Xpose Ldap

‫ها‬٨ et ‫ ى‬services d annuaire
12 décembre 2010
Marc OLORY IR3

INGENIEURS 2000 - Université de Marne-la-Vallée
Objectifs de la présentation
► Découvrir les services d’annuaire
► Etudier les mécanismes LDAP
► Déployer un service LDAP
Mardi 12 décembre 2010 2

Sommair
e
1. Les services d’annuaire
A. Présentation
B. LDAP
2. Les concepts de LDAP

A. Organisation client/serveur et serveur/serveur
B. Les modèles de LDAP
3. LDAP en pratique
A. Déployer un service d'annuaire LDAP
B. Sécuriser le service
4. Conclusions
A. LDAP actuellement
B. Les évolutions possibles
Marc OLORY - LDAP et les services d’annuaire Mardi 12 décembre 2010

1 .Les services d annuaire
Marc OLORY - LDAP et les services d’annuaire Mardi 12 décembre 2010

1. Les services d’annuaire | 2. Les concepts de LDAP ١ Í 3. LDAP en pratique ١ Í
4. Conclusions
A. Présentation
► Un système de stockage de données
► Dérivé des BDD relationnelles
► Organisé de manière hiérarchique
► Comparaison entre annuaires et base de données :

٠ rapport lecture/écriture plus élevé
٠ duplication de l'information
٠ fortes quantités d'enregistrements dans un faible espace.

4. Conclusions
► Rôle ٦ rendre accessible des informations utiles

pour un système à partir de différents critères
► Avantages ٦ rapide, centralisé, sécurisé
► Exemple d’annuaires : carnet d’adresses, répertoire

téléphoniques, DNS...

4. Conclusions
► Il existe plusieurs types d’annuaire :
٥ X.500 : normes définies par l'UIT-T
٥ Active Directory : développé par Microsoft pour Windows
٥ NIS : Network Information Service, développé par SUN
٥ LDAP : protocole reposant sur TCP/IP

4. Conclusions
► X.500
٥ Standard conçu en 1988 par l'UlT-T pour interconnecter

leurs
annuaires téléphoniques
٥ Destiné à normaliser les services d’annuaires
٥ Définit :
٠ des règles de nommage pour les données de l'annuaire
* des protocoles d'accès à l'annuaire (DAP)
٠ un mécanisme d'authentification

1. Les services d’annuaire 2. Les concepts de LDAP
3. LDAP en pratique
4. Conclusions
◦ Echec car inadapté aux communications distantes

٠ ne profite pas de l'essor de TCP/IP
X.5OO
00 ‫اح‬123 ‫ن‬0٦
présentation
LDAP
Application
T ‫ت‬
C 0
P 1
‫ل‬
‫ا‬
U
□ P
h
‫ل‬ y
‫ا‬ s
5 i
^ s q
5o
‫ب‬n u
‫ا‬ ‫الخ ا‬ e
‫ا‬
^
‫ا‬
Marc OLORY - LDAP et les services

Mardi 12 décembre 2010
d’annuaire
1 .Les services d annuaire
B. LDAP
Marc OLORY - LDAP et les services d’annuaire Mardi 12 décembre 2010 10

4. Conclusions
B. LDAP
Lightweight Directory Access Protocol (LDAP)

◦ adaptation de X.500 au protocole TCP/IP
٥ va dans le sens de la simplification d’X.500
► Evolution de LDAP de 1993 à maintenant :

٠ LDAPv1 ٠ RFC 1487 (1993)
٠ LDAPv2 ٠ RFC 1777(1995)
٠ LDAPv3 ٠ RFC 2251(1997)
► En 96, apparaissent les premiers serveurs

commerciaux

4. Conclusions
® LDAP définit :
> un modèle d’information ٠ le type de données de l'annuaire
> un modèle de nommage ٠ comment les données sont organisées
> un modèle fonctionnel ٠ comment on accède aux données
> un modèle de sécurité ٠ comment protéger l'accès aux données
> un modèle de duplication ٠ comment répartir les données entre
serveurs
® Et aussi :
> le protocole ٠ comment on accède à l’annuaire
> des API ٠ pour développer des applications clientes
> LDIF ٠ un format d’échange de données

2. Les
concepts LDAP
Mardi 12 decembre 2010 13

1. Les services d’annuaire 2. Les concepts de LDAP 3. LDAP en pratique 4. Conclusions
A. Organisation client/serveur serveur/serveur
►2 méthodes de communications, 2 fonctionnalités
٥ Client/serveur ٦ accès aux informations par les clients

٠ normalisée par l'IETF : version actuelle LDAPv3
٥ Serveur/serveur ٦ duplication des informations entre

serveurs
٠ les serveurs LDAP se partagent les informations pour se répliquer
ou pour se synchroniser.

