Gestion de droits centralisées avec LDAP

Gestion de droits centralisées avec LDAP - Infrastructures serveurs - Systèmes & Réseaux Pro

Marsh Posté le 11-02-2010 à 19:49:04    

Bonjour,
 
Contexte :
 - Un parc de machines Windows bien géré par un Active Directory qui définit des permissions fines sur les groupes d'utilisateurs. Donc au final tout va plutot bien, chaque utilisateur a un champs d'action limité sur le système lorsqu'il se log et peut se balader un peu partout dans le parc.
 - Un autre parc de machines cette fois sous Linux et géré de manière bien plus binaire : on est root et on peut tout péter ou on est user lambda et on peut rien faire. C'est pas pratique et ca doit changer.
 
Objectif:
Obtenir sur les machines Linux la même gestion fine des droits que sous Windows, de manière centralisée bien sûr :o
 
Idées:
 - Bon bah l'auth c'est géré par LDAP sans souci a priori, mais la gestion des droits sur un système c'est pas intrinsèque à LDAP. Le premier truc qui me venait à l'esprit c'est une sorte de sudo (gestion fine des droits) centralisé (LDAP). Donc j'ai recherché ca sur le net et il semble en effet qu'il existe un schéma sudo pour LDAP. Après avoir jeté un coup d'oeil, ca nécéssite quand même d'avoir un sudo compilé comme il faut sur chaque machine qui devra l'utiliser, donc bon... pas cool. De plus, le schéma proposé m'avait l'air un peu artisanal et j'aurai aimé un truc d'un peu plus éprouvé.
 
Maintenant je suis à la recherche d'idées sur le sujet. Ca me parait être un truc relativement indispensable lors de l'utilisation d'un parc machine un peu conséquent avec plein d'utilisateurs nécéssitant des niveaux de privilèges différent. Donc je me dis qu'il doit bien y avoir la solution quelque part :whistle: Surtout que si Microsoft le fait, alors Linux devrait savoir le faire aussi (en mieux :o).
Bref, j'attends vos idées, expériences, insultes etc...

Reply

Marsh Posté le 11-02-2010 à 19:49:04   

Reply

Marsh Posté le 18-02-2010 à 18:03:52    

Up plz !  :bounce:

Reply

Marsh Posté le 01-03-2010 à 21:18:31    

Je suis le seul à me préoccuper de ca ou quoi ? :D

Reply

Marsh Posté le 03-03-2010 à 11:11:29    

sebchap a écrit :

Surtout que si Microsoft le fait, alors Linux devrait savoir le faire aussi (en mieux :o).


He bien non, linux ne fait pas en mieux et ne fait pas non plus aussi bien.
Active directory est au dessus du lot. C'est vrai que ça vient de Novell (eDirectory).
 
Il y a 2 ou 3 ans, Microsoft avait même invité les experts mondiaux linux à Richmond pour leur expliquer le fonctionnement de l'AD pour rapprocher les deux mondes car ils (linusiens) n'avaient toujours pas compris comment fonctionnait (ou plutôt comment était fait) AD... la plupart ne sont pas venus et ça n'a pas avancé.
 
Tu veux de l'équivalent Active directory, il faut monter un domaine sous Windows server ou sous Novell.
Sinon, mais je ne connais pas, Mandriva a racheté Linbox et son Linbox Directory Server (http://mds.mandriva.org/)


Message édité par akabis le 03-03-2010 à 11:26:22
Reply

Marsh Posté le 03-03-2010 à 11:35:32    

+1
 A titre J'avais mis en preproduction un serveur SaMBa dans le but de voir s'il pouvait remplacer un serveur de Fichier sous Windows ..
LA gestions des héritages et des droits avancés ( Umask ) ne permet pas, amha, une gestion fine ...


---------------
www.google.fr  
Reply

Marsh Posté le 03-03-2010 à 19:00:09    

Aaahhh, je me disais bien qu'il fallait troller un peu pour avoir des réponses :D
 
Bon en tout cas merci pour vos réponses, même si c'est un peu ce que je craignais... Enfin, tout est relatif, AD est effectivement plutot bien foutu et peut intégrer de manière plus ou moins directe des clients Linux, donc c'est surement la solution qui va se concrétiser.
 
Celà dit je suis toujours à la recherche de retours d'expérience sur cette problématique. Je testerai le Directory Server de Mandriva également, mais le projet étant en stand by pour le moment ca ne se fera pas avant quelques semaines...

Reply

Marsh Posté le 10-03-2010 à 20:00:57    

Euh, je vais peut-être dire une bêtise (car je me pose la même question et cherche aussi une solution), mais ce n'est pas à ça que servent les ACL sous Linux?

Reply

Marsh Posté le 11-03-2010 à 18:28:20    

Je ne m'y connais pas des masses en ACL, mais d'après ce que je sais, il faut setup les ACL sur chaque fichier/repertoire du système de fichier de chaque machine.
Bon alors un script peu surement s'en charger pour éviter de s'arracher les cheveux, mais au final on revient un peu aux même contraintes que pour sudo.
Après je ne saurais pas dire laquelle des deux solutions serait la meilleure vu que je ne les ai pas suffisament utilisée chacune et encore moins déployée...

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed