pam, openldap et mysql - Linux et OS Alternatifs
Marsh Posté le 03-09-2002 à 19:31:22
je l utilise j ai mis qque tps a comprendre le principe mais enfait c tout con !!
1) s'instralisation de tous les comptes ce qui plus facile car je suis en chroot totale au niveau server !!!, ca m evite de copier et de modifier tous c /etc/password
2) fiable, je pense faut demander au experts la !!!
3) maintenace j'utilise un browser ecrit en java !!
http://www-unix.mcs.anl.gov/~gawor/ldap/
et php gére le ldap !!!
Marsh Posté le 03-09-2002 à 19:35:08
Comment sont gérés par exemple les utilisateurs samba. Est-il possible depuis ldap de configurerles accès à tel répertoire pour tels utilisateurs et tel autre répertoire pour ces autres utilisateurs?
En fait je cerne difficilement les capacités de gestion que cela procure.
Marsh Posté le 03-09-2002 à 19:56:57
bobor a écrit a écrit : Comment sont gérés par exemple les utilisateurs samba. Est-il possible depuis ldap de configurerles accès à tel répertoire pour tels utilisateurs et tel autre répertoire pour ces autres utilisateurs? En fait je cerne difficilement les capacités de gestion que cela procure. |
ben enfait avec samab c possible, encompilant avec --with-ldap, mais c en expiremental !!!
Moi aussi je cerne encore mal les capacités mais pour l instant il repond a toute mes attentes !!
Faudrais un pro ldap passe ici !!!
Jar Jar, Axey !!
Marsh Posté le 03-09-2002 à 20:39:39
Bon alors...
En gros les interets de LDAP :
- Tes donnees (comptes utilisateurs ou n'importe quoi d'autre) peuvent etre tres clairement structurees. Dans un annuaire LDAP, tout est stocke sous forme d'un arbre. C'est pas mal. Au lieu d'avoir 25000 comptes en bordel, la, tu peux vraiment les categoriser. L'exemple que tu vois partout c'est celui d'une boite ou les utilisateurs sont rangees par bureau et par service. Mais meme sur son propre petit PC perso c'est pratique. Par exemple tu peux avoir une branche "utilisateurs" qui comprend elle-meme trois branches : "relous", "potes" et "admins". Tu ranges chaque compte dans la bonne categorie. Ensuite tu peux dire que le FTP va utiliser tous les comptes a partir de "utilisateurs" (donc tous), mais que le SSH c'est uniquement pour "admins", etc.
- OpenLDAP ca plante jamais Pourtant, c'est gros et moche.
- La structure des annuaires LDAP est completement libre. Un objet peut avoir des attributs completement differents de ceux des autres objets. Une nouvelle branche peut etre ajoute n'importe ou dans l'arbre. Les attributs peuvent contenir un nombre illimite de caracteres (et n'importe quels caracteres : LDAPv3 = Unicode) . Des l'instant ou un attribut genre "phoneNumber" a ete defini pour un objet, on peut mettre 1 numero de telephone dedans, mais aussi 2, 10, 1000 ou 100000000 sans probleme. Il n'y a jamais besoin de faire des trucs genre "ALTER TABLE" comme en SQL. On ajoute ce qu'on veut ou on veut, quand on veut.
- N'importe quel client LDAP peut communiquer avec n'importe quel serveur LDAP. SI tu as un truc qui fonctionne sous OpenLDAP, tu reprends la conf, tu la fous sous un autre serveur genre iPlanet sans changer le moindre truc, ca fonctionne. Le protocole est le meme pour tout le monde. Tu as un serveur OpenLDAP avec des utilisateurs dedans, et tu utilises ca pour l'authentification Apache? Tu fous les memes parametres dans Outlook, et zou, l'annuaire devient utilisable dans Outlook.
- C'est fastoche a programmer, du moins en Perl et en PHP. Pour le C, c'est pareil, c'est tout standardisee, il y a une serie de fonction que l'on retrouve sur tous les OS, et tous les serveurs (ou bibliotheques) . Bref, on peut coder un truc utilisant LDAP sans connaitre sur quoi ca va tourner, et en etant pourtant sur que ca va tourner. Cool
- La replication est simple a mettre en place. De meme l'annuaire peut etre distribue (ca marche un peu comme les DNS, c'est facile a installer) .
- C'est tout objet, tout est tres facilement extensible (sans niquer l'existant pour autant) .
- Niveau securite c'est pas mal car LDAP c'est un protocole, pas un langage. Quand dans un script on appelle une fonction de recherche, meme si la requete est controlable par un utilisateur distant, il ne pourra jamais rien faire d'autre qu'une recherche (pas de "SQL injection" pour cause de mysql_escape_string oublies, etc) . Et pour eviter les DOS, les recherches peuvent avoir des limites differentes suivant les droits que l'on a (genre : un utilisateur anonyme peut pas faire une requete qui va durer plus de 2 secondes, ou renvoyer plus de 100 resultats) . De meme, LDAP peut tout chiffrer et utiliser une authentification par clefs (SSL partout) .
Bon alors maintenant pour la facilite d'administration... la c'est la merde.
Il y a de bons trucs commerciaux pour administrer les annuaires LDAP (meme Microsoft Active Directory c'est pas si pourri, au moins c'est hyper simple) . Par contre en free, c'est pas la joie.
Pour administrer juste une liste d'utilisateurs, il y a DirectoryAdministrator qui est pas mal (ca se trouve facilement sur Freshmeat) . Comme couteau suisse basique il y a GQ. Et d'autres petits machins en Java.
Si tu veux juste gerer des utilisateurs pour le SSH, le FTP et le web, ca suffit largement.
Si tu veux faire des trucs plus complets, mieux vaut developper tes propres interfaces d'admin, genre en PHP.
Sinon dans les trucs relous de LDAP: au debut, capter comment fonctionnent les schemas, c'est vraiment casse-couilles. Apres, on s'y fait.
Bon, en fait le tout c'est de savoir ce que tu veux foutre avec LDAP et combien d'objets tu va stocker la dedans. Si c'est pour 10 utilisateurs, te prends pas la tete avec ca
Marsh Posté le 03-09-2002 à 18:56:57
actuellement je gère mes utilisateurs traditionnellement, c'est à dire en créant un groupe par service et en rajoutant des utilisateurs systèmes au groupe adéquat pour leur donner l'accès.
Souhaitant m'initier à ldap, je voulais connaitre les différences, avantages et inconvénients des 3 solutions possibles en termes:
- de sécurité d'accès/authentification
- de possibilité de gestion
- de facilité de maintenance
---------------
Gitan des temps modernes