à l`université du Havre
Transcription
à l`université du Havre
LDAP à l'université du Havre Objectifs du LDAP ● Agrégation des bases de données étudiants et enseignants, pour avoir un référentiel unique des utilisateurs ; ● authentification des utilisateurs ; ● annuaire type page blanche ; ● conforme à la norme SUPANN. Structure hiérarchique dc=univlehavre,dc=fr cn=admin Racine de la base ou=people Branche contenant les comptes de sécurité Nom du domaine géré par Samba Branche contenant les invités Administrateur du LDAP Branche contenant les individus Branche contenant les groupes ou=groups ou=computers Branche contenant les ordinateurs (utilisé pour les domaine MSWindows) ou=DSA sambaDomainName=ULH ou=invite La branche « people » ● ● ● ● ● Contient tous les individus qui sont référencés dans Apogée et Harpège ; l'alimentation est automatique par l'intermédiaire d'extractions nocturnes des bases du personnel et des étudiants ; les individus sont identifiés par leur uid : – personnel : 7 premiers caractères du nom + premier caractère du prénom (ex : Mathieu Guilbaud => guilbaum) ; – étudiant : premier caractère du nom + premier caractère du prénom + 6 derniers chiffres du numéro d'étudiant (ex : Mathieu Guilbaud => gm990246) ; les entrées héritent des classes : top, person, organizationalPerson, inetOrgPerson, eduPerson, posixAccount, shadowAccount, sambaSamAccount, supannPerson, ulhPersonne, ulhEtudiant/ulhEmploye ; à chaque classe correspond une série d'attributs (nom, prénom, uid, mot de passe, mail, diplôme, etc.) La branche « groups » ● ● ● ● Contient les groupes nécessaires au fonctionnement d'un domaine MSWindows ; contient un groupe d'étudiants par promotion ; contient les groupes nécessaires pour administrer le LDAP (Web, invité, etc.) ; l'alimentation est automatique pour les groupes Samba et les groupes d'étudiants, manuelle pour les autres. La branche « DSA » ● ● ● Contient des entrées permettant d'identifier un service ; nécessaire pour donner à un service des droits spéciaux, par exemple Samba doit pouvoir modifier certains attributs des individus mais ne doit pas toucher aux autres ; permet de masquer aux utilisateurs anonymes la plupart des attributs. La branche « invité » ● ● ● Contient les individus n'apparaissant ni dans Harpege ni dans Apogée ; fournis un login et un mot de passe à un invité pour avoir accès au réseau ; entrées «a llégées» , ne contenant que des attributs strictement utiles ; ● durée de vie limitée dès la création ; ● gestion par interface Web. Alimentation de l'annuaire apogée Exécution de scripts shell et sql harpege Envoi des extractions (fichiers csv) par scp LDAP Les programmes de mise à jour modifient LDAP et Postgresql en fonction des fichiers csv et des modifications des utilisateurs Postgresql webannuaire Modification de la part des utilisateurs au travers de l'interface Web Authentification par LDAP Interroge le serveur avec login/mdp LDAP Authentification par le module LDAP de PAM Ouverture de session sur le domaine Client Windows Plusieurs possibilités de configuration. Soit montage nfs du /home sur le PDC, soit redirection du client en utilisant un batch à la connexion PDC Samba Serveur de home Serveur NFS au moins pour les clients Linux et éventuellement un serveur Samba membre du domaine Client Linux Montage du /home par nfs et automount Connexion LDAP – Active Directory LDAP Un script Perl sur le serveur AD va chercher la liste des utilisateurs dans le ldap, puis génère un script bat qui ajoute les utilisateurs dans l'AD. AD AD AD Les serveurs AD sur les différents site de l'université sont reliés entre eux : ils appartiennent à la même forêt. Client Windows Services utilisant le LDAP ● ● ● ● ● Pages blanches par le Web, pour la recherche et la modification de certains de leurs attributs par les utilisateurs ; authentification sur un poste client (Samba, pamldap) ; squid, authentification des utilisateurs pour l'accès au réseau WIFI ; plateforme de elearning (claroline) ; serveur de mail (Cyrus) et génération automatique du fichier d'aliases. Environnement logiciel ● ● Serveur LDAP : ● – Debian 3.1 – Debian 3.1 et SuSE 9.0 – OpenLdap 2.1.30 – libpamldap, libldap2, libnssldap, (nscd), autofs Serveur Web : ● – ● Client Linux : Debian 3.1 – Apache + mod_jk – Tomcat Serveur Samba : – Debian 3.1 (problèmes sous SuSE 8) – Samba 3.0.10 Client MSWindows : – Windows 2000