LDAPLDAP

Lightweight Directory Access Lightweight Directory Access ProtocolProtocol

Ce que pensent 100 directeurs Ce que pensent 100 directeurs informatique de LDAP :informatique de LDAP :

SommaireSommaire

Définitions et ConceptsDéfinitions et Concepts HistoriqueHistorique ModèlesModèles Applications concrètesApplications concrètes ConclusionConclusion

SommaireSommaire

Définitions et ConceptsDéfinitions et Concepts HistoriqueHistorique ModèlesModèles Applications concrètesApplications concrètes ConclusionConclusion

Définitions et conceptsDéfinitions et concepts► Un annuaire est un conteneur

d’informations organisées.

► Exemples d’annuaires courants annuaire téléphonique : Les Pages Jaunes carnet d’adresses catalogue de vente

► Un annuaire global célèbre très utilisé : DNS il a un espace de nommage uniforme il est distribué entre des serveurs coopérants

Définitions et conceptsDéfinitions et concepts► Un annuaire Un annuaire est une base de données, mais

une base de données n’est pas un annuaire Lecture Performance Extensibilité Communication entre serveurs

► Un annuaire n’est pas : approprié à de fréquentes écritures destiné à manipuler des données volumineuses un substitut à un serveur FTP, un système de

fichiers,...

SommaireSommaire

Définitions et ConceptsDéfinitions et ConceptsHistoriqueHistorique ModèlesModèles Applications concrètesApplications concrètes ConclusionConclusion

Historique – X.500 (1)Historique – X.500 (1)

► Standard conçu par les opérateurs télécom Standard conçu par les opérateurs télécom pour interconnecter leurs annuaires pour interconnecter leurs annuaires téléphoniques.téléphoniques.

► Destiné à devenir LE service d’annuaire Destiné à devenir LE service d’annuaire GLOBAL distribué, normalisé et fédérateur.GLOBAL distribué, normalisé et fédérateur.

► Mais conçu aussi pour répondre à tout type Mais conçu aussi pour répondre à tout type de besoin d’annuaire grâce à un modèle de de besoin d’annuaire grâce à un modèle de données de type objet et extensible.données de type objet et extensible.

Historique – X.500 (2)Historique – X.500 (2)

►X.500 définit :X.500 définit :► les règles pour nommer les objets et les règles pour nommer les objets et

les entitésles entités► les protocoles pour fournir le service les protocoles pour fournir le service

d’annuaired’annuaire►un mécanisme d’authentification.un mécanisme d’authentification.

Historique – X.500 (3)Historique – X.500 (3)

Historique – X.500 (4)Historique – X.500 (4)

Atouts d’X.500Atouts d’X.500 : :► scalability, fonctions de recherche évoluées, scalability, fonctions de recherche évoluées,

distribué (données et administration),ouvertdistribué (données et administration),ouvert Défauts d’X.500Défauts d’X.500 : :► implémentations très lourdes, buggées et implémentations très lourdes, buggées et

difficilement interopérables, basé sur les difficilement interopérables, basé sur les protocoles ISO, contraire à la culture internetprotocoles ISO, contraire à la culture internet

EchecEchec : les ambitions d’X.500 n’ont pas été : les ambitions d’X.500 n’ont pas été atteintesatteintes

Historique – LDAP (1)Historique – LDAP (1) LDAP né en 1993 de l’adaptation du LDAP né en 1993 de l’adaptation du

protocole DAP au protocole TCP/IPprotocole DAP au protocole TCP/IP RFC en pagailleRFC en pagaille►LDAPv1 : RFC 1487LDAPv1 : RFC 1487►LDAPv2 : RFC 1777LDAPv2 : RFC 1777►LDAPv3 : de RFC 2251 à 2256 (1997)LDAPv3 : de RFC 2251 à 2256 (1997) LDAP garde beaucoup d’aspects de LDAP garde beaucoup d’aspects de

X.500, mais va dans le sens de la X.500, mais va dans le sens de la simplification et de la performance.simplification et de la performance.

