Les annuaires LDAP – OpenDJ – WrenDS – RedHat DS – 389DS – OpenLDAP – OUD – ODSEE

Lightweight Directory Access Protocol (LDAP) est le protocole d’accès privilégié aux annuaires

directoryserverhistory5

LDAP est devenu en quelques années dans le domaine des annuaires le pendant d’HTTP pour les serveurs Web, c’est à dire le protocole d’accès privilégié, reconnu et standard de facto. Mais le monde LDAP s’étend bien au delà du cercle protocolaire, il définit un modèle d’organisation des données particulièrement souple et bien adapté lorsqu’il s’agit d’effectuer des requêtes très simples et en grand nombre. Les annuaires LDAP ont donc rapidement remplacé beaucoup de bases de données, propriétaires ou non, pour répondre par exemple aux problématiques d’authentification et de contrôle d’accès aux applications et aux systèmes.
Issu de la norme X.500, très lourde et inadaptée aux bandes passantes des débuts de l’internet et des extranets, le protocole LDAP a ainsi rapidement su rallier les éditeurs des systèmes d’exploitation majeurs du marché qui l’intègrent tous aujourd’hui en standard. De même, la plupart des progiciel du marché sont munis de connecteur LDAP, cette approche est devenu incontournable pour s’interfacer avec une base d’utilisateurs existante, plutôt que de multiplier les référentiels d’identités.

ldap

Ldap1

Le succès de cette réussite repose notamment sur:

  • L’adoption et la publication de nombreux standards proposés par l’IETF
  • Un modèle de données souple et très performant en consultation
  • Des fonctions de sécurité telles le contrôle d’accès, la réplication, le support de SSL et TLS
  • De multiples interfaces de programmation (Java, PHP, Perl, ADSI…)

Janua se propose avant toute chose de vous aider à définir le périmètre fonctionnel lié à l’élaboration d’un service d’annuaire au travers d’une mission de consulting qui vous aidera à mieux définir vos besoins au regard des technologies d’aujourd’hui et de votre stratégie à long terme.

A cet effet, Janua a développé une approche méthodologique pour vous aider dans cette phase cruciale de spécification, méthodologie dont vous pouvez avoir un aperçu dans ce synoptique.

Janua peut aussi prendre en charge la migration de votre système de nommage NIS/NIS+ vers LDAP ou bien s’appuyer sur un référentiel Microsoft existant (Active Directory) pour alimenter votre annuaire, de façon ponctuelle ou récurrente.

Janua a développé un framework et des outils permettant la manipulation de données d’annuaires, la création de pages jaunes et pages blanches.

Janua, dans la phase de déploiement a développé une expertise particulière sur les offres logicielles suivantes :

Red Hat Directory Server – 389 Directory Server

La gestion de l’accès des utilisateurs à plusieurs systèmes relève du défi. Dans un environnement UNIX, l’octroi des accès fondé sur des informations stockées en local devient ingérable dès lors que le nombre de systèmes et d’utilisateurs s’accroît. Le stockage des informations utilisateur sur un annuaire LDAP (Lightweight Directory Access Protocol), comme Red Hat® Directory Server, permet de rendre le système évolutif, gérable et sécurisé.

389 Directory Server est un serveur LDAP développé par Red Hat, au sein du projet communautaire Fedora. Pour cette raison, 389 Directory Server est identique au serveur d’annuaire commercialisé par Red Hat, nommé Red Hat Directory Server.

Les principaux avantages de 389 DS – RedHat DS sont :

  • Un contrôle des accès détaillé et centralisé, fondé notamment sur l’identité des utilisateurs, l’appartenance à un groupe, l’identité des rôles, l’adresse IP, le nom de domaine ou des règles basées sur des schémas.
  • La multiplicité des méthodes d’accès vous permet un accès anonyme ou un accès au moyen de méthodes d’authentification, comme l’ID utilisateur ou les certificats à clé publique X.509v3
  • Utilisée en conjonction avec Red Hat Certificate System, cette solution jette les bases d’une solide authentification par certificat
  • Limite l’accès aux données de l’annuaire, en permettant un contrôle jusqu’à la valeur des attributs
  • Stocke les informations de liste de contrôle d’accès (ACL) avec chaque entrée, de telle sorte que la règle de sécurité est répliquée avec les données
OpenDJ – WrenDS