1. Les services d’annuaire 2. Les concepts de LDAP ١ i 3. LDAP en pratique ١ i 4. Conclusions
► Exemple de communication client/serveur :
◦ Possibilité de faire plusieurs recherches sur une seule connexion

► Format de transport des données ٠ ASCII

٠ comme HTTP ou SMTP
► Mécanisme de sécurité pour le transport :

٠ authentification et chiffrement
٠ règles d’accès aux données
► Les opérations de base:

٠ interrogation: search, compare
٠ mise à jour: add, delete, modify
٠ connexion: bind, unbind, abandon

2. Les concepts LDAP
B. Les modèles de LDAP

1. Les services 2. Les concepts de LDAP3. LDAP en pratique 4. Conclusions
d’annuaire
► On distingue 5 modèles :
٠ modèle d’information
٠ modèle de nommage
٠ modèle de fonctionnement
٠ modèle de sécurité
٠ modèle de duplication

► Le modèle
d’information
° Définit le type de données pouvant être stocké dans l’annuaire
◦ Entrées élément de base de l’annuaire

٠ contient les données
٠ équivalent à une « classe d’objet» en POO
٠ regroupe un ensemble d’attributs
► Exemple Client
d’entrée: Type d’attribut Valeur d’attribut

cn: Ziggy NIGHT
uid Znight
telnumber 0388123456
► Un attribut est caractérisé par :

٠ un nom
٠ un type
٠ une méthode de comparaison
٠ un « Object Identifier » (IOD)
٠ une valeur
Un attribut peut être possédé par plusieurs classes !

► Les attributs classiques de LDAP :
attribut description
cn « common name » ou nom commum
o « organization name » ou nom de l’organisation
gn « given name » ou le surnom
l « locality name » ou nom de la localité
st « state name » ou nom de l’état
ou « organisational unit » ou unité d'organisation
dc « domain component » ou nom de domaine

► Exemples de classes d’objet :

٠ une entreprise
٠ ses différents départements
٠ son personnel
٠ ses imprimantes
٠ ses groupes de travail
► Toutes les classes d’objets et leurs attributs sont

définis dans un schéma
► Schéma ٠ définit l'ensemble des objets gérés par le

serveur

► Chaque entrée de l’annuaire fait obligatoirement

référence à une classe d'objet du schéma
► Une classe d’objet est définie par:

٠ un nom
٠ un OID (qui l'identifie de manière unique)
٠ des attributs obligatoires
٠ des attributs optionnels

1. Les services d’annuaire 2. Les concepts de LDAP 3. LDAP en pratique 4. Conclusions
► Les classes d’objets

sont organisées de manière hiérarchique
٠ au sommet se trouve toujours l’objet « TOP »
٠ chaque objet hérite des attributs de son objet parent

► Exemple d’organisation hiérarchique :
► Le modèle de nommage
° Il définit comment sont organisées les entrées de l'annuaire et

comment elles sont référencées

° Cette organisation est représentée par le Directory Information

Tree
٠ ٠ (DIT)
° Classification des entrées dans une arborescence hiérarchique

٠ comparable au système de fichier UNIX

► Exemple de Directory Information Tree :
► Chaque nœud du DIT correspond à une entrée de

l’annuaire
► Au sommet se trouve
l’entrée « Suffix » ou «
Root Entry »
► Une « Root Entry » correspond à l’espace de nommage

géré par le serveur
► Un serveur LDAP peut gérer plusieurs arbres (donc

plusieurs
« Root Entry »)


► Distinguish Name (DN) ٦ référence de manière unique une

entrée du DIT
► Equivalent du path d’un fichier UNIX

du path d’un
► Chaque composant du DN est appelé «
Relative Distinguish
Name » (RDN)
► DN ٦ constitué d’un ensemble d’attributs et de leurs

valeurs provenant de chacunes des entrées parentes mises
bout à bout.