Historique – LDAP (2)Historique – LDAP (2)

SommaireSommaire

Définitions et ConceptsDéfinitions et Concepts HistoriqueHistoriqueModèlesModèles Applications concrètesApplications concrètes ConclusionConclusion

Concepts de LDAPConcepts de LDAP

Le standard LDAP définit :Le standard LDAP définit : Un protocole, cad comment accéder à Un protocole, cad comment accéder à

l’information stockée.l’information stockée. 4 modèles :4 modèles :► information information ►désignation = nommage.désignation = nommage.►services = fonctionnel.services = fonctionnel.►sécuritésécurité

Le protocoleLe protocole

Le fonctionnement Client-ServeurLe fonctionnement Client-Serveur►URL : ldap://… RFC 2255URL : ldap://… RFC 2255►BERBER commandes pour se connecter ou se commandes pour se connecter ou se

déconnecter, pour rechercher, comparer, déconnecter, pour rechercher, comparer, créer, modifier ou effacer des entrées.créer, modifier ou effacer des entrées.

Le fonctionnement Serveur-ServeurLe fonctionnement Serveur-Serveur►LDUP (LD Update P)LDUP (LD Update P)

Le modèle d’information (1)Le modèle d’information (1)

►modèle objetmodèle objet►Objets = ensemble de valeursObjets = ensemble de valeurs►A une valeur est associé un type d’ A une valeur est associé un type d’

attribut : définit la syntaxe.attribut : définit la syntaxe.►Classe d’objets (notion d’héritage)Classe d’objets (notion d’héritage)►OID identifient les attributs, syntaxes et OID identifient les attributs, syntaxes et

classes d’objets.classes d’objets.►Liste des attributs = RFC2252 & RFC2256Liste des attributs = RFC2252 & RFC2256

Le modèle d’information (2)Le modèle d’information (2)

Le modèle de désignation (1)Le modèle de désignation (1)

►Arborescence hiérarchique (DIT)Arborescence hiérarchique (DIT)►définit comment sont organisées les définit comment sont organisées les

entrées de l’annuaire et comment entrées de l’annuaire et comment elles sont référencées.elles sont référencées.

► l’identification d’une entrée se fait à l’identification d’une entrée se fait à l’aide d’un nom absolu, le Distinguish l’aide d’un nom absolu, le Distinguish Name (DN) unique.Name (DN) unique.

►DN divisé en Noms relatifs (RDN)DN divisé en Noms relatifs (RDN)

Le modèle de désignation (2)Le modèle de désignation (2)

Exemple de DIT

Modèle des services (1)Modèle des services (1)

Définit les fonctions offertes :Définit les fonctions offertes :► la connexion, déconnexionla connexion, déconnexion► la notification (de déconnexion)la notification (de déconnexion)► la mise à jourla mise à jour► les services annexes (abandon d'une les services annexes (abandon d'une

opération en cours, extensions)opération en cours, extensions) Offre des fonctions de recherche Offre des fonctions de recherche

avancéeavancée

Modèle des services (2)Modèle des services (2)

Modèle de sécuritéModèle de sécurité

Le modèle définit les méthodes :Le modèle définit les méthodes :►d'authentificationd'authentification►d'intégrité des informations échangéesd'intégrité des informations échangées►de confidentialitéde confidentialité►d'habilitations (accès lecture/écriture).d'habilitations (accès lecture/écriture).

SommaireSommaire

Définitions et ConceptsDéfinitions et Concepts HistoriqueHistorique ModèlesModèlesApplications concrètesApplications concrètes ConclusionConclusion

DEN : Directory Enabled DEN : Directory Enabled NetworkingNetworking

► Initiative de Microsoft et Cisco en 1997Initiative de Microsoft et Cisco en 1997►Partage d’informations dans un Partage d’informations dans un

annuaire entre éléments réseauxannuaire entre éléments réseaux►Permet QoS et facilité d’administration Permet QoS et facilité d’administration

du réseaudu réseau

DENDEN

Server

Cache

LDAPLDAP

PolicyEngine

PolicyEngine

Security

Addresses

RADIUS

DNS/DHCPLDAPLDAP

LDAPLDAP

DistributedPolicy Enforcement Intelligent

InfrastructureCentral Policy

Repository

Services and SLAs

User and Devices

Profiles and PoliciesPolicyEngine

QoS

LDAPLDAP

Microsoft Active DirectoryMicrosoft Active Directory

►LDAP propriétaire mais :LDAP propriétaire mais :►Lisible par tout client LDAPLisible par tout client LDAP►Par contre la création d’objets doit Par contre la création d’objets doit

passer par les interfaces fournies passer par les interfaces fournies (LDIFDE)(LDIFDE)

►Nécessite connaissance de Nécessite connaissance de l’arborescence propriétaire (attributs l’arborescence propriétaire (attributs obligatoires non normalisés).obligatoires non normalisés).