WrenDS par Wren Security est un fork communautaire totalement Open Source (sous licence CDDL) crée suite à la fermeture progressive des sources d’OpenDJ par la société ForgeRock. OpenDJ est développé et supporté par la société ForgeRock.  OpenDJ – WrenDS sont conçus pour:

  • Adresser les déploiements de grands projets
  • Fournir des performances élevées
  • Être très évolutif
  • Facile à déployer, administrer et superviser

Les grandes forces d’OpenDJ – WrenDS sont:

  • Ses performances: amené à remplacer l’annuaire historique de Sun (Sun DSEE) qui jouit d’une très forte base installée notamment sur des plates-formes à très hautes exigences en performances (fournisseurs d’accès, opérateurs téléphoniques etc ..). Conçu en Java, OpenDJ – WrenDS exploite par exemple nativement et de façon optimale les serveurs multi-coeurs.
  • Une ouverture et une évolutivité inégalée: le fait qu’il soit développé en Java et qu’il soit Open Source lui confère la possibilité d’ajouter des fonctionnalités très facilement, en bénéficiant des outils et des API Java existantes. La correction des problèmes éventuels est également accélérée par les outils de développements et de supervision existants dans le monde Java. Enfin, le langage Java permet à OpenDJ – WrenDS de s’affranchir des problèmes de support de différentes plate-formes matérielles.
  • OpenDJ – WrenDS sont intégrés-(ables) dans OpenStack.
  • Une grande richesse fonctionnelle: notamment par une conformité sans égal avec les standards (il suffit de consulter la liste des normes implémentées dans OpenDJ – WrenDS), la communauté des concepteurs et développeurs est très active et s’attache à faire en sorte qu’OpenDJ – WrenDS puisse répondre aux besoins les plus exigeants en termes fonctionnels.
  • Janua a développé une formation spécifique « OpenDJ pour administrateurs systèmes« . Nous consulter pour plus d’informations.
OpenLDAP

OpenLDAP est l’implémentation historique Open Source d’un serveur LDAP. Sa conformité avec les différents standards autorise une intégration aisée avec les principaux progiciels du marché (serveurs Web, portails, serveurs d’applications ou encore de plates-formes de gestion des identités). Les caractéristiques techniques principales d’OpenLDAP sont les suivantes :

  • Conforme LDAP v3.
  • Contrôle des accès au niveau réseau (adresses IP, ports) et au niveau utilisateur (informations d’authentifications requises),  supporte SASL,SSL/TLS.
  • Support de multiples formats et interfaces de stockage des données (BDB, HDB, LDBM, etc..).
  • Virtualisation (possibilité de représenter plusieurs annuaires logiques avec un seul serveur LDAP).
  • Réplication des données (plusieurs modèles possibles) assuorant haute disponibilité et scalabilité horizontale.
  • Possibilité de fonctionnement en proxy LDAP avec cache, pour isoler les flux et sécuriser l’architecture

De nombreux exemples de déploiement et d’outils existent pour OpenLDAP, il convient parfaitement pour des projets de faible ou moyenne taille, et lorsque on dénombre déjà dans l’environnement cible plusieurs applications reposant sur des briques Open Source, beaucoup de solutions du monde Open Source s’interfaçant avec OpenLDAP.

OpenLDAP souffre  de quelques limitations:

  • Une mise en oeuvre parfois complexe ou mal documentée, qui invite à bien analyser les besoins et l’environnement pour s’assurer que l’on reste dans des cas d’usage prévus et éprouvés,
  • Des interfaces/outils qui bien que nombreux, ne conviennent pas toujours aux besoins, d’où la nécessité d’avoir recours à des développements spécifiques.
  • De plus, OpenLDAP demande souvent un travail conséquent d’installation et d’industrialisation.
Oracle Unified Directory (OUD), Oracle Virtual Directory (OVD), Sun Java Directory Server (DSEE)

OUD et DSEE sont des versions « historiques » et propriétaires d’annuaires LDAP sur lesquelles les architectes et consultants de Janua ont longtemps travaillé et possèdent de fortes compétences.