1. Les services 2. Les concepts de LDAP 3. LDAP en pratique 4. Conclusions
d’annuaire
► Exemple:
dc =umlv
ISGENEUR52000 dc=
ingenieurs2000
F LLIERES GROUPES PERSONNE ou =

personne
ZIGGY uid=ziggy

٠1. Les de l'entrée ziggy ٦ [uid=ziggy, ou=personne,
DNservices 3. LDAPdc=ingenieurs2000,
en pratique dc = umlv ]
4. Conclusions
d’annuaire
► On doit s'assurer que 2 entrées du DIT n'aient pas le même DN

► Le modèle de
fonctionnement
◦ Il décrit :
٠ les moyens d’ accès aux données
٠ les opérations applicables aux données
٥ Les opérations possibles sont :

٠ opérations d’interrogation ٠ requête pour accéder aux données
٠ opérations de comparaison ٠ renvoie vrai ou faux si égal
٠ opérations de mise à jour ٠ add, delete, rename, modify
٠ opérations d’authentification et de contrôle ٠ bind, unbind, abandon

► Le modèle de sécurité
° Il décrit le moyen de protéger les données de l'annuaire
° La sécurité se fait à plusieurs niveaux

٠ par l'authentification pour se connecter au service
٠ par un modèle de contrôle d'accès au données
٠ par le chiffrement des communications

► Pour l’authentification, LDAPv3 propose plusieurs choix:

٠ Anonymous authentification ٠ accès sans authentification
٠ Root DN authentification ٠ accès administrateur
٠ Mot de passe + SSL ou TLS٠ accès chiffré
٠ Certificats sur SSL ٠ échange clé publique/privée

► Le contrôle d’accès ٠ droit d’accès aux données (lecture,

écriture, recherche, comparaison)
► Chiffrement ٠ utilisation de SSL ou TLS

► Le modèle de duplication
► Il définit comment dupliquer l’annuaire sur d’autres serveurs
► Intérêt de dupliquer un serveur :

٠ pallier une panne de l’un des serveurs, coupure de réseaux, ...
٠ répartir la charge du service
٠ garantir une qualité de service (temps de réponse)
► Pas encore standardisé ٦ préparation du protocole LDUP

٠ (Lightweight Directory Update Protocol)

3.
LDAP en pratique
A. Déployer un service d’annuaire LDAP
1. Les services d’annuaire ١ I 2. Les concepts de LDAP
3. LDAP en pratique 4. Conclusions
A. Déployer un service d’annuaire LDAP
° 1er étape ٠ phase de conception
Pour déployer un service LDAP, il faut déterminer :

la nature des données
٠ l’utilisation que l’on compte en faire
٠ la façon de gérer le tout

1. Les services d’annuaire ١ I 2. Les concepts de LDAP 3. LDAP en pratique ١i 4. Conclusions
► Exemple :
° organisation ٠ Ecole Ingénieurs 2000

° se situe ٠ à l’ UMLV, à Paris, enfrance
° est composé de :
٠ filières (MFPI, GM, IR, ...)
٠ groupes (IR1, IR2, MFPI4, ...)
٠ personnes (Jean, Paul, Ziggy, ...)

► Design du Directory Information Tree (DIT) :

2ème étape:
déployer et remplir le serveur LDAP
installation du serveur création compte administrateur

ajout des nouveaux objets suivant le DIT

► Démonstration

3. LDAP en pratique

1. Les services d’annuaire ١ I 2. Les concepts de LDAP 3. LDAP en pratique
4. Conclusions
► Utilisation des ACL
° fichier de configuration /etc/ldap/slapd.conf

4. Conclusions
► Plusieurs niveaux d’accès

Niveau Description
none pas d’accès
compare pour comparer
auth pour l’authentification
search pour rechercher
read pour lire
write pour écrire
LDAP et les services d’annuaire

1. Les services d’annuaire 2. Les concepts de LDAP 3. LDAP en pratique
4. Conclusions
► Plusieurs types d’utilisateur

Niveau Description
* tous les types d’utilisateurs
anonymous utilisateur anonyme
users utilisateur authentifié
self utilisateur associé à l’entrée recherchée
dn.<scope-style> = <DN> utilisateurs appartenant à un « groupe »
► Exemple:
access to dn.subtree="dc=example,dc=com" attrs=homePhone by
self write by dn.children="dc=example,dc=com" search
by peername.regex=IP:10\..+ read
access to dn.subtree="dc=example,dc=com"
by self write
by dn.children="dc=example,dc=com" search by
anonymous auth
Marc OLORY - LDAP et les services Mardi 12 décembre 2010 42

d’annuaire
4. Conclusions
A LUA!‫ ؛‬A.c[uellem‫؛‬A[
Marc OLORY - LDAP et les services Mardi 12 décembre 43

d’annuaire 2010
4. Conclusions
► Les serveurs LDAP les plus connus sont:
٥ OpenLDAP
◦ TinyLDAP
٥ Apache Directory Server
◦ Oracle Internet Directory
٥ Sun Java System Directory Server
O

