Le Tuesday 23 May 2006 00:11, CONANGLE Frédéric(CONANGLE Frédéric <fconangl@yahoo.fr>) a écrit: > > Bonjour, Bonjour, J'ai loupé le premier mail, je réponds là. Je ne connais pas grand chose. D'après ce que j'ai compris : > > Je cherche à installer openldap pour réaliser une gestion > > centralisée (et sécurisée) des utilisateurs de mon lan. J'ai vu > > de nombreux tutoriaux, mais tous tellement différents que je ne > > sais plus ce qui est essentiel de ce qui ne l'est pas : Dans le cas de l'installation d'un LDAP *propre*, il est important de définir le schéma *correctement* en fonction votre l'organigramme ; cela vous évitera de retoucher à l'essentiel à chaque fois vous voulez faire l'évoluer. Après pour la technique c'est simple. On trouve plein de tuto (plus ou moins complet sur le Net...). Pour revenir à LDAP, c'est une grosse (petite) base de données stockant l'ensemble d'informations sur un objet (login/password/groupe/clé privée etc... dans le cas d'un utilisateur) et utilisant une protocole définie pour les échanges avec le reste du monde ! > > sasl Encore une fois, d'après ce que *j'ai* *compris* : sasl se place entre l'application et le serveur LDAP. C'est une librairie qui permet de switcher le backend d'authentification sans toucher l'appli (un peu comme PAM) : Vous pouvez mettre en place par exemple un serveur Imap avec une authentification sasl : les logins/password peuvent être définis dans un fichier texte, puis si vous voulez passer à LDAP (ou une base mysql ou /etc/passwd), il faut juste modifier la config de SASL.... Du coup, c'est plus facile pour les développeurs : ils n'ont qu'à se baser sur des librairies (et ne s'occupent que du coeur de leur l'appli) et les admins. peuvent switcher le backend d'authentifcation de façon transparente! > > kerberos, etc... Kerberos est une solution tout en 1 : le permet de stocker les comptes/password des utilisateurs, fournit une API (GSSAPI?) permettant aux applis de déporter l'authentification et enfin, permet de faire du SSO. > > Et je ne comprends pas toujours comment les > > différentes briques s'imbriquent entre elles. En gros (je vais prendre le cas d'un domaine Windows. C'est pas le meilleur, mais, bon je *pense* IIS6 ne peut pas accèder à serveur LDAP autre qu'AD) - Les comptes utilisateurs/password/groups sont stockés dans l'AD (serveur LDAP à la sauce Microsoft). - Lorsque vous vous loggez sur le domaine, l'authentification se fait à travers un Kerberos(à la sauce Microsoft). Vous obtenez un token ! - Vous allez avec IE sur une application hébergée par un IIS qui est dans le même domaine AD, avec une authentification NTLM. Vous n'avez pas de retaper votre mot de passe. - Vos utilisateurs peuvent récupérer leur mails par Cyrus-IMPA qui peut attaquer AD (à travers de SASL) pour l'authentification! - Votre application APACHE/PHP peut utiliser AD à travers mod-auth-imap (ou le module ldap de php) pour s'autentifier ! > > 1) Est-ce que quelqu'un connait un tuto (c'est bien les tuto), Heu... non, mais je suis preneur ! > > 2) qui explique ce qu'on fait et ne se contente pas de donner > > les apt-get qui vont bien (c'est mieux) ? Pour la mise en place d'un serveur LDAP, je pense qu'il y a une analyse fonctionnelle de votre organisation. Vous aurez du mal à trouvez un tuto sur ce point... J'espère que n'ai pas raconté trop de conneries... A+ -- Glennie "D'abord ils vous ignorent, ensuite ils vous raillent, ensuite ils vous combattent et, enfin, vous gagnez"
Attachment:
pgpv0w7RJQlYF.pgp
Description: PGP signature