Single Sign On: Comment organiser ldap? NetAdmin

Single Sign On: Comment organiser ldap? NetAdmin - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 20-10-2010 à 20:46:49    

Bonjour!
 
Alors, avant de rentrer dans les détails, ma question est comment organiser de manière efficace/flexible un annuaire OpenLDAP afin de gérer des utilisateurs, leur droits et groupes ainsi que certains de leurs paramètres?
 
Donc voila, question posée, j'ai un petit serveur Debian famillial avec différents services:
- blog
- ftp
- openvpn
- partages samba
- divers service web (pmwiki, tt-rss, drupal .... )
- access ssh - sur plusieurs machines
- etc ...
 
Alors tout ça fonctionne à peu près pas trop mal, mais maintenant, j'aimerai mettre en place un système de SSO, et centraliser un maximum de choses.
 
Alors j'ai vu qu'ils y avait plusieurs solutions, mais je m'y connais pas très bien:
- logiciel <-> ldap
- logiciel <-> CAS <-> ldap
- logiciel <-> FreeRadius <-> ldap
Mon avis est qu'ils peuvent être complémentaire, mais bon, je vous pose la question.
 
Donc, dans un premier temps, j'ai essayé le premier point, mais je me suis vite rendu compte que organiser l'annuaire est un vrai défi. j'aimerai avoir un truc du genre:
uid=toto
+ Parametres modifiables par l'user (mdp, nom, email ...)
+ Paramètres d'admin (groupe, home, droits ...)
+- Serv1_SSH
+- Serv1_Drupal
+- Serv2_SSH
+- etc ...
 
L'interet de mettre les choses ainsi, c'est que ça permet une bonne visibilité des entrées d'un utilisateur, que c'est organisé et que ça évite de la redondance. J'ai aussi pensé à un modèle à plat, mais c'est bcp moins lisible, mais ça reste envisageable (grace aux objets AUXILLIARY) Pour arriver à ça, je me suis crée mes propres shemas, en faisant des mixs de ce qui existe déjà.
 
Mais j'ai des problèmes:
- Un client ldap ne peut pas chercher différentes informations sur deux chemains différents (ou en tout cas, ça dépends de l'implémentation du client) => Chaque client est un cas particulier à configurer, et souvent, ça ne marche pas.
- Je peux utiliser les schemas déjà fournis par des apps (genre samba, postfix, etc ...), mais alors je casse le principe de non redondance.
 
Alors mes questions sont:
- Ma manière d'organiser mon annuaire, est-elle bonne? Qu'elle sont vos expériences?
- Est-ce qu'utiliser CAS ou FreeRadius simplifierai mes problèmes? Ou même d'autres solutions?
- Comment bien gérer mes permissions? Ex: tel user à le droit d'utiliser le wiki, mais le SSH sur telle machine.
 
Bin, déjà c'est pas mal si je peux avoir des retours d'expériences, des avis et des conseils ^^ Hésitez à me demander des éclaircissements!
 
Merci bcp :)

Reply

Marsh Posté le 20-10-2010 à 20:46:49   

Reply

Marsh Posté le 20-10-2010 à 21:55:02    

Ce sujet a été déplacé de la catégorie Systèmes & Réseaux Pro vers la categorie OS Alternatifs par Je@nb

Reply

Marsh Posté le 21-10-2010 à 12:22:16    

Hum, je tente un up?

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed