Les annuaires LDAP
Méta-annuaires et e-provisioning
Pierre-Yves Cloux Rafael Corvalan
Dunod
Avant-propos
XI
Introduction - Les annuaires d'entreprise1
LDAP, annuaire, référentiel, gestion des identités, e-provisioning, etc.2
Comment lire cet ouvrage?3
Un annuaire pour les exemples
4
Première partie - Comprendre et maîtriser LDAP
Chapitre 1 - Les annuaires d'entreprise
7
1.1 Qu'est-ce qu'un annuaire?7
1.1.1 À la recherche d'une première définition
7
1.1.2 La notion de donnée de référence
9
1.2 Caractéristiques techniques des annuaires13
1.2.1 Différences entre une base de données relationnelles et un annuaire
14
1.2.2 Atomicité des objets et organisation hiérarchique
15
1.2.3 Standardisation du schéma
15
1.2.4 Distribution et vitesse d'accès
16
1.3 Les principaux standards d'annuaires17
1.3.1 Les annuaires des NOS
17
1.3.2 Le service de noms d'Internet: DNS
18
1.3.3 Le premier standard d'annuaire X500
20
1.3.4 LDAP, le standard Internet
21
1.4 Conclusion: LDAP et autres23
Chapitre 2 - Le modèle de données LDAP
25
2.1 Le DIT25
2.1.1 Le suffixe
26
2.1.2 Un ou plusieurs DIT
27
2.2 Les DSE28
2.2.1 Nommer les DSE
28
2.2.2 Les URL LDAP
31
2.2.3 La root DSE
33
2.3 Le schéma LDAP35
2.3.1 Localisation du schéma
35
2.3.2 OID ou Object IDentifier
36
2.3.3 Les attributs
38
2.3.4 Syntaxes et opérateurs
41
2.3.5 Classes d'objets
44
2.4 Dans la pratique49
2.4.1 Quelques objets usuels
49
2.4.2 Modifier le schéma
52
Chapitre 3 - Protocole, modèle fonctionnel et modèle de sécurité
57
3.1 Le protocole LDAP58
3.1.1 Les acteurs
58
3.1.2 La session LDAP
59
3.1.3 Le codage des messages LDAP
60
3.1.4 Opération de BIND
65
3.2 Le modèle fonctionnel66
3.2.1 Recherches
66
3.2.2 Comparaisons
71
3.2.3 Accès en écriture
72
3.2.4 Contrôles
74
3.2.5 Opérations étendues
76
3.2.6 Abandon
76
3.3 Le modèle de sécurité76
3.3.1 Principaux risques en termes de sécurité
77
3.3.2 Authentification
78
3.3.3 Protection de la communication
81
Deuxième partie - Accéder aux annuaires
Chapitre 4 - LDAP et Java
87
4.1 JNDI: l'approche de haut niveau de SUN87
4.1.1 JNDI: concepts et abstractions
88
4.1.2 JNDI: classes et packages
89
4.1.3 JNDI: manipulations élémentaires
92
4.1.4 JNDI: techniques avancées
96
4.1.5 JNDI: fonctions spécifiques de LDAP
105
4.2 Les API dédiées à LDAP105
4.2.1 JLDAP : le «standard»
106
4.2.2 Directory SDK: une API à mettre à jour
190
Chapitre 5 - Les autres API
111
5.1 PERL112
5.1.1 Établissement de la connexion, authentification
113
5.1.2 Commandes
114
5.1.3 Fermeture de la session
122
5.1.4 Aperçu global des API Net::LDAP et Mozilla::LDAP
123
5.2 ADSI, l'approche de Microsoft123
5.2.1 ADSI: concepts et abstractions
124
5.2.2 ADSI: opérations élémentaires
129
5.3 .NET la nouvelle interface Microsoft132
5.3.1 Survol du namespace System.DirectoryServices
132
5.3.2 Quelques exemples
133
Chapitre 6 - Interfaces
137
6.1 LDIF, le format d'interopérabilité137
6.1.1 LDIF pour représenter les entrées d'un annuaire
138
6.1.2 LDIF pour représenter des opérations de modification
140
6.2 DSML144
6.2.1 Le standard DSML
145
6.2.2 Les outils DSML
150
6.2.3 Mise en oeuvre de DSML
152
Troisième partie - Exploiter les annuaires
Chapitre 7 - Les serveurs LDAP
163
7.1 Installer et paramétrer un annuaire LDAP163
7.1.1 Principaux paramètres de l'installation
164
7.1.2 Configurer l'annuaire (post-installation)
165
7.2 Sun Java System Directory Server169
7.2.1 Présentation
169
7.2.2 Outils associés
171
7.2.3 Opérations courantes
172
7.3 IBM Tivoli Directory Server174
7.3.1 Présentation
175
7.3.2 Opérations courantes
176
7.3.3 Gestion des transactions
179
7.4 OpenLDAP180
7.4.1 Présentation
180
7.4.2 Mise en place
181
7.4.3 Réplication
185
7.4.4 Opérations courantes
188
7.5 Active Directory et AD/AM190
7.5.1 Présentation
190
7.5.2 Le produit
190
7.5.3 Mise en place
191
7.5.4 Maintenance
192
7.5.5 Compatibilité avec le standard
193
7.5.6 AD/AM
193
7.6 Les passerelles d'annuaires de groupwares195
7.6.1 Domino LDAP Server
195
7.6.2 Exchange LDAP Interface
196
Chapitre 8 - Les outils d'administration
197
8.1 Les browsers197
8.1.1 Les browsers techniques
198
8.1.2 Les outils en ligne de commande
203
8.1.3 Les gateways web
206
8.2 Les outils d'administration distribuée210
8.2.1 IPlanet Delegated Administrator
211
8.2.2 Calendra
213
Chapitre 9 - LDAP applications
219
9.1 Les clients de messagerie219
9.1.1 Mozilla mail client
219
9.1.2 Outlook Express
221
9.2 L'authentification (single sign-on et PKI)223
9.2.1 De quoi parle-t-on?
223
9.2.2 Une seule base d'utilisateur
223
9.2.3 Single Sign-On pour le web: SiteMinder
225
9.2.4 PKI?
229
9.3 Serveurs d'application et gestion de profils230
9.3.1 La place de LDAP
230
9.3.2 Un exemple: Tomcat
233
9.4 LDAP et la gestion des réseaux: DEN239
9.4.1 LDAP et DEN
239
9.4.2 Utilisation
239
9.5 UDDI: annuaire de services241
9.5.1 Le système UDDI
241
9.5.2 UDDI over LDAP
243
Quatrième partie - Annuaires d'entreprise: implémentation
Chapitre 10 - Distribution et réplication
249
10.1 Distribution logique des données250
10.1.1 Le modèle X500
250
10.1.2 Les referrals LDAP
252
10.1.3 Chaînage et database links
256
10.2 Distribution physique261
10.2.1 Réplication définition
261
10.2.2 Les différents modèles
262
10.2.3 Un cas de réplication entre DSA hétérogènes
265
10.3 Conclusion: intégration d'annuaires266
Chapitre 11 - Concevoir un annuaire
269
11.1 Analyse269
11.1.1 Où se trouve la complexité?
270
11.1.2 Contraintes structurelles
270
11.1.3 Contraintes opérationnelles
271
11.1.4 Processus, rôles et habilitations
276
11.2 Conception du schéma et du DIT282
11.2.1 Classes d'objets LDAP
282
11.2.2 Conception du DIT
284
11.3 Le déploiement290
11.3.1 Access Control Lists
290
11.3.2 Administration
291
Chapitre 12 - Intégration d'annuaires: méta-annuaires et e-provisioning
293
12.1 Pourquoi?294
12.1.1 Comprendre les limites de LDAP
294
12.1.2 Comprendre les besoins
296
12.2 Problématiques usuelles297
12.2.1 Synchronisation des mots de passe
297
12.2.2 Gestion des clefs primaires
300
12.2.3 Les transformations
304
12.2.4 Contrôle qualité et surveillance
306
12.3 Méta-annuaires307
12.3.1 Le concept de méta-annuaire?
307
12.3.2 Moteurs de synchronisation
309
12.3.3 Les annuaires virtuels
315
12.4 Gestion des identités et e-provisioning322
12.4.1 Gestion des identités
322
12.4.2 Plate-forme d'e-provisioning
325
Conclusion - Un standard d'annuaire universel
329
Index
331