4. Conclusions
► Les annuaires LDAP sont utilisés pour :
٠ des applications systèmes
٠ des applications Intranet/Extranet/Internet
► Différentes API destinées à créer ces

applications :
٠ API d’OpenLDAP ٠C
٠ Sun ONE directory SDK ٠ C et Java
٠ Mozilla Directory SDK ٠ Java
4. Conclusions
٠ Net::LDAP ٠ Perl
٠ API python LDAP ٠ Python
٠ API php LDAP ٠ PHP

4. Conclusions
B. I es éssllulinrs, possibles

4. Conclusions
B. Les évolutions possibles
► Serveur LDAP centralisé ٠ Single Sign-On

° résout le problème de multiples mots de passe
° problème de sécurité (1 clé = accès à tout)
° exemple :
٠ Microsoft avec Live ID
٠ Google avec Google Account
► Remplacer les SGBD classiques ?

Merci de
votre attention
١١ ١١١،
Bibliographie
Sites Web :
Wikipedia - http://fr.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol
► Commentcamarche - http://www.commentcamarche.net/contents/ldap/ldapintro.php3
► Mongueurs - http://articles.mongueurs.net/magazines/linuxmag65.html
TLDP - http://tldp.org/HOWTO/LDAP-HOWTO/
► Doc Ubuntu - http://doc.ubuntu-fr.org/slapd
Livres :
► Annuaires LDAP - Marcel Rizcallah (Broché)

► LDAP : Administration système - Gerald Carter et Sébastien Pujadas (Broché)

Xpose Ldap

Transféré par

Droits d'auteur :

Formats disponibles

Xpose Ldap

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Xpose Ldap

Transféré par

Droits d'auteur :

Formats disponibles

‫ها‬٨ et ‫ ى‬services d annuaire

Marc OLORY IR3

► Découvrir les services d’annuaire

► Etudier les mécanismes LDAP

► Déployer un service LDAP

Mardi 12 décembre 2010 2

2. Les concepts de LDAP

Marc OLORY - LDAP et les services d’annuaire Mardi 12 décembre 2010

Marc OLORY - LDAP et les services d’annuaire Mardi 12 décembre 2010

► Un système de stockage de données

► Dérivé des BDD relationnelles

► Organisé de manière hiérarchique

► Comparaison entre annuaires et base de données :

٠ fortes quantités d'enregistrements dans un faible espace.

Mardi 12 décembre 2010 6

► Rôle ٦ rendre accessible des informations utiles

► Avantages ٦ rapide, centralisé, sécurisé

► Exemple d’annuaires : carnet d’adresses, répertoire

Mardi 12 décembre 2010 7

► Il existe plusieurs types d’annuaire :

٥ X.500 : normes définies par l'UIT-T

٥ Active Directory : développé par Microsoft pour Windows

٥ NIS : Network Information Service, développé par SUN

٥ LDAP : protocole reposant sur TCP/IP

Mardi 12 décembre 2010 8

٥ Standard conçu en 1988 par l'UlT-T pour interconnecter

٥ Destiné à normaliser les services d’annuaires

Mardi 12 décembre 2010 9

◦ Echec car inadapté aux communications distantes

Marc OLORY - LDAP et les services

Marc OLORY - LDAP et les services d’annuaire Mardi 12 décembre 2010 10

Lightweight Directory Access Protocol (LDAP)

► Evolution de LDAP de 1993 à maintenant :

► En 96, apparaissent les premiers serveurs

Mardi 12 décembre 2010 12

Mardi 12 décembre 2010 13

Mardi 12 decembre 2010 13

A. Organisation client/serveur serveur/serveur

►2 méthodes de communications, 2 fonctionnalités

٥ Client/serveur ٦ accès aux informations par les clients

٥ Serveur/serveur ٦ duplication des informations entre

Mardi 12 décembre 2010 15

► Exemple de communication client/serveur :

◦ Possibilité de faire plusieurs recherches sur une seule connexion

Mardi 12 décembre 2010 16

► Format de transport des données ٠ ASCII

► Mécanisme de sécurité pour le transport :

► Les opérations de base:

Mardi 12 décembre 2010 17

Marc OLORY - LDAP et les services d’annuaire Mardi 12 décembre 2010 17

Mardi 12 décembre 2010 19

° Définit le type de données pouvant être stocké dans l’annuaire

◦ Entrées élément de base de l’annuaire

d’entrée: Type d’attribut Valeur d’attribut

► Un attribut est caractérisé par :

Un attribut peut être possédé par plusieurs classes !

Mardi 12 décembre 2010 21

► Les attributs classiques de LDAP :

Mardi 12 décembre 2010 22

► Exemples de classes d’objet :