[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Active Directory for Linux



Bonjour,
Projet interressant, voir meme un reve...
Mais qui le restera j'en ai bien peur, AD, d'accord c'est du krosoft, mais c'est ennorme en fonctionnalitées, et non, il n'existe aucun systeme equivalent dans les possibilitées de GPO (un genre d'acl et de gestion de droits) chez unix/linux.

Le 25/11/07, Hugues LARRIVE <hugues.larrive@gmail.com> a écrit :
Thierry Leurent a écrit :
> Bonjour,
>
>
Bonjour,
> Je pense que la majorité d'entre nous travaille dans un environnement
> Windows même si il existe des machines Unix. Pour les autres un effort
> d'imagination sera demandé ;).
>
Moi c'est le contraire, et si je fais un effort d'imagination c'est un
cauchemar !

Oui, c'est typiquement mon cas.

Je maîtrise pas bien le jargon microsoft alors il va falloir m'aider un
peu...
> Le pc bureautique standard est un Windows 2000/XP/Vista relié à un Active
> Directory 2000/2003,

Annuaire, y'a effectivement openldap.
Mais attention, AD, c'est pas un annuaire. C'est un annuaire compatible avec la norme de ldap. Mais AD sert aussi de controlleur de domaine, de gestions dde droits poussés, de politique de déploiement de logiciels, bref c'est vraiment completement diferent d'un annuaire (je cause pour ceux qui connaissent mal les produit krosoft).
Par exemple, en AD, on peut dire que le user toto1 peut se connecter de 8hà10h du matin uniquement, que si il se connecte, alors on installe automatiquement firefox, et que quel que soit le pc où il se trouve, il ne pourra en aucun cas utiliser un putty, et il ne verra jamais le disque c:\, et que une fois connecté, il sera dejà autentifié pour toutes les autres appli interne (sso)
Ben ca, c'est pas possible avec LDAP. Ldap, c'est un annuaire. (de facons générale, sous linux, un produit ne fait qu'une seule chose à la fois.

>  un serveur Exchange,
 Si tu utilise de facon avancée exchange, tu va devoir associer pas mal de produits ensembles:
un serveur mail (pop smtp imap) pour les mails.
Un systeme de calendrier colaboratif (bon courage pour les délégation sur calendrier générique, tu pourra pas facilement gérér les cas où la secretaire du service se casse en vacances et qui d'habitude laisse juste delagation de toute sa boite et ses calendrier à une copine, là, ce sera coté admin que ca devra etre fait)
Le partage des réunion, avec invitation, et possibilité de voir qui est disponnible quand, ou le renvoir d'invitation à un tiers, je suis meme pas sur que ca existe sous autre chose qu'exchange.

>  un proxy ISA
c'est quoi ça ? un truc pour faire fonctionner ma vieille carte son ? ;)
Un couple firewall orienté utilisateur (genre nfsu, les lettres sont dans le desordre je retrouve pas le nom, mais leur mascotte, c'est un genre d'herison, il est orienté user en plus d'ip et port) mélangé à un proxy genre squid.

>  et un FileServer

Samba 

> 2000/2003. Les postes clients sont principalement équipé d'un anti-virus,
> d'IE et de MS Office.
office, firefox, avast si les clients restent en win, sinon office et firefox sans AV sous linux.
 

>  Comme vous êtes un parfait administrateur Microsoft,
> un utilisateur peut se connecter sur une machine au hasard et retrouver
> rapidement son evironnement de travail dans le moindre détail. Biensur
> vous utilisez les groups policies et wsus pour administrer vos clients et
> serveurs, les outils de l'AD pour la gestion de vos machines, groupes,
> utilisateurs et permissions.
>
> La routine quoi .....
>
>
Là j'ai rien compris ! "groups policies", "wsus", "AD" ? c'est koi ces
animaux là ?

Group policies: ses droits definis par les gpo (des acl quoi)
wsus: un serveur windows update dans ton reso local, sinon si t'a 1000 postes qui font chaqu'un un win update, tu ecroule ton rezo, pis certaine MAJ de windows, vaut mieu pas les installer des fois, donc t'es maitre de tes updates.
AD: active directory, un meta annuaire qui fait plein d'autres truc, mais pas le caffé...

Donc j'en conclut que tu bosse avec des profils distants, ca doit pouvoir se gerrer soit en scriptant comme un fou des scripts d'ouvertures de sessions aupres d'un controleur de domaine samba, soit monter les /homes par NFS.

> Le projet totalement fou que j'espère étudier et mettre en place est ....
> Non, vous n'avez pas encore deviné ?
> Allez, je le dis. Mettre en place une stucture similaire en
> Linux/OpenSource !!!!!!! D'où le sujet. Vous le comprenez maintenant...
> Le projet ne se veut pas compatible Micro$oft mais doit offrir des
> fonctions similaires et être interconnectable avec de dernier.
>
Interconnectable dans quelle mesure ? pour ce qui est du courrier, du
proxy http, tout ça... pas de problème.

Idem, interconnectable à definir, parceque niveau annuaire, c'est possible de causer avec AD en protocole x400 (ou x500 je me rapelle jamais)
idem pour le reste des services, mais par exemple que ton projet soit controleur de domaine secondaire avec un AD en primaire, tu peux oublier, des projet comme ca y'en a deja eu, et ils ont tous terminés à la poubelle.

