Pages : 1
Discussion fermée
#1 Le 21/10/2010, à 11:27
- mrjk
Single Sign On: Comment organiser ldap? NetAdmin
Bonjour!
Alors, avant de rentrer dans les détails, ma question est comment organiser de manière efficace/flexible un annuaire OpenLDAP afin de gérer des utilisateurs, leur droits et groupes ainsi que certains de leurs paramètres?
Donc voila, question posée, j'ai un petit serveur Debian famillial avec différents services:
- blog
- ftp
- openvpn
- partages samba
- divers service web (pmwiki, tt-rss, drupal .... )
- access ssh - sur plusieurs machines
- etc ...
Alors tout ça fonctionne à peu près pas trop mal, mais maintenant, j'aimerai mettre en place un système de SSO, et centraliser un maximum de choses.
Alors j'ai vu qu'ils y avait plusieurs solutions, mais je m'y connais pas très bien:
- logiciel <-> ldap
- logiciel <-> CAS <-> ldap
- logiciel <-> FreeRadius <-> ldap
Mon avis est qu'ils peuvent être complémentaire, mais bon, je vous pose la question.
Donc, dans un premier temps, j'ai essayé le premier point, mais je me suis vite rendu compte que organiser l'annuaire est un vrai défi. j'aimerai avoir un truc du genre:
uid=toto
+ Parametres modifiables par l'user (mdp, nom, email ...)
+ Paramètres d'admin (groupe, home, droits ...)
+- Serv1_SSH
+- Serv1_Drupal
+- Serv2_SSH
+- etc ...
L'interet de mettre les choses ainsi, c'est que ça permet une bonne visibilité des entrées d'un utilisateur, que c'est organisé et que ça évite de la redondance. J'ai aussi pensé à un modèle à plat, mais c'est bcp moins lisible, mais ça reste envisageable (grace aux objets AUXILLIARY) Pour arriver à ça, je me suis crée mes propres shemas, en faisant des mixs de ce qui existe déjà.
Mais j'ai des problèmes:
- Un client ldap ne peut pas chercher différentes informations sur deux chemains différents (ou en tout cas, ça dépends de l'implémentation du client) => Chaque client est un cas particulier à configurer, et souvent, ça ne marche pas.
- Je peux utiliser les schemas déjà fournis par des apps (genre samba, postfix, etc ...), mais alors je casse le principe de non redondance.
Alors mes questions sont:
- Ma manière d'organiser mon annuaire, est-elle bonne? Qu'elle sont vos expériences?
- Est-ce qu'utiliser CAS ou FreeRadius simplifierai mes problèmes? Ou même d'autres solutions?
- Comment bien gérer mes permissions? Ex: tel user à le droit d'utiliser le wiki, mais le SSH sur telle machine.
Bin, déjà c'est pas mal si je peux avoir des retours d'expériences, des avis et des conseils ^^ Hésitez à me demander des éclaircissements!
Merci bcp
Note: ce sujet est une copie de http://forum.hardware.fr/hfr/reseauxper … 9154_1.htm ... Parceque sur FHW, ils ont pas l'air très interessé....
Hors ligne
#2 Le 21/10/2010, à 11:32
- tshirtman
Re : Single Sign On: Comment organiser ldap? NetAdmin
doublon, sujet fermé.
http://forum.ubuntu-fr.org/viewtopic.ph … 4#p3801354
Hors ligne
Pages : 1
Discussion fermée