Je cherche =E0 installer openldap pour r=E9aliser une gestion centralis=E9e=
(et s=E9curis=E9e) des utilisateurs de mon lan. J'ai vu de nombreux tutori=
aux, mais tous tellement diff=E9rents que je ne sais plus ce qui est essent=
iel de ce qui ne l'est pas : sasl, kerberos, etc... Et je ne comprends pas =
toujours comment les diff=E9rentes briques s'imbriquent entre elles.
1) Est-ce que quelqu'un connait un tuto (c'est bien les tuto),
2) qui explique ce qu'on fait et ne se contente pas de donner les apt-get q=
ui vont bien (c'est mieux) ?
<html><head><style type=3D"text/css"><!-- DIV {margin:0px} --></style></hea=
d><body><div style=3D"font-family:times new roman, new york, times, serif;f=
ont-size:12pt"><div>Bonjour,<br><br>Je cherche =E0 installer openldap pour =
r=E9aliser une gestion centralis=E9e (et s=E9curis=E9e) des utilisateurs de=
mon lan. J'ai vu de nombreux tutoriaux, mais tous tellement diff=E9rents q=
ue je ne sais plus ce qui est essentiel de ce qui ne l'est pas : sasl, kerb=
eros, etc... Et je ne comprends pas toujours comment les diff=E9rentes briq=
ues s'imbriquent entre elles.<br><br>1) Est-ce que quelqu'un connait un tut=
o (c'est bien les tuto),<br>2) qui explique ce qu'on fait et ne se contente=
pas de donner les apt-get qui vont bien (c'est mieux) ?<br><br>a+, <br><br=
>Christophe.<br></div></div></body></html>
--0-1662953434-1148312022=:4782--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
CONANGLE Frédéric
Christophe BOURGEOIS wrote:
Bonjour,
Je cherche à installer openldap pour réaliser une gestion centralisée (et sécurisée) des utilisateurs de mon lan. J'ai vu de nombreux tutoriaux, mais tous tellement différents que je ne sais plus ce qui est essentiel de ce qui ne l'est pas : sasl, kerberos, etc... Et je ne comprends pas toujours comment les différentes briques s'imbriquent entre elles.
1) Est-ce que quelqu'un connait un tuto (c'est bien les tuto), 2) qui explique ce qu'on fait et ne se contente pas de donner les apt-get qui vont bien (c'est mieux) ?
a+,
Christophe.
J'ai le même problème, je suis preneur ...
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Christophe BOURGEOIS wrote:
Bonjour,
Je cherche à installer openldap pour réaliser une gestion centralisée (et
sécurisée) des utilisateurs de mon lan. J'ai vu de nombreux tutoriaux,
mais tous tellement différents que je ne sais plus ce qui est essentiel de
ce qui ne l'est pas : sasl, kerberos, etc... Et je ne comprends pas
toujours comment les différentes briques s'imbriquent entre elles.
1) Est-ce que quelqu'un connait un tuto (c'est bien les tuto),
2) qui explique ce qu'on fait et ne se contente pas de donner les apt-get
qui vont bien (c'est mieux) ?
a+,
Christophe.
J'ai le même problème, je suis preneur ...
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Je cherche à installer openldap pour réaliser une gestion centralisée (et sécurisée) des utilisateurs de mon lan. J'ai vu de nombreux tutoriaux, mais tous tellement différents que je ne sais plus ce qui est essentiel de ce qui ne l'est pas : sasl, kerberos, etc... Et je ne comprends pas toujours comment les différentes briques s'imbriquent entre elles.
1) Est-ce que quelqu'un connait un tuto (c'est bien les tuto), 2) qui explique ce qu'on fait et ne se contente pas de donner les apt-get qui vont bien (c'est mieux) ?
a+,
Christophe.
J'ai le même problème, je suis preneur ...
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Le Tuesday 23 May 2006 00:11, CONANGLE Frédéric(CONANGLE Frédéric ) a écrit:
> Bonjour,
Bonjour, J'ai loupé le premier mail, je réponds là. Je ne connais pas grand chose. D'après ce que j'ai compris :
> Je cherche à installer openldap pour réaliser une gestion > centralisée (et sécurisée) des utilisateurs de mon lan. J'ai vu > de nombreux tutoriaux, mais tous tellement différents que je ne > sais plus ce qui est essentiel de ce qui ne l'est pas :
Dans le cas de l'installation d'un LDAP *propre*, il est important de définir le schéma *correctement* en fonction votre l'organigramme ; cela vous évitera de retoucher à l'essentiel à chaque fois vous voulez faire l'évoluer. Après pour la technique c'est simple. On trouve plein de tuto (plus ou moins complet sur le Net...).
Pour revenir à LDAP, c'est une grosse (petite) base de données stockant l'ensemble d'informations sur un objet (login/password/groupe/clé privée etc... dans le cas d'un utilisateur) et utilisant une protocole définie pour les échanges avec le reste du monde !
