Planification de l’intégration d’un annuaire LDAP
Introduction
Une fois le constat évident de l’utilité d’un annuaire LDAP dans une entreprise, la prochaine étape consiste donc à planifier l’intégration d’un annuaire LDAP au sein de celle-ci.
Ce chapitre traite ainsi de l’étude préalable à mener pour l’intégration d’un annuaire LDAP au sein d’un environnement informatique de production. Il y a environ cinq analyses à mener afin de réaliser ce projet :
-
La première étude consistera à définir le contenu de l’annuaire en identifiant leur source et leur compatibilité avec un serveur d’annuaire :
-
Définir l’intérêt principal de l’annuaire : pages jaunes de l’organisation, inventaire du parc informatique, centralisation des authentifications....
-
Répertorier toutes les sources (c’est-à-dire tous les systèmes d’information de l’entreprise) et la nature des données (utilisateur, groupe d’utilisateur, application, imprimante...).
-
Vérifier que chacune des sources est compatible avec le service d’annuaire au travers du protocole standardisé LDAP .
-
La seconde étude consistera à définir l’organisation du contenu de l’annuaire en deux parties :
-
Concevoir le schéma de l’annuaire en déterminant les types...
Source et contenu de l’annuaire
1. Utilisation principale de l’annuaire
La première étape à effectuer est donc de définir quelle(s) activité(s) sera(ont) réalisée(s) par l’annuaire. En effet, un annuaire peut remplir différents objectifs tels que :
-
Celui d’un service d’annuaire classique (ex. les pages blanches ou jaunes) .
-
Celui d’un service d’authentification centralisée multisystème et applicatif (système d’exploitation, messagerie, web...) .
-
Celui d’un service d’inventaire pour différents types d’applications.
2. Recensement des différents systèmes d’information utilisés dans votre entreprise
Une fois le périmètre de l’utilité de l’annuaire défini, il faut désormais recenser chacun des systèmes et chacune des applications informatiques afin de mener une analyse de compatibilité avec le protocole LDAP.
Le recensement des différents systèmes informatiques (tels que les systèmes d’exploitation, les applications ou bien les équipements réseau) au sein de l’entreprise doit s’effectuer en concertation avec les différentes équipes informatiques de celle-ci. Ce travail devra donc être mené consciencieusement et de manière ordonnée et synthétisé dans une matrice afin d’avoir les informations sur le genre, le nom, et la version du système informatique. Cette étape ne sera certainement pas la plus passionnante, mais reste indispensable à la réalisation de l’intégration d’un annuaire LDAP....
Modélisation et définition du contenu de l’annuaire
Après avoir décidé du type de données à utiliser dans le service d’annuaire et de sa fonction principale, alors il est désormais possible de commencer à structurer les données. La structuration des données se fait en concevant à la fois un schéma et un espace de nommage.
1. Connaissance des schémas utilisés par les clients LDAP
Afin que les différents clients de l’annuaire LDAP puissent profiter pleinement de son utilité, il est indispensable que cet annuaire contienne l’ensemble des classes d’objets de ces clients. Ainsi, la conception du schéma de l’annuaire devra s’effectuer pendant cette étape de recensement d’information des clients LDAP. Il est en effet indispensable de collecter ce type d’information dès maintenant durant les recherches techniques sur chacun des systèmes informatiques. Bien que l’information sur la compatibilité au protocole LDAP soit indispensable, elle n’est cependant pas suffisante pour l’intégration à un annuaire LDAP, car les schémas permettent à l’annuaire LDAP et à ses clients de partager les mêmes types d’informations.
Par exemple, dans le cas de l’authentification d’un utilisateur auprès d’un...
Stockage physique des données
Cette section traitera de l’emplacement du stockage physique des données de l’annuaire, mais également de la façon dont elles seront exploitées par le système d’exploitation.
1. Disques locaux ou architecture de stockage de données
Durant la phase de conception de l’architecture LDAP, il est également nécessaire de se pencher sur la volumétrie des données générées pour ainsi déterminer si de simples disques locaux seront suffisants, ou bien s’il faut songer à utiliser des architectures de stockage de type SAN ou NAS.
Ceci dit, cette question est juste là pour être posée, car dans le cas d’un serveur LDAP, il n’y a guère de gros volumes de données qui nécessiteraient l’utilisation d’une architecture de stockage de données. En effet, ce type de service n’est pas destiné à manipuler des fichiers numériques du type photographie ou vidéo qui sont eux très volumineux et gourmands en espace disque. Cependant, une architecture de stockage est aussi un garant de la haute disponibilité des données, et dans ce cas une infrastructure de serveur LDAP avec réplication des données ne serait pas nécessaire. Ainsi, la figure 3-5 montre l’intérêt d’un...
Sécurisation de l’annuaire
1. Objectif
Après avoir conçu l’arborescence des répertoires, une politique de sécurité doit être définie. En effet, dans le cas d’un annuaire à accès public (pour tout le monde) comme le serait l’accès à un annuaire de numéros de téléphone, au niveau de sécurité ne serait nécessaire pour l’authentification des utilisateurs ; cependant, il faudra protéger son contenu afin qu’il soit accessible en lecture seulement. En revanche, si les données de l’annuaire renferment des informations sensibles telles que des numéros de sécurité sociale ou de comptes bancaires ou bien même des mots de passe d’utilisateurs voire des certificats utilisés par des applications, alors il faudra sécuriser l’accès à l’annuaire en identifiant les personnes voulant s’y connecter par un mécanisme d’authentification. Il faudra également, mettre en place un système d’autorisation au sein de l’annuaire afin de s’assurer que les données ne sont consultables ou modifiables que par les utilisateurs étant habilités à le faire.
Par ailleurs, la sécurité de l’annuaire concernera également la façon dont transiteront les données entre le client et le serveur LDAP par le biais de protocoles garantissant le cryptage et l’intégrité des données (utilisation de SSL avec validité des certificats).
2. Étude de l’authentification à l’annuaire
Le terme authentification désigne la façon dont les personnes "s’identifient" auprès de l’annuaire afin d’accéder à son contenu. Cette opération se nomme, dans la terminologie LDAP, bind ou "liaison" en français.
Généralement, les opérations de liaison consistent à fournir un identifiant et son mot de passe. Toutefois, dans le cas d’un annuaire LDAP, l’identifiant de l’utilisateur est en fait un DN (c’est-à-dire une entrée de type utilisateur dans l’annuaire). Il sera donc nommé le "bind DN" ou le "DN de liaison"...
Conception de l’infrastructure du service d’annuaire
La conception d’une infrastructure de serveurs d’annuaire consiste à définir une topologie physique qui permettra de supporter la disponibilité, l’évolutivité et la gestion du service d’annuaire à l’ensemble de ses clients. Il faudra donc étudier l’intégration de l’infrastructure de serveurs LDAP à une topologie adaptée au service qui doit être rendu. Pour ce faire, LDAP offre des méthodes de distribution et de réplication des informations afin de concevoir une architecture d’annuaire adaptée au besoin de l’entreprise. La distribution permettra de répartir l’information ou de "cascader" les données au travers de différents annuaires créant ainsi une sorte de délégation d’une ou plusieurs parties de l’annuaire vers d’autres annuaires. On parle alors de serveur d’annuaire distribué par le biais d’entrées contenant des serveurs LDAP "référents". La réplication concerne, quant à elle, la partie de la redondance des informations. Elle n’est d’ailleurs cependant pas standardisée par la norme LDAPv3, fort heureusement, la plupart des fournisseurs d’annuaire l’implémente dans leurs produits. Une dernière chose à considérer lors de la conception d’une infrastructure informatique est sa disponibilité, c’est-à-dire sa capacité à rendre le service proposé 24 h/24 et 7 j/7. Une partie de ce chapitre sera donc dédiée à l’étude de l’intégration d’une solution de haute disponibilité à l’infrastructure du service d’annuaire et à une présentation d’un "load-balancer" applicatif.
1. Les différentes topologies
Ainsi, la première chose à faire lors de la conception de l’infrastructure réseau d’un système informatique est de déterminer sa topologie. C’est-à-dire de définir une architecture physique d’un ou plusieurs serveurs pouvant être interconnectés de façon hiérarchique dans des lieux géographiquement...