L'actu sur le net

- Contributions de l’équipe OSSA
- Toolinux
- Da Linux French Page
- Daily Daemon News
- Libroscope
- Linagora.com
- LinuxFrench.Net
- LogicielLibre.Net
- PHP

Articles populaires

- [Manuel] Introduction à Cacti
- [Tutoriel] Ajout d’un script dans les commandes Nagios
- [Nagios] Surveillance des disques RAID sous Linux
- [OpenLDAP] Start/stop script
- Fichiers de configurations Samba
- JMX (Java Management eXtensions)
- [OpenLDAP] Script de démarrage et d’arrêt
- [Nagios] Supervision of OpenLDAP’s replication status

 © Linagora.com

Accueil > Réalisations > InterLDAP > Serveur d’annuaires d’InterLDAP

Serveur d’annuaires d’InterLDAP

Le serveur d’annuaire d’InterLDAP dispose de plusieurs composants qui fournissent un référentiel central pour stocker et gérer les profils, les informations de l’identité, la structure de l’organisation, les droits d’accès, les applications et tout ce qui vous voulez stocker dans l’annuaire. Il peut ainsi être utilisé pour remplacer des domaines NT, des pages blanches et pages jaunes, synchroniser l’annuaire avec un PABX ou une infrastructure VoIP ou encore se connecter à n’importe quelle application qui supporte une interface LDAP.

Les informations stockées sur le serveur d’annuaire d’InterLDAP peuvent être utilisées pour l’authentification et l’autorisation des utilisateurs pour un accès sécurisé aux applications et services Internet. InterLDAP fournit différentes méthodes de gestion de contrôle d’accès qui sont partagées au travers des communautés, des applications et des services sur une base globale.

Les trois composants principaux d’InterLDAP sont :

 OpenLDAP (http://www.openldap.org/) : Le projet OpenLDAP est un effort collaboratif dont le but est de développer un serveur et une suite d’outils LDAP robustes, disposant d’un grand nombre de fonctionnalités, de qualité commerciale et Open Source. Ce projet est géré par une communauté internationale de volontaires qui travaillent via Internet pour communiquer, planifier et développer la suite OpenLDAP et la documentation relative.

- Le schéma enrichi développé par Linagora (http://www.interldap.org/) : ce schéma est stocké sur le serveur OpenLDAP lui-même afin de décrire tous les objets (personnes, profils, structures et applications) ainsi que leurs attributs. Celui-ci est utilisé pour construire dynamiquement l’ensemble des interfaces web de gestion et il vous est possible de l’étendre afin d’y apporter vos propres données

- Le serveur proxy filtrant AACLS (Advanced ACL Server : http://aacls.sourceforge.net/) : c’est un composant additionnel d’OpenLDAP développé de façon à évaluer à chaque requête sur l’annuaire des règles fonctionnelles modélisées en fonction du contenu de l’annuaire. Ces règles permettent de contrôler l’accès aux données de façon à en limiter la lecture, la modification, la création ou la suppression. Celles-ci une fois définies contrôlent l’accès jusqu’au niveau des attributs et sont effectives pour n’importe quel client LDAP (comme les clients de messagerie).

La combinaison du schéma enrichi, du proxy filtrant AACLS et de l’interface Web fournit les services d’administration suivants :
- La délégation se base sur des droits établis sur les profils et les rôles modifiables (comme l’organisation de rattachement, le type d’employé ou les clients)
- Les administrateurs peuvent définir les rôles de façon à préciser des critères. Par exemple, un gestion de serveur de messagerie pourra gérer l’ensemble des informations relatives à la messagerie dans l’annuaire, comme l’adresse de délivrance du courrier ou le serveur de messagerie
- Les utilisateurs peuvent enregistrer leurs propres comptes (ce, évidemment en fonction de la politique générale)
- L’utilisation des AACL dans InterLDAP protége donc les informations des utilisateurs, en fournissant deux niveaux de sécurité entre les utilisateurs non autorisés et les informations sensibles
- Les gestionnaires ou chef de services peuvent enregistrer leurs nouveaux collaborateurs.

Le déploiement d’InterLDAP nécessite une analyse de fond, une planification détaillée et intégration au sein du SI. Des ministères, universités ou entreprises de dimension internationale disposent typiquement d’une centaine d’annuaires et de bases de références spécifiques aux applications supportant les informations liées aux utilisateurs.

A un premier niveau, l’annuaire stocke les informations concernant le profil des utilisateurs, c’est-à-dire notamment les informations d’authentification et d’accréditation comme les certificats et les mots de passe. De plus, l’annuaire dispose de fonctionnalités plus avancées comme l’arbitrage dynamique de l’accès à certaines ressources avec une granularité fine. Chaque accès peut nécessiter une réévaluation en fonction des privilèges d’un utilisateur stockés dans le référentiel LDAP.

En plus de ces fonctionnalités, InterLDAP intègre des fonctionnalités simples de méta annuaire afin de centraliser, normaliser et synchroniser les informations concernant les identités, les structures et les nomenclatures à partir et à destination des multiples applications d’entreprise, comme les bases clients, les applications de ressources humaines, les équipements réseaux et les systèmes de messagerie. Ces informations sont donc centralisées et synchronisées à partir d’un référentiel unique et consolidé.

Avec InterLDAP, des changements effectués au travers d’une application connectée au système sont répercutés sur l’ensemble des applicatifs ainsi qu’au sein du référentiel central au travers de requêtes JDBC / ODBC, LDAP, SOAP (Web services) ainsi que via le de fichiers à plats (LDIF, CSV, ...)

SECURITE

InterLDAP assure l’authentification des utilisateurs au travers d’applications multiples en se basant soit sur une authentification classique de type identifiant et mot de passe, soit par le biais de certificats numériques ou soit par le biais de tout autre méthode (biométrique, SecurID, ...) dans la mesure où celles-ci fournissent une compatibilité Radius. Ces authentifications sont sécurisées au travers de la couche SSL (Secure Socket Layer) afin d’assurer la confidentialité, la validité de l’identité du client et du serveur et l’impossibilité d’altérer le flux. Les données sont protégées avec une granularité extrêmement fine au travers de règles pouvant être très précises, mais également plus générales et liées au modèle hiérarchique et/ou organisationnel. Ces règles tiennent compte des informations liées à l’utilisateur pour évaluer ses accès, et étant implémentées au niveau du serveur LDAP, celles-ci autorisent les applications à s’interconnecter directement au serveur en profitant de ces règles. Il n’est donc pas nécessaire, dans la majorité des cas, d’effectuer quelque modification que ce soit aux applicatifs.

DISPONIBILITE

InterLDAP supporte des processus de réplication de type multi -maître, et ce avec une granularité allant jusqu’à l’attribut, mais également une configuration ainsi qu’un processus de sauvegarde dynamique (application en cours de fonctionnement), afin d’offrir l’ensemble des composants essentiels à une infrastructure hautement disponible.

EVOLUTIVITE

InterLDAP dispose d’un support du protocole LDAP ainsi que d’un grand nombre de standards afin de permettre à une organisation de déployer de nouveaux services et applications sur la base des mêmes informations utilisateurs. Des kits de développements (SDK) autour des technologies JAVA/J2EE permettent de personnaliser le fonctionnement de l’annuaire pour certaines applications. L’interface Web services (disponible au travers des normes SOAP et DSMLv2) permet de maximiser l’interopérabilité d’InterLDAP avec l’ensemble du système d’information.

 Qui sommes nous ?

Dernière mise à jour : 27/08/2008
XHTML - SPIP 1.9.2