LDAP
Lightweight Directory Access Protocol (LDAP) est le protocole d'accès privilégié aux annuaires.
LDAP est devenu en quelques années dans le domaine des
annuaires
le pendant d'HTTP pour les serveurs Web, c'est à dire le
protocole d'accès privilégié, reconnu
et standard
de facto. Mais le monde LDAP s'étend bien au delà du cercle
protocolaire, il définit un modèle d'organisation des données
particulièrement souple et bien adapté lorsqu'il s'agit d'effectuer des
requêtes très simples et en grand nombre. Tant est si bien que les
annuaires LDAP ont rapidement remplacé beaucoup de bases de données,
propriétaires ou non, pour répondre par exemple aux problématiques
d'authentification et de contrôle d'accès aux applications et aux
systèmes.
Issu de la norme X.500, très lourde et
inadaptée aux bandes passantes des débuts de
l'internet
et des extranets, le protocole LDAP a ainsi rapidement su rallier les
éditeurs des systèmes d'exploitation majeurs du
marché qui l'intègrent tous aujourd'hui en
standard. De même, il n'existe plus un progiciel du marché
démuni de connecteur
LDAP, cette approche est devenu incontournable pour s'interfacer avec
une base d'utilisateurs existante, plutôt que de multiplier les
référentiels d'identités. Pour autant, il n'est
pas rare qu'une entreprise ne puisse pas
s'appuyer seulement sur ces progiciels pour fournir un accès aux
données de l'annuaire. Souvent des besoins métier
spécifiques gagnent à
être implémentés par des développements
spécifiques, pourvus que
ceux-ci restent ouverts.
Le succès de cette réussite repose notamment sur:
- L'adoption et la publication de nombreux standards proposés par l'IETF
- Un modèle de données souple et très performant en consultation
- Des fonctions de sécurité telles le contrôle d'accès, la réplication, le support de SSL et TLS
- De multiples interfaces de programmation (Java, PHP, Perl, ADSI...)
Janua se propose avant toute chose de vous aider à définir le périmètre fonctionnel lié à l'élaboration d'un service d'annuaire au travers d'une mission de consulting qui vous aidera à mieux définir vos besoins au regard des technologies d'aujourd'hui et de votre stratégie à long terme.
A cet effet, Janua a développé une approche méthodologique pour vous aider dans cette phase cruciale de spécification, méthodologie dont vous pouvez avoir un aperçu dans ce synoptique.
Janua peut aussi prendre en charge la migration de votre système de nommage NIS/NIS+ vers LDAP ou bien s'appuyer sur un référentiel Microsoft existant (windows NT4/2000 ou Active Directory) pour alimenter votre annuaire, de façon ponctuelle ou récurrente.
JANUA a développé un framework et des outils permettant la manipulation de données d'annuaires, la création de pages jaunes et pages blanches, le monitoring d'annuaires et de proxy LDAP.
Janua, dans la phase de déploiement a développé une expertise particulière sur les offres logicielles suivantes :
OpenDS
OpenDS est un projet communautaire Open Source fournissant un service d'annuaire de nouvelle génération.
OpenDS est conçu pour:
- Adresser les déploiements de grands projets
- Fournir des performances élevées
- Etre très évolutif
- Facile à déployer, administrer et superviser
Les grandes forces d'OpenDS sont:
- Ses performances: amené à remplacer l'annuaire historique de Sun (Sun DSEE) qui jouit d'une très forte base installée notamment sur des plates-formes à très hautes exigences en performances (fournisseurs d'accès, opérateurs téléphoniques etc ..), les équipes de conception et de développement d'OpenDS font subir des tests de performances réguliers au produit pour s'assurer qu'il atteint au minimum le niveau de son prédecesseur. En fait, il dépasse même largement ce niveau !! Conçu en Java, OpenDS exploite par exemple nativement et de façon optimale les serveurs multi-coeurs.
- Une ouverture et une évolutivité inégalée: le fait qu'il soit développé en Java et qu'il soit Open Source lui confère la possibilité d'ajouter des fonctionnalités très facilement, en bénéficiant des outils et des API Java existantes. La correction des problèmes éventuels est également accélérée par les outils de développements et de supervision existants dans le monde Java. L'évolutivité et l'ouverture d'OpenDS viennent également de son architecture interne très modulaire. Il est ainsi possible de l'embarquer dans un progiciel plutôt que de l'utiliser comme un système d'information indépendant. Par exemple, le proxy LDAP Penrose tire partie de cette architecture. Enfin, le langage Java permet à OpenDS de s'affranchir des problèmes de support de plate-formes matérielles, et rend son code observable donc plus facile à comprendre, enrichir et améliorer.
- Une grande richesse fonctionnelle: notamment par une conformité sans égal avec les standards (il suffit de consulter la liste des normes implémentées dans OpenDS), la communauté des concepteurs et développeurs est très active et s'attache à faire en sorte qu'OpenDS puisse répondre aux besoins les plus exigeants en termes fonctionnels.