> Où en est le projet ? Au début, les applications Web vont êtres migrées
> vers Firefox et OpenOffice va être testé.
>
>
Juste un truc au passage, ça a peut être évolué mais a une époque
l'installation silencieuse d'openoffice était très bien documentée dans
la doc de... star-office. Ça peut servir quand il y a beaucoup de postes
à installer.
> La distribution n'a pas encore été choisie. Mais le projet visant à
> éliminer les licenses et la firme ne voulant pas renouer les liens qu'elle
> vient de dénouer. Elle veut absoluement une solution indépendante d'une
> firme quelconque.
>
> Débian est indépendante et nous considérerons que ses dérivées aussi.
> Toute fois elles bénificient de support (exemple HP). Le système de
> paquets constitue l'autre avantage, et je ne parle pas de la stabilité.
> Vous savez ce que vaut Debian, je n'ai pas à vous l'expliquer.
>
> Biensur, il y aura 2 types de clients desktops et laptops.
> Premier problème :
> Le couple Exchange/Outlook offre une platforme de travail collaboratif.
> Existe-t-il une solution sous Linux qui permette de travaille Offline ?
>
courier : Courier Mail Server - Base system
The Courier mail transfer agent (MTA) is an integrated mail/groupware
server based on open commodity protocols, such as ESMTP, IMAP, POP3, LDAP,
SSL, and HTTP. Courier provides ESMTP, IMAP, POP3, webmail, and mailing
list
services within a single, consistent, framework.
.
This package provides the functionality needed by all Debian courier
packages
like some configuration files, helper programs and the Courier TCP server
daemon.

oui, il en existe pas mal selon tes choix, mais ce sera pas exactement pareil que sous win.

> Comment l'inter-connecter à Exchange ?
>
>
Aucune idée... faut voir s'il y a des protocoles standards et pas trop
bugués dans exchange.

C'est tout simplement pas possible. Exchange est un produit microsoft, et ils sont jaloux sur celui-là, donc pas de proto standard, obligé soit de pop, soit imap, et dans ce cas, pas d'utilisatuion avancé comme le couple outlook/exchange...

Pour le offline le mieux c'est imap.
> Second problème :
> Active Directory, lui même.
>
> Je dois avoir une base de donnée, contenant tous les Utilisateurs, les
> Groupes, les Ordinateurs, les Imprimantes et idéalement les Group
> Policies.
>
ldap ssl

Oui, sauf les GPO...

> Je dois avoir un système d'authentification sécurisé et permettant le
> Single Sign On.
>
ssh-agent
> Je dois pouvoir dupliquer les données locales sur un serveur.(Unison)
>
unison-gtk - A file-synchronization tool for Unix and Windows with GTK
interface
> Je dois pouvoir recréer l'environnement d'un user à partir de son login.
>
C'est à dire ?

Profil distant, quel que soit le poste ou tu te connecte, t'as exactement le meme PC que celui que t'utilise d'habitude, avec le meme bureau, et les meme fichiers personnels genre mes documents.

> Je dois pouvoir me connecter à distance sur une machine. (VNC)
>
vnc + ssh
ou NX http://www.nomachine.com/products.php pour gagner du temps

vnc sous linux, du X11 au travers de ssh, là, y'a le choix.

> Je dois pouvoir gérer le DNS/DHCP.
>
Package: gadmintools
Description: GTK+ server administration tools
Gadmintools consists of several easy to use GTK+ server administration
tools
for the following servers:
.
  * gbindadmin - ISC BIND DNS server
  * gdhcpd - ISC DHCPD server
  * gproftpd - Proftpd FTP server
  * gsambad - Samba SMB server

ou simplement dhcp3-server, et tu regle ton fichier de conf en console.

> Je dois pouvoir gérer la réplication des bases.
> Je dois ......
>
> Je sais qu'il existe des Directory Server tout fait chez Apache et Fedora.
> Quelqu'un a-t-il une expérience avec ces produits ?
>
> OpenLDAP peut aussi constituer un bonne base de travail.
> Existe-t-il des schémas qui contiennent la structure pour les informations
> dont j'ai besoin ?
> Je pensais utiliser kerberos pour l'authentification. C'est fesable, je sais.
> Connaissez-vous d'autres solutions ?
> DNS, il y a LDAP-DNS.
> Comment supporte-t-il la charge quand il doit gerer des miliers de machines ?
> Il y a aussi une solution avec bind9....
>
Ben s'il support mal la charge on peut synchroniser un bind9 dessus et
utiliser le serveur bind9 comme serveur primaire pour les clients...
> DHCP, c'est aussi possible. Mais quid du "DHCP secondaire" ? Si le premier
> tombe, il faut le remplacer rapidement.
>
>
http://www.daemon-systems.org/man/dhcpd.conf.5.html
> En fesant quelques recherches sur le net, j'ai déjà trouvé quelques
> ébauches de solution utilisant OpenLDAP.
> Il me manque
> "l'interface graphique pour la gestion".
> Les groupes policies.. Y a-t-il une ébauche de solution ?
> Comment se connecter sur un portable qui n'est pas loggé sur le réseau.
>
Un compte utilisateur local sur le portable (avec le même uid que sur le
réseau) et le dossier personnel synchronisé avec unisson à l'ouverture
et à la fermeture de la session...




En tout cas, beau projet, que j'espere arrivera à terme un jour, mais je crois que t'as sous evalué les capacitée de AD, c'est vraiment autre chose qu'un bete annuaire.
Je te souhaite bien du courage...

Reply to: