Re: Active Directory for Linux
Je ne suis pas forcé d'utiliser AD, je suis (serai) forcé d'utiliser
quelque chose ayant des fonctions similaires. Je me vois mal poster un
mail ici et demandant "Quelles sont les fonctionnalité intéressantes de
l'Active Directory ?", cela risquerait de tourner au pugilat.
Le but à terme c'est plus de Windows !!! Plus de Microsoft !!! Plus de
licenses commerciales !!! Et le terme c'est fin 2009 !!!
Le but du projet est de créer un "Annuaire" permettant d'administrer, de
manière centralisée, des machines Linux comme le fait AD pour des machines
Windows.
Cela me permet d'éviter les problèmes de compatibilité avec AD.
Effectivement AD étant le meilleur système du genre que je connaisse, je
vais m'en inspirer comme je pourrai m'inspirer d'autres solutions.
J'ai 2 solutions un annuaire existant comme Apache DS, MDS, .... ou un
Annuaire maison majoritairement basé sur des choses existantes (OpenLDAP,
Kerberos, .....).
Vu le type et le métier de la socièté, la majorité des machines seront des
Fixes utilisés par de simples employés et pas des portables pour
commerciaux, managers et autres "pros de la balade".
La réplication sur palm ne sera pas prioritaire, heureusement. Parcontre,
je vais devoir penser aux quelques portables. J'étudierai cela une fois
sur place.
Le plus gros problème de "compatibilité" se situe au niveau du couple
Exchange/Outlook. Par ce qu'il faudra assurer 2 choses :
- La récupération de l'historique des mails et autres.
- La possibilité pour les Windowsiens et les Linuxiens de se convoquer
mutuellement à des réunions.
Le premier pourra être fait par une application extérieure qui convertira
un pst.
Le second par une espèce de connecteur, on peut même imaginer que chaque
personne aura 2 agendas (un Exchange, un Linux) et qu'ils seront
synchronisé s régulièrement.
Le projet est bien plus ouvert que tu ne le penses. L'AD est le modèle pas
le but. C'est en cela que le projet se différencie de Samba 4. Les 2
choses à garder sont la compatibilié LDAP et le SSO donc sans doute
kerberos. Et ce, uniquement, pour faciliter la migration des applications.
Je vois les choses d'une manière "simple" :
- Un réseau Windows AD/Windows XP.
- Un réseau Linux/Linux.
- Une "passerelle".
Progressivement, tu remplaces un poste client Windows par un poste Client
Linux et tu migres le compte de la personne qui y travaille
habituellement.
Quand tu n'as plus de clients Windows, tu supprimes l'infrastucture
Windows et la "passerelle".
Je n'utiliserai pas NTFS, parcontre je n'ai pas encore choisi le FS. Mais
il utilisera les ACLs Posix. C'est certain.
Techniquement Samba sera-t-il utile dans le projet final ?
Il faudra un partage de HD, Mais qu'elle sera la meilleure solution ?
Si je comprends bien cette administration utilise un domaine NT4 avec des
clients XP.
Pour utiliser des termes Windows, j'aurai un domaine Linux, avec des
clients Linux et des serveurs Linux. Ce sera donc un pas de plus.
Comme tu le vois c'est un projet très libre et très novateur. C'est un
rêve et peut-être bien un grand pas.
La plus grosse contrainte est le temps de réalisation, 100 machines
doivent être en place pour fin 2008 et la migration finie fin 2009.
J'attends toujours de savoir si je vais participer à ce projet mais ce fil
m'a enlevé les derniers doutes que j'avais encore. Je sais donc que je
peux accepter ce projet sans trop de craintes.
J'ai encore bcp de choses à analyser, mais la structure général du projet
est déjà présente. Il me reste à lire, compiler et comparer les
informations que j'ai à ma disposition.
Si je participe :
- J'utiliserai mon site web (à l'arrêt pour l'instant) pour vous faire
suivre l'avancement du projet.
- Si des développements doivent voir, je ferai de mon mieux pour les
placer license Libre.
Pierre a écrit :
> C'est dommage que tu sois forcé d'utiliser AD car si tu
> pouvais utiliser linux comme simple primary domain controler, tu
> pourrais te lancer à fond dans la réponse à
> ton projet.
> Je forme souvent une grande administration francaise (que je ne peu
> citer) qui contient 50 000 (cinquante mille) poste windows XP et 0 (zero)
> serveur windows.
> Tout est configuré en samba 3 + ldap et multi site sur la france.
> Apparament ldap à eu un peu de mal au debut à tenir la
> charge mais les retours ont l'air concluant.
>
> Par contre je ne sais rien du tout des outils collaboratif qu'ils
> utilisent ne leur besoins d'outils mobiles (palm).
>
> Enfin ils sont depuis longtemps en firefox + openoffice + thunderbird,
> puis client leger (web) ou lourd avec java. La migration du poste de
> travail viendra un jour ou l'autre ...
>
> laisse moi tout de meme douter de la mise en place d'active directory sur
> linux. Active directory est au domaine microsoft ce que ntfs est à
> fat, c'est à dire une différence enorme, et une
> rétro-ingénérie abominable. (ntfs en ecriture ? ah
> bon ...)
> Ce n'est pas parce qu'on fait du samba + ldap que l'ont fait du active
> directory (comme on peut le lire parfois).
>
>
> Thierry Leurent a écrit : Merci à tous ceux qui ont
> répondu si rapidement. Je vais essayer de résumer la
> situation. Dans la vie d'administrateur réseaux, je n'ai jamais
> eu l'occasion ni de bosser dans un monde majoritairement Linux ni dans de
> grandes infrastucture AD. J'ai donc des regrêts d'un
> côté et les lacunes de l'autre (exemple : les GPO). Le
> projet est complètement fou et novateur à tel point qu'en
> lisant la job description, j'ai cru à un projet visant à
> créer et maintenir des kiosques. C'est lors de l'interview que
> j'ai compris l'ampleur de la chose et ses impliquations. Devant ce
> chantier qui doit rapidement être mené, il faut un minimun
> 100 clients installé pour fin 2008. Mon cerveau est entré
> en ébulition, avec deux questions : - "Quels sont les
> fonctionnalités de l'AD ?" - "Existe-t-il des solutions
> équivalentes en Unix ?" J'ai la confirmation que toutes les
> technologies existent ou presque. Ce qui est un grand soulagement puis
> que le projet ne se veut pas ni compatible AD, ni un clône de l'AD.
> De plus, il inclut des possibilités de développement, ce
> que je sais faire aussi.Il me sera "assez facile" de prototyper les
> fonctionnalités qui manqueraient pour ensuite confier le boulot
> à d'autres. Il y a encore énormément de questions
> en suspend, mais il est impossible de terminer l'analyse d'un tel projet
> en un WE. Et je dois encore lire et comparer les différentes
> solutions que vous m'avez proposées et que j'ai trouvée.
> Je ne vais pas utiliser Samba 4 car il a pour but de réaliser un
> domain contrôleur Windows en Linux et d'être compatible 2003.
> Pourquoi utiliser OpenLDAP comme base de donnée ? - C'est sa
> fonctionnalité première. Je n'ai pas besoin d'écrire
> ou de modifier des miliers de records à la seconde. - La
> réplication est native. - Le protocol LDAP est bien
> implenté pour ce genre de choses. - MySql peut-être
> utilisé en back-end. Postfix remplacera Exchange dans les
> fonctions purement SMTP, pour le reste. je dois encore voir les
> différentes solutions de groupware. Il est évident que je
> veux certaines possibilité qu'offre Exchange comme voir la
> disponibilité d'une personne en vue d'une réunion ou la
> délégation de droits. Des fonctionnalités comme la
> synchronisations avec des GSM et autres PDA seront les bienvenues mais ne
> seront pas une pierre d'achoppement. L'interface de configuration
> pourrait être développée, ce n'est pas un
> problème. Je n'ai pas fini de tous lire, je dois me faire une
> idée de l'état de chaque projet ainsi que des Directory
> Servers disponible. Il reste toujours le problème de la migration
> mais j'ai encore le temps de l'étudier. Je n'ai pas encore
> décroché le job, j'attends toujours que le
> téléphone sonne. Mais je sais maintenant que le projet est
> viable donc que je peux accepter le projet. Si je décroche le
> job, je vous ferai par des évolutions, des choix technologiques et
> de tous ce qui ira avec. Encore merci. Gilles Mocellin a écrit :
> Le Sunday 25 November 2007 03:53:05 Thierry Leurent, vous avez
> écrit : Bonjour, [...]
> -- Lisez la FAQ de la liste avant de poser une question :
> http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le
> mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE,
> email to debian-user-french-REQUEST@lists.debian.org with a subject
> of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
--
Thierry Leurent
Phone : +32 476/20.23.98
E-mail : thierry.leurent@asgardian.be
Website (en developpement) : http://www.asgardian.be
Reply to: