Single Sign On: Comment organiser ldap? NetAdmin
Single Sign On: Comment organiser ldap? NetAdmin - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 20-10-2010 à 21:55:02
Ce sujet a été déplacé de la catégorie Systèmes & Réseaux Pro vers la categorie OS Alternatifs par Je@nb
Sujets relatifs:
- PDC Samba-LDAP et groupes secondaires
- [Résolu][PAM-LDAP] Restreindre accès à un posixGroup.
- [Résolu] [DEBIAN] Support LDAP
- [apache2] faire expirer une session authentifiée par LDAP
- pb ldap glpi (résolu)
- Postfix, dovecot et LDAP : impossible d'envoyer des mails vers gmail
- [PAM-LDAP] Controle des hosts par netgroups
- Gestion accès PAM avec LDAP + MySQL
- [FreeBSD] Tuning PDC avec samba-ldap ?
- lister les groupes crées dans un annuiare ldap
Marsh Posté le 20-10-2010 à 20:46:49
Bonjour!
Alors, avant de rentrer dans les détails, ma question est comment organiser de manière efficace/flexible un annuaire OpenLDAP afin de gérer des utilisateurs, leur droits et groupes ainsi que certains de leurs paramètres?
Donc voila, question posée, j'ai un petit serveur Debian famillial avec différents services:
- blog
- ftp
- openvpn
- partages samba
- divers service web (pmwiki, tt-rss, drupal .... )
- access ssh - sur plusieurs machines
- etc ...
Alors tout ça fonctionne à peu près pas trop mal, mais maintenant, j'aimerai mettre en place un système de SSO, et centraliser un maximum de choses.
Alors j'ai vu qu'ils y avait plusieurs solutions, mais je m'y connais pas très bien:
- logiciel <-> ldap
- logiciel <-> CAS <-> ldap
- logiciel <-> FreeRadius <-> ldap
Mon avis est qu'ils peuvent être complémentaire, mais bon, je vous pose la question.
Donc, dans un premier temps, j'ai essayé le premier point, mais je me suis vite rendu compte que organiser l'annuaire est un vrai défi. j'aimerai avoir un truc du genre:
uid=toto
+ Parametres modifiables par l'user (mdp, nom, email ...)
+ Paramètres d'admin (groupe, home, droits ...)
+- Serv1_SSH
+- Serv1_Drupal
+- Serv2_SSH
+- etc ...
L'interet de mettre les choses ainsi, c'est que ça permet une bonne visibilité des entrées d'un utilisateur, que c'est organisé et que ça évite de la redondance. J'ai aussi pensé à un modèle à plat, mais c'est bcp moins lisible, mais ça reste envisageable (grace aux objets AUXILLIARY) Pour arriver à ça, je me suis crée mes propres shemas, en faisant des mixs de ce qui existe déjà.
Mais j'ai des problèmes:
- Un client ldap ne peut pas chercher différentes informations sur deux chemains différents (ou en tout cas, ça dépends de l'implémentation du client) => Chaque client est un cas particulier à configurer, et souvent, ça ne marche pas.
- Je peux utiliser les schemas déjà fournis par des apps (genre samba, postfix, etc ...), mais alors je casse le principe de non redondance.
Alors mes questions sont:
- Ma manière d'organiser mon annuaire, est-elle bonne? Qu'elle sont vos expériences?
- Est-ce qu'utiliser CAS ou FreeRadius simplifierai mes problèmes? Ou même d'autres solutions?
- Comment bien gérer mes permissions? Ex: tel user à le droit d'utiliser le wiki, mais le SSH sur telle machine.
Bin, déjà c'est pas mal si je peux avoir des retours d'expériences, des avis et des conseils ^^ Hésitez à me demander des éclaircissements!
Merci bcp