les lignes commentées.

    -H indique l’URI qu’on veut utiliser pour se connecter.


    Ici ldapi:/// dit de se connecter à la socket Unix en
    local (la communication passe par un fichier local
    plutôt que par le réseau).

    -b indique le nœud à partir duquel vous voulez faire


    votre recherche. Ici dc=mon-
    entreprise,dc=com est la racine donc vous
    recherchez dans tout le DIT. À la suite du nœud,
    vous auriez pu indiquer des filtres pour votre
    recherche, mais sans filtre vous avez l’affichage le
    plus complet.
    LDIF
    ► LDAP Data Interchange Format
    ► Permet l'ajout, la suppression et la
    modification des données de l'annuaire
    Conclusion
    ► Futur == Meta-annuaires
    ► Un lien très intéressant (JRES 2003)

    Vous aimerez peut-être aussi