> sasl
Encore une fois, d'après ce que *j'ai* *compris* : sasl se place entre l'application et le serveur LDAP. C'est une librairie qui permet de switcher le backend d'authentification sans toucher l'appli (un peu comme PAM) : Vous pouvez mettre en place par exemple un serveur Imap avec une authentification sasl : les logins/password peuvent être définis dans un fichier texte, puis si vous voulez passer à LDAP (ou une base mysql ou /etc/passwd), il faut juste modifier la config de SASL.... Du coup, c'est plus facile pour les développeurs : ils n'ont qu'à se baser sur des librairies (et ne s'occupent que du coeur de leur l'appli) et les admins. peuvent switcher le backend d'authentifcation de façon transparente!
> kerberos, etc...
Kerberos est une solution tout en 1 : le permet de stocker les comptes/password des utilisateurs, fournit une API (GSSAPI?) permettant aux applis de déporter l'authentification et enfin, permet de faire du SSO.
> Et je ne comprends pas toujours comment les > différentes briques s'imbriquent entre elles.
En gros (je vais prendre le cas d'un domaine Windows. C'est pas le meilleur, mais, bon je *pense* IIS6 ne peut pas accèder à serveur LDAP autre qu'AD)
- Les comptes utilisateurs/password/groups sont stockés dans l'AD (serveur LDAP à la sauce Microsoft).
- Lorsque vous vous loggez sur le domaine, l'authentification se fait à travers un Kerberos(à la sauce Microsoft). Vous obtenez un token !
- Vous allez avec IE sur une application hébergée par un IIS qui est dans le même domaine AD, avec une authentification NTLM. Vous n'avez pas de retaper votre mot de passe.
- Vos utilisateurs peuvent récupérer leur mails par Cyrus-IMPA qui peut attaquer AD (à travers de SASL) pour l'authentification!
- Votre application APACHE/PHP peut utiliser AD à travers mod-auth-imap (ou le module ldap de php) pour s'autentifier !
> 1) Est-ce que quelqu'un connait un tuto (c'est bien les tuto),
Heu... non, mais je suis preneur !
> 2) qui explique ce qu'on fait et ne se contente pas de donner > les apt-get qui vont bien (c'est mieux) ?
Pour la mise en place d'un serveur LDAP, je pense qu'il y a une analyse fonctionnelle de votre organisation. Vous aurez du mal à trouvez un tuto sur ce point...
J'espère que n'ai pas raconté trop de conneries...
A+
-- Glennie "D'abord ils vous ignorent, ensuite ils vous raillent, ensuite ils vous combattent et, enfin, vous gagnez"
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Le Tuesday 23 May 2006 00:11, CONANGLE Frédéric(CONANGLE Frédéric
<fconangl@yahoo.fr>) a écrit:
> Bonjour,
Bonjour,
J'ai loupé le premier mail, je réponds là.
Je ne connais pas grand chose. D'après ce que j'ai compris :
> Je cherche à installer openldap pour réaliser une gestion
> centralisée (et sécurisée) des utilisateurs de mon lan. J'ai vu
> de nombreux tutoriaux, mais tous tellement différents que je ne
> sais plus ce qui est essentiel de ce qui ne l'est pas :
Dans le cas de l'installation d'un LDAP *propre*, il est important
de définir le schéma *correctement* en fonction votre
l'organigramme ; cela vous évitera de retoucher à l'essentiel à
chaque fois vous voulez faire l'évoluer. Après pour
la technique c'est simple. On trouve plein de tuto (plus ou moins
complet sur le Net...).
Pour revenir à LDAP, c'est une grosse (petite) base de données
stockant l'ensemble d'informations sur un objet
(login/password/groupe/clé privée etc... dans le cas d'un
utilisateur) et utilisant une protocole définie pour les échanges
avec le reste du monde !
> sasl
Encore une fois, d'après ce que *j'ai* *compris* :
sasl se place entre l'application et le serveur LDAP. C'est une
librairie qui permet de switcher le backend d'authentification sans
toucher l'appli (un peu comme PAM) : Vous pouvez mettre en place par
exemple un serveur Imap avec une authentification sasl : les
logins/password peuvent être définis dans un fichier texte, puis si
vous voulez passer à LDAP (ou une base mysql ou /etc/passwd), il
faut juste modifier la config de SASL....
Du coup, c'est plus facile pour les développeurs : ils n'ont qu'à se
baser sur des librairies (et ne s'occupent que du coeur de leur
l'appli) et les admins. peuvent switcher le backend
d'authentifcation de façon transparente!
> kerberos, etc...
Kerberos est une solution tout en 1 : le permet de stocker les
comptes/password des utilisateurs, fournit une API (GSSAPI?)
permettant aux applis de déporter l'authentification et enfin,
permet de faire du SSO.
> Et je ne comprends pas toujours comment les
> différentes briques s'imbriquent entre elles.