Novell NDSNovell NDS NDS est un annuaire généraliste décliné NDS est un annuaire généraliste décliné

en deux versions :en deux versions :► NDS eDirectory dédié aux applications NDS eDirectory dédié aux applications

Internet et aux extranetsInternet et aux extranets► NDS Corporate Edition dédié aux intranet.NDS Corporate Edition dédié aux intranet. Particularité de NDS :Particularité de NDS :► il fonctionne en environnement Netware il fonctionne en environnement Netware

ou windwsNT ou Solarisou windwsNT ou Solaris► il supporte LDAP v.3il supporte LDAP v.3► il offre un outil permettant d'importer et il offre un outil permettant d'importer et

d'exporter des données au format LDIFd'exporter des données au format LDIF

Commerce électroniqueCommerce électronique

►Partage des profils utilisateurs grâce à Partage des profils utilisateurs grâce à LDAPLDAP

►Une base pour plusieurs sitesUne base pour plusieurs sites►Différents logiciels :Différents logiciels :

SUN : iPlanet E-Commerce SolutionsSUN : iPlanet E-Commerce Solutions Microsoft : SiteServer Commerce EditionMicrosoft : SiteServer Commerce Edition IBM : WebSphere Commerce SuiteIBM : WebSphere Commerce Suite Oblix : Oblix E-BusinessOblix : Oblix E-Business BroadVision : BroadVision One-to-OnBroadVision : BroadVision One-to-On

Certificats X509Certificats X509 Infrastructure à clés publiques (PKI)Infrastructure à clés publiques (PKI)► authentifier des utilisateurs et des services authentifier des utilisateurs et des services ► gérer des habilitationsgérer des habilitations Certificats :Certificats :► authentification, authentification, ► signature et chiffrement des données signature et chiffrement des données outil basé sur un standard accessible de outil basé sur un standard accessible de

différentes plateformes et permettant de différentes plateformes et permettant de stocker ces certificats, de rechercher…stocker ces certificats, de rechercher…

iPlanet de Sun, NDS de Novell, SecureWay iPlanet de Sun, NDS de Novell, SecureWay Directory d'IBM Directory d'IBM

SSO : Single Sign OnSSO : Single Sign On

►Une seule authentification permet Une seule authentification permet l’accès à différentes applications.l’accès à différentes applications.

►Nécessite un Policy Server.Nécessite un Policy Server.►SiteMinder de Netegrity, getAccess de SiteMinder de Netegrity, getAccess de

enCommerce.enCommerce.

Meta-annuaireMeta-annuaire

►Référentiel unique de plusieurs Référentiel unique de plusieurs applications hétérogènesapplications hétérogènes

►basé soit sur la réplication des basé soit sur la réplication des donnéesdonnées

►soit sur un annuaire virtuel soit sur un annuaire virtuel

API disponiblesAPI disponibles

►API C : API C : #include <ldap.h>#include <ldap.h>►API Java : API Java : import javax.naming.*;import javax.naming.*;

NetscapeNetscape JNDI (Java Naming and Directory JNDI (Java Naming and Directory

Interfaces)Interfaces)

►ADSI (Active Directory Service ADSI (Active Directory Service Interface)Interface) C, C++, VB, VBScript, JavaScript, VBA, C, C++, VB, VBScript, JavaScript, VBA,

ASPASP

LDIFLDIF

►LDAP Data Interchange FormatLDAP Data Interchange Format►Permet l'ajout, la suppression et la Permet l'ajout, la suppression et la

modification des données de modification des données de l'annuaire l'annuaire

ConclusionConclusion

►Futur == Meta-annuairesFutur == Meta-annuaires►Un lien très intéressant (JRES 2003)Un lien très intéressant (JRES 2003)

Place aux questions…Place aux questions…