L’annuaire LDAP à l’IMB


Introduction
Résumé des épisodes précédents
Motivations :
-    La volonté de réunir les quatre annuaires du personnel des trois laboratoires et de l’IMB et les quatre bases d’authentification NIS
-    Authentification plus sécurisée que les NIS
-    Choix en fonction de l’humeur du moment et des potentialités de LDAP (modules existant pour la plupart des mécanismes : pamd, apache, samba…)
=> OpenLDAP

L’architecture :
-    Rester conformes aux RFCs et recommandations (classes d’objets et type d’attributs)
-    Deux branches : comptes+groupes et fiches individuelles
-    Un liens entre une fiche individuelle et un compte : l’uid (équivalent de login)

L’ensemble de l’organisation de l’annuaire et des comptes est géré parle fonctionnement interne de OpenLDAP.

La seule chose à garantir : une cohérence entre la fiche personnelle et le compte unix. Cette cohérence est gérée au niveau de l’application.

L’utilisation au jour le jour

Développement d’une interface PHP :
Un écran pour les saisies administratives
-  Présentation de l’interface
Un écran pour les comptes UNIX
-   Présentation de l’interface
Un écran pour les rectificatifs utilisateurs
-   Présentation de l’interface

Ces interfaces permettent à différentes personnes de traiter l’information sans formation particulière, mais surtout permet de préserver la cohérence de la base. Rien n’empêche de passer par fichiers LDIF ou DAVEDAP
-   Présentation de Davedap

L’interface permet de retrouver les doublons/impairs

Les saisies administratives informent les admin au niveau des comptes UNIX de :
-    des créations (nouveau : permanent, invité, étudiant)
-    la justification de comptes (qui demande quoi pour qui ?)
-    la destruction (invité ou étudiant parti, période de réserve)

Utilisation massive des groupes unix pour gérer les périmètres de visibilité :
-    droit d’accès à un serveur, une page web
-    extraction des listes de mailing
-   Présentation de la gestion des groupes
Remarques : le gros intérêt de OpenLDAP : une relative facilité de mise en œuvre (apprentissage de la technologie, des mécanisme, l’administration est simple), de grands services cohérents : authentification centralisée sécurisée (sans existence local des comptes, ou accès aux mots de passe : authentification distante). Le système d’authentification devient plus fragile (car distant) !
-   Il est indispensable de multiplier les réplicas (simple et rapide mais à faire !)

La mise en oeuvre de LDAP nous a permis aussi d'influer sur le fonctionnement administratif de l'IMB. Maintenant, chaque création/suppression de compte est suivie admnistrativement par le secrétariat. Ce qui permet de concerner les directeurs dans le suivi (pourquoi garder un compte, etc.) et éviter au maximum les comptes fantômes.