Synchroniser OpenLDAP et Active Directory avec LSC 2.0

Intervenant(s) : Clément Oudot

  • Langue : Français
  • Niveau : Confirmé
  • Type d'événement : Conférence
  • Date : Jeudi 11 juillet 2013
  • Horaire : 10h00
  • Durée : 40 minutes
  • Lieu : H 2214
Public cible : DécideursGeeksProfessionnels

Résumé

Le projet LDAP Synchronization Connector permet de synchroniser des bases de données, des fichiers plats et des annuaires LDAP. Le produit est écrit en java, et repose sur une configuration en XML. LSC n’est pas un moteur de synchronisation comme les autres, il est réellement spécialisé dans les annuaires LDAP, en gérant entre autres des paramètres de connexion particuliers (gestion des referals, pagination de résultats) et la multivaluation des attributs.

LSC peut ainsi être utilisé pour synchroniser OpenLDAP et Active Directory. Ce besoin apparaît souvent lors de l’implémentation d’un annuaire d’entreprise, ou un annuaire de sécurité, indépendant d’Active Directory. Dans ce cas, pour le confort des utilisateurs mais aussi des administrateurs systèmes, il est nécessaire que les utilisateurs, voire les groupes, soient synchronisés entre ces deux référentiels.

La difficulté ultime se présente lorsque l’on aborde la gestion des mots de passe. Plusiuers stratégies sont possibles, comme déléguer l’authentification d’OpenLDAP vers Active Directory, jusqu’à implémenter une synchronisation bidirectionnelle des mots de passe.

Dans le premier cas, la solution est assez simple et consiste à utiliser les mots de passe SASL, permettant de faire appel au démon saslauthd qui va lui-même utiliser Active Directory comme référentiel d’authentification.

Dans le dernier cas, la réalisation est plus complexe. Il faut du côté d’Active Directory pouvoir installer un agent interceptant le changement de mot de passe, et le propageant sur OpenLDAP. On conseillera pour cela l’installation de passwordhk. Côté OpenLDAP, on pourra capturer à la volée via SyncRepl les changements de mot de passe et les transmettre à Active Directory.

Biographie

Spécialiste de la gestion des identités et des accès (IAM), leader des projets LinID, LemonLDAP ::NG et LDAP Tool Box, contributeur aux projets LDAP Synchronization Connector et OpenLDAP. Salarié de LINAGORA depuis 2003.

Documents joints

Transparents
Transparents (opendocument presentation - 6.2 Mo)
Transparents
Transparents (PDF - 6.2 Mo)