Le Sunday 25 November 2007 03:53:05 Thierry Leurent, vous avez écrit : > Bonjour, [...] > Premier problème : > Le couple Exchange/Outlook offre une platforme de travail collaboratif. > Existe-t-il une solution sous Linux qui permette de travaille Offline ? > Comment l'inter-connecter à Exchange ? Ce domaine est vraiment jeune. Bien qu'à mon avis, il ne faut pas reproduire le modèle Exchange, la pression des utilisateurs et des soulutions logiciels tieres (Synchro PDA, téléphone...) nous y amène. Ca passe donc souvent par un plugin Outlook, généralement payant (OpenExchange, Zimbra, Kolab...), il y a OpenConnector sur le chemin. Bientôt on aura du full web, avec le support du fonctionnement Offline (Zimbra y travail, Mozilla aussi pour offrir des fonctionnalité dans le navigateur). > Second problème : > Active Directory, lui même. > > Je dois avoir une base de donnée, contenant tous les Utilisateurs, les > Groupes, les Ordinateurs, les Imprimantes et idéalement les Group > Policies. > Je dois avoir un système d'authentification sécurisé et permettant le > Single Sign On. On aura peut-être une solution intégrée avec Samba 4, mais quand sera-t-il stable et complet ? Sinon, Pour ce qui est des utilisateurs et des groupes, un annuaire LDAP est suffisant. Le problème est le Single Sign On transparent (sans ressaisir son mot de passe à chaque accès à un service). Là, on doit pouvoir faire quelque chose avec Kerberos, mais il faut que les services le supportent. Pour les applis Web, il y a des framework comme LemonLDAP. > Je dois pouvoir dupliquer les données locales sur un serveur.(Unison) rsync, rsnapshot ou un gestionnaire de version (svn, git). Attention aux ACL (rsync -A) > Je dois pouvoir recréer l'environnement d'un user à partir de son login. Les profils itinérants peuvent être stockés sur un serveur Linux avec du Samba. > Je dois pouvoir me connecter à distance sur une machine. (VNC) VNC pour les Windows et Linux, On a aussi NX pour Linux, mais souvent un ssh suffira. > Je dois pouvoir gérer le DNS/DHCP. DHCP server et Bind, avec une interface Web (IPplan) etdes scripts. Attention à l'aspect DNS dynamique et aux zones spécifiques AD. (_tcp.domaine.tld, _msdc.domaine.tld, _udp.domaine.tld et _sites.domaine.tld) > Je dois pouvoir gérer la réplication des bases. Quelles bases ? LDAP => réplication native DNS => serveurs secondaires DHCP => une copie en secours > Je dois ...... Pour tout le reste, applis Web, scripts... Pour en revenir aux GPO, la solution coté serveurs Unix, c'est des outils comme cfengine, puppet. Coté poste de travail Windows, on peut tout faire avec des scripts de connexion. Genre adamoto. Pour les installations automatisées, unattended. > Je sais qu'il existe des Directory Server tout fait chez Apache et Fedora. > Quelqu'un a-t-il une expérience avec ces produits ? > OpenLDAP peut aussi constituer un bonne base de travail. > Existe-t-il des schémas qui contiennent la structure pour les informations > dont j'ai besoin ? Pas moins avec OpenLDAP qu'avec un autre annuaire autre que AD. Si le choix est d'avoir tout l'information dans un annuaire, il faudra dans tous les cas ajouter des schémas. On peut à ce niveau s'interroger sur la pertinence d'avoir tout dans l'annuaire. Une base MySQL par exemple est bien plus simple à gérer, et il est aussi plus facile de développer une petite interface Web pour accéder/modifier les informations. > Je pensais utiliser kerberos pour l'authentification. C'est fesable, je > sais. Connaissez-vous d'autres solutions ? > DNS, il y a LDAP-DNS. Cf. en haut : Kerberos, LemonLDAP, CAS. > Comment supporte-t-il la charge quand il doit gerer des miliers de machines > ? Il y a aussi une solution avec bind9.... > DHCP, c'est aussi possible. Mais quid du "DHCP secondaire" ? Si le premier > tombe, il faut le remplacer rapidement. Pour OpenLDAP et Bind, avec des réplicats, ou serveur secondaires, pas de problèmes pour la charge et pour la haute dispo. Pour DHCP, c'est vrai que c'est différent. Il y a un draft de support haute dispo, mais pas terrible. J'ai préféré avoir un seul DHCP, et une copie régulière via rsync vers un autre serveur qui peut reprendre le service en cas de souci avec les leases dernièrement dupliquées. Je pense qu'avant de faire crouler sous la charge un DHCP, il faut faire fort (durée de bail d'une seconde !). Le problème, c'est le démarrage simultané le matin de centaines de PC. > En fesant quelques recherches sur le net, j'ai déjà trouvé quelques > ébauches de solution utilisant OpenLDAP. > Il me manque > "l'interface graphique pour la gestion". Il n'y aura pas une interface unique. Ou elle ne sera pas satisfaisante sur tous les points. Je pense qu'il ne faut pas hésiter à développer sa propre solution. > Les groupes policies.. Y a-t-il une ébauche de solution ? A partir de scripts de login, on peut charger des parties de base de registre, exécuter des scripts. Il faudra utiliser un programme pour passer administrateur. On peut aussi installer cygwin/ssh. On peut certainement exécuter à distance des scripts avec la partie samba client. > Comment se connecter sur un portable qui n'est pas loggé sur le réseau. Heu... Ah, tu veux dire, offline. Pour Linux, il y a pam_ccreds pour kerberos, et nscd pour le cache LDAP. Pour Windows, il fera exactement comme il fait avec de l'AD. Pas de problème. > Un retour d'expérience dans ce domaine ? N'étant pas le seul dans l'histoire, et l'équipe Unix n'ayant pas le pouvoir de décision, On est resté sur de l'AD... > Des idées ? Des conseils ? Du courage Ne pas être attendu au tournant par les responsables, ou d'autres Ne pas vouloir faire forcément toujours pareils que MS Avoir des compétence de dev simple (PHP/MySQL et scripts, y compris sous Windows)
Attachment:
signature.asc
Description: This is a digitally signed message part.