Annuaire Recherche Enseignement Supérieur
Transcription
Annuaire Recherche Enseignement Supérieur
Annuaire Recherche Enseignement Supérieur C. Claveleira CRU Cahier des charges Mettre à disposition un annuaire des établissements d’enseignement supérieur et de recherche sous tutelle ministère de la Recherche ❏ public et d’accès facile ❏ avec : - adresse - téléphone - serveurs web - annuaires LDAP - ... ❏ plus, pour applications type intranet (groupe Logiciels premier client): - domaines DNS par utilisation (recherche, administration,...) - adresses IP par utilisation CRU-UREC ■ ARES ■ Journées LDAP-27-28/9/00-Paris- 2 / 17 Deux types de consultations ❏ ❏ Par des personnes (quel est le numéro de téléphone du Cines par ex.) Par des applications (contrôle d’accès, intranet universitaire,...). Exemples : serveur de support technique, contrôle d’accès à des listes de diffusion,... CRU-UREC ■ ARES ■ Journées LDAP-27-28/9/00-Paris- 3 / 17 Choix ❏ LDAP - standard - serveurs gratuits - nombreux clients et API ❏ plus interface d’accès HTML - accessible « universellement » - pour informations publiques CRU-UREC ■ ARES ■ Journées LDAP-27-28/9/00-Paris- 4 / 17 Réalisation ❏ Projet de stage de DESS de 4 mois prévoyant - Collecte d’information via formulaires cgi - Définition structure et type des données - Définition des règles de sécurité - Traitement des données et alimentation de l’annuaire - Solutions de mises à jour - Interface html de consultation CRU-UREC ■ ARES ■ Journées LDAP-27-28/9/00-Paris- 5 / 17 Difficultés ❏ Obtenir les informations nécessaires ❏ Structure de l’annuaire (types d’objets, arborescence) ❏ Sécurisation ❏ Ultérieurement : - Pas de méthodes standard d’accès à des informations de contrôle d’accès via LDAP - Problèmes de performances : pas question d’interroger l’annuaire à chaque accès à une page web - Pas d’interfaçage avec Apache par exemple CRU-UREC ■ ARES ■ Journées LDAP-27-28/9/00-Paris- 6 / 17 Collecte d’informations ❏ deux sources ; - le ministère - les établissements ❏ collecte par formulaires cgi annoncé par courier et email ❏ subtilités des affectations des domaines et (sous)réseaux IP ❏ minimiser les risques d’erreurs ❏ essayer d’être exhaustif ❏ assistance ❏ détection d’erreur ❏ relances ❏ réponses obtenues début juillet : 175 CRU-UREC ■ ARES ■ Journées LDAP-27-28/9/00-Paris- 7 / 17 formulaire : CRU-UREC ■ ARES ■ Journées LDAP-27-28/9/00-Paris- 8 / 17 Schéma Extrait de slapd.conf : objectclass aresEtablissement requires objectClass, cn allows aresAcademie, aresRegion, postalAddress, telephoneNumber, facsimileTelephoneNumber, aresCriDiffuseur, aresServeurWeb, userPassword, mail # plage IP : objectclass aresipNetwork requires objectClass, ipNetworkNumber, aresUsage # domaine DNS : objectclass aresDomain requires objectClass, aresDomainName, aresUsage CRU-UREC ■ ARES ■ Journées LDAP-27-28/9/00-Paris- 9 / 17 DIT o=ares cn=établissement 1 ipNetworkNumber= 1.2.3.0/24 cn=établissement 2 ... ipNetworkNumber= 5.4.3.0/24 ipNetworkNumber= 2.3.4.0/24 aresDomainName= rech.edu.fr aresDomainName= ens.edu.fr CRU-UREC ■ ARES ■ Journées LDAP-27-28/9/00-Paris- 10 / 17 Sécurisation ❏ ❏ ❏ ❏ accès libre aux informations publiques accès aux domaines et plages IP restreint aux serveurs abilités à les utiliser possibilité de modifications accordée au mainteneur de chaque établissement Exemple extrait des ACLs : # aresipNetwork en ecriture pour le mainteneur, # en lecture pour les clients selectionnes : access to dn="ipNetworkNumber=([^,]*),cn=([^,]*),o=ares" by dn="cn=$2,o=ares" write by domain="home.cru.fr" read by domain="quilu.cru.fr" read by domain="globule.cru.fr" read by * none CRU-UREC ■ ARES ■ Journées LDAP-27-28/9/00-Paris- 11 / 17 Constitution de l’annuaire ❏ scripts de traitement des réponses ❏ éliminations des erreurs (doublons, formats,...) ❏ génération fichier LDIF en UTF8 ❏ alimentation de l’annuaire (en LDAP) ❏ quelques chiffres : - 207 établissements - 175 ayant répondu - 898 domaines DNS - 2287 réseaux IP CRU-UREC ■ ARES ■ Journées LDAP-27-28/9/00-Paris- 12 / 17 Utilisation ❏ ❏ opérationnel depuis mi-septembre, consultable à ldap.cru.fr, base = o=ares exemple de recherche en mode ligne : ldapsearch -h ldap -b o=ares -s sub ’(cn=*rennes*)’ dn cn=Institut National des Sciences Appliquées de Rennes,o=ares cn=Institut Universitaire de Formation des Maitres de l’Académie de Rennes,o=ares cn=Ecole Nationale Supérieure de Chimie de Rennes,o=ares cn=Institut d’Etudes Politiques de Rennes,o=ares cn=Université de Rennes 2 - Haute Bretagne,o=ares cn=Université de Rennes 1,o=ares cn=Ecole Supérieure d’Electricité de Rennes,o=ares ❏ exemple de requête de récupération de domaines ldapsearch -h ldap -v -b o=ares -s sub ’(&(&(objectclass=aresdomain) (!(aresusage=etu-non-encadre))) (!(aresusage=autre)))’ CRU-UREC ■ ARES ■ Journées LDAP-27-28/9/00-Paris- 13 / 17 Exemple : utilisation de l’address book de Netscape : CRU-UREC ■ ARES ■ Journées LDAP-27-28/9/00-Paris- 14 / 17 CRU-UREC ■ ARES ■ Journées LDAP-27-28/9/00-Paris- 15 / 17 Utilisation des infos de contrôle d’accès ❏ réservées aux serveurs autorisés ❏ applications : - wu-ftpd : utilitaire générant ftphosts offline - Apache : développer un module de contrôle d’accès spécifique CRU-UREC ■ ARES ■ Journées LDAP-27-28/9/00-Paris- 16 / 17 Reste à faire ❏ outils de mise à jour "faible support" ❏ interface de consultation web ❏ extensions aux applications devant exploiter l’annuaire ❏ autres informations ? ❏ sécurisation d’accès type SSL ? CRU-UREC ■ ARES ■ Journées LDAP-27-28/9/00-Paris- 17 / 17