En gros (je vais prendre le cas d'un domaine Windows. C'est pas le
meilleur, mais, bon je *pense* IIS6 ne peut pas accèder à serveur
LDAP autre qu'AD)
- Les comptes utilisateurs/password/groups sont stockés dans l'AD
(serveur LDAP à la sauce Microsoft).
- Lorsque vous vous loggez sur le domaine, l'authentification se
fait à travers un Kerberos(à la sauce Microsoft). Vous obtenez un
token !
- Vous allez avec IE sur une application hébergée par un IIS qui est
dans le même domaine AD, avec une authentification NTLM. Vous n'avez
pas de retaper votre mot de passe.
- Vos utilisateurs peuvent récupérer leur mails par Cyrus-IMPA qui
peut attaquer AD (à travers de SASL) pour l'authentification!
- Votre application APACHE/PHP peut utiliser AD à travers
mod-auth-imap (ou le module ldap de php) pour s'autentifier !
> 1) Est-ce que quelqu'un connait un tuto (c'est bien les tuto),
Heu... non, mais je suis preneur !
> 2) qui explique ce qu'on fait et ne se contente pas de donner
> les apt-get qui vont bien (c'est mieux) ?
Pour la mise en place d'un serveur LDAP, je pense qu'il y a une
analyse fonctionnelle de votre organisation. Vous aurez du mal à
trouvez un tuto sur ce point...
J'espère que n'ai pas raconté trop de conneries...
A+
--
Glennie
"D'abord ils vous ignorent, ensuite ils vous raillent, ensuite ils
vous combattent et, enfin, vous gagnez"
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Le Tuesday 23 May 2006 00:11, CONANGLE Frédéric(CONANGLE Frédéric ) a écrit:
> Bonjour,
Bonjour, J'ai loupé le premier mail, je réponds là. Je ne connais pas grand chose. D'après ce que j'ai compris :
> Je cherche à installer openldap pour réaliser une gestion > centralisée (et sécurisée) des utilisateurs de mon lan. J'ai vu > de nombreux tutoriaux, mais tous tellement différents que je ne > sais plus ce qui est essentiel de ce qui ne l'est pas :
Dans le cas de l'installation d'un LDAP *propre*, il est important de définir le schéma *correctement* en fonction votre l'organigramme ; cela vous évitera de retoucher à l'essentiel à chaque fois vous voulez faire l'évoluer. Après pour la technique c'est simple. On trouve plein de tuto (plus ou moins complet sur le Net...).
Pour revenir à LDAP, c'est une grosse (petite) base de données stockant l'ensemble d'informations sur un objet (login/password/groupe/clé privée etc... dans le cas d'un utilisateur) et utilisant une protocole définie pour les échanges avec le reste du monde !
> sasl
Encore une fois, d'après ce que *j'ai* *compris* : sasl se place entre l'application et le serveur LDAP. C'est une librairie qui permet de switcher le backend d'authentification sans toucher l'appli (un peu comme PAM) : Vous pouvez mettre en place par exemple un serveur Imap avec une authentification sasl : les logins/password peuvent être définis dans un fichier texte, puis si vous voulez passer à LDAP (ou une base mysql ou /etc/passwd), il faut juste modifier la config de SASL.... Du coup, c'est plus facile pour les développeurs : ils n'ont qu'à se baser sur des librairies (et ne s'occupent que du coeur de leur l'appli) et les admins. peuvent switcher le backend d'authentifcation de façon transparente!
> kerberos, etc...
Kerberos est une solution tout en 1 : le permet de stocker les comptes/password des utilisateurs, fournit une API (GSSAPI?) permettant aux applis de déporter l'authentification et enfin, permet de faire du SSO.
> Et je ne comprends pas toujours comment les > différentes briques s'imbriquent entre elles.
En gros (je vais prendre le cas d'un domaine Windows. C'est pas le meilleur, mais, bon je *pense* IIS6 ne peut pas accèder à serveur LDAP autre qu'AD)
- Les comptes utilisateurs/password/groups sont stockés dans l'AD (serveur LDAP à la sauce Microsoft).
- Lorsque vous vous loggez sur le domaine, l'authentification se fait à travers un Kerberos(à la sauce Microsoft). Vous obtenez un token !
- Vous allez avec IE sur une application hébergée par un IIS qui est dans le même domaine AD, avec une authentification NTLM. Vous n'avez pas de retaper votre mot de passe.
- Vos utilisateurs peuvent récupérer leur mails par Cyrus-IMPA qui peut attaquer AD (à travers de SASL) pour l'authentification!
- Votre application APACHE/PHP peut utiliser AD à travers mod-auth-imap (ou le module ldap de php) pour s'autentifier !
> 1) Est-ce que quelqu'un connait un tuto (c'est bien les tuto),
Heu... non, mais je suis preneur !
> 2) qui explique ce qu'on fait et ne se contente pas de donner > les apt-get qui vont bien (c'est mieux) ?
Pour la mise en place d'un serveur LDAP, je pense qu'il y a une analyse fonctionnelle de votre organisation. Vous aurez du mal à trouvez un tuto