bonjour les amis admin,

j'aimerai avoir un identifiant + mot de passe unifié pour tout les services au sein de ma boite ( samba, mail, wiki, svn, ssh@serveur appli etc ...)

apparemment il y a ldap qui fait ça mais ça a l'air assez compliqué à mettre en place. Est-ce qu'il y a des solutions pré-packagées qui me permettent de gérer ça facilement?

et cerise sur le gâteau: il y a t-il un front-end web qui permet aux utilisateurs de changer leur mot de passe avec cette solution ?

 
Non, Oui.

Il y a MDS chez mandriva qui permet ce genre de choses ( http://www2.mandriva.com/linux/server/directory/ ) il faudra bien évidemment terminer de modifier certaines choses mais le plus gros est fait.

http://lemonldap-ng.org/welcome/

A priori il y a un peu plus de travail en partant de ton application étant donné qu'elle ne semble concerné que la gestion d'un serveur web là non ?

Tiens d'ailleurs tu peux éventuellement jetter un oeil à ce qui est mis en place du coté de mageia pour gérer ceci :
Ils partent sur du ldap afin de gérer l'ensemble du système : forum/wiki/ssh/mail/etc
cf http://blog.mageia.org/?p=106

merci
je vais regarder tout ça

apparemment il y a des paquet debian déjà tout prêts en plus:  
http://mds.mandriva.org/pub/mds/debian/

et sinon quelqu'un connaît phpldapadmin ?

je ne suis pas certain que la cerise soit disponible avec mais tu peux essayer.
L'avantage là c'est que tu ce seras toi qui définira le schéma (à l'inverse de mds par exemple )

A noter qu'il vaut mieux se reposer sur un schema assez standard plutot que de réinventer la roue et avoir un truc qui posera problème quand tu souhaiteras intégrer de nouvelles applications
 
Sinon, question serveur ldap y a le choix :
- openldap : performant, très customisable, pas du tout clef en main
- 389 DS (anciennement Fedora DS) : avec une interface graphique pour tout paramétrer, intégration avec de l'Active Directory MS, mais j'ai trouvé le bouzin très complexe pour un clicodrome
- Apache Directory Server : jamais testé, je pense que quand la question se posera de mettre à jour notre "infra" LDAP j'y jetterai un oeil
 
Sinon comme outil (non web) pour gérer cet annuaire, Apache Directory Studio est bien fichu, mais c'est basé sur Eclipse donc un peu lourdeau.
En plus light y a GQ, pour les petites recherches/modifs c'est suffisant, et ça le lance en moins d'une seconde.
 
Enfin pour le changement du mot de passe via une interface web, pas besoin de chercher un outil tout fait, n'importe quel langage utilisable en CGI te permettra de faire ça en quelques minutes (PHP, Python, Java, Perl, Ruby... tous les langages ont une lib LDAP )

Ah et puis très important
Mets en place un système repliqué dès le départ (soit Maitre / Esclave, soit multi-maitres, selon le soft utilisé), car ça devient une brique très sensible de ton infra, mais l'avantage est que tous les clients LDAP sont capables de prendre plusieurs serveurs en paramètres, et basculeront automatiquement sur le second/troisième en cas d'indisponibilité du premier

Quand je vois "Sponsored by Gendarmerie Nationale", j'ai comme un doute sur l'efficacité de la chose

ça veut dire que c'est simple à utiliser !

j'ai un tutoriel avec mandriva MDS qui utilise dovecot: ça a l'air d'être beaucoup plus compliqué à utiliser que "courrier",  
Je pense qu'il est plus raisonnable pour moi d'utiliser "courrier", vous n'avez aucune contre-indication ?

outre le fait que courrier n'est pas autant scalable que dovecot, offre moins de fonctionnalité, que dovecot regroupe une communauté de plus en plus importante ?
Non aucune contre indication.

tu sous-entends que courrier est sur la pente descendante et que dovecot est la star de demain ?

timo est ton nouveau dieu

 
ldapvi
 

 
+100
 

bon j'ai un peu bossé sur le smilibilik en after-hours ( )

ça commence à marcher !
avec un user de test j'arrive à avoir dovecot qui me fait de l'imap et postfix qui marche aussi en smtp

avec le tout qui marche sous icedove thunderbird, me reste plus qu'à solidifier l'ensemble

edit: j'oubliais le plus important: j'utilise MDS pour remplir l'annuaire ldap

Heu non, je préfère continuer à utiliser mes outils graphiques, là, pour le coup
 
Ou du script pour ce qui est automatisable

LUMA aussi, non ?
http://luma.sourceforge.net/screenshots.html

Connais pas.

 
chiffe molle

http://projects.martini.nu/shelldap  

enfin du command line user friendly pour ldap

Par contre il chie un peu dans la colle avec mon ou people qui contient plus de 15000 entrées
 
Il veut tout charger dès le "cd", pour permettre la completion auto, du coup je me mange un timeout

tu bosses pour qui déjà ? l'éducation nationale ?

sinon fait un bug report, comme te dirais BL

Pas pour l'éducation nationale, pour l'enseignement supérieur et la recherche    
Sinon je vais plutot voir si je peux pas faire un patch plutot qu'un bug report

C'est que du Perl en même temps
Et du LDAP, ça devrait rester jouable

FIXED

Et donc du coup, rapport de bug avec le patch adéquat  

Ben oui

Enfin c'est pas un rapport de bug, c'est un "enhancement"

tu considérais le fonctionnement comme inapproprié limite un DOS, c'est donc un bug .

Ben non, suffisait d'augmenter le timeout

  plutôt  
 
Autre solution : il suffit d'augmenter la bande passante et le temps CPU alloué sur le serveur non ?

Le serveur est déjà optimisé aux petits oignons
 
C'est plus ma machine cliente qu'a du mal à suivre pour le coup (mais bon récupérer toutes les infos de tous les comptes, je peux pas lui en vouloir )