- Janua a développé une formation spécifique "OpenDS pour
administrateurs sytèmes". Nous consulter
pour plus d'informations.
Sun Java System Directory Server Entreprise Edition
DSEE constitue l'offre logicielle historique de Sun en termes d'annuaire. Par rapport à OpenDS, auquel on pourrait éventuellement reprocher le manque d'outils périphériques, DSEE apporte des modules complémentaires répondant à des besoins gravitant autour de l'annuaire: interface d'administration évoluée, module de synchronisation avec Active Directory, interface Web de gestion de contenu ou encore proxy LDAP: ce dernier module très abouti joue le rôle d'équilibreur de charge et pare-feu LDAP spécialisé, mais permet aussi de proposer une vue LDAP unique à partir de multiples sources de données LDAP, LDIF ou SQL. Placé en frontal des applications clientes du service d'annuaire, il permet donc de masquer la complexité des systèmes d'information en aval, ceux-ci peuvent donc évoluer sans impact pour les applications. Même si Sun a commencé en 2006 à développé OpenDS en parallèle de DSEE, ce dernier continue d'évoluer et présente de nombreux atouts. Le premier d'entre eux: sa base installée, notamment dans des environnements à forte volumétrie où les performances sont primordiales, qui témoigne de la robustesse et de la maturité du produit. DSEE convient également très bien dans les environnements hétérogènes, à forte nécessité d'intégration, du fait de son respect des standards, sa richesse fonctionnelle et sa souplesse d'utilisation. Il est ainsi très maléable à moindre coût et permet donc de répondre à des scénaris multiples, d'un point de vue fonctionnel comme technique.
Directory Server Entreprise Edition inclut les produits suivants :
- Directory Server
- Identity Synchronization for Windows
- Directory Proxy Server
- Directory Editor
- Directory Resource Kit
Open LDAP
OpenLDAP est l'implémentation historique Open Source d'un serveur LDAP. Sa conformité avec les différents standards autorise une intégration aisée avec les principaux progiciels du marché (serveurs Web, portails, serveurs d'applications ou encore de plates-formes de gestion des identités). Les caractéristiques techniques principales d'OpenLDAP sont les suivantes :
- Conforme LDAP v3.
- Contrôle des accès au niveau réseau (adresses IP, ports) et au niveau utilisateur (informations d'authentifications requises), supporte SASL,SSL/TLS.
- Support de multiples formats et interfaces de stockage des données (BDB, HDB, LDBM, etc..).
- Virtualisation (possibilité de représenter plusieurs annuaires logiques avec un seul serveur LDAP).
- Réplication des données (plusieurs modèles possibles) assuorant haute disponibilité et scalabilité horizontale.
- Possibilité de fonctionnement en proxy LDAP avec cache, pour isoler les flux et sécuriser l'architecture
De nombreux exemples de déploiement et d'outils existent pour OpenLDAP, il convient parfaitement pour des projets de faible ou moyenne taille, et lorsque on dénombre déjà dans l'environnement cible plusieurs applications reposant sur des briques Open Source. En effet, beaucoup de solutions du monde Open Source s'interfacent avec OpenLDAP comme avec un autre annuaire LDAP standard, mais par contre on trouve plus facilement des exemples de déploiement, du support et de la documentation tant que l'on reste dans l'intégration de produits Open Source.
OpenLDAP souffre par contre des défauts inhérents à ce domaine: une mise en oeuvre parfois complexe ou mal documentée, qui invite à bien analyser les besoins et l'environnement pour s'assurer que l'on reste dans des cas d'usage prévus et éprouvés, et des interfaces/outils qui bien que nombreux, ne conviennent pas toujours aux besoins, d'où la nécessité d'avoir recours à des développements spécifiques. De plus, OpenLDAP demande souvent un travail conséquent d'installation et d'industrialisation, exigences mal adaptées aux projets demandant justement de l'automatisation.
RED HAT Directory Server
Reprenant les bases du logiciel Netscape Directory Server, cette solution propose une solution d'infrastructure de clés publiques (PKI) puissante, supporte la réplication (maître-esclave) et offre notamment une flexibilité de gestion des accès et une interface graphique évoluée.
Les plate-formes supportées (32 et 64 bits) sont :
- Red Hat Entreprise Linux
- Solaris
- HP-UX
Red Hat Directory offre une interopérabilité avec Active Directory par l’intermédiaire de Windows User Synch permettant une synchronisation en temps réel des données d’authentification du type groupe, utilisateurs et droits.
Il offre également une sécurité avancée au niveau authentification et fournit un outil de gestion avancée des certificats.
Red Hat Directory Server propose des possibilités de réplications accrues, de gestion de la redondance (possibilité de clusteriser les services d’authentification). Il dispose d’outils permettant de gèrer les backups, les resynchronisations. Son administration est facilitée par la présence d’une interface en Java permettant la gestion de multiples serveurs, des certificats et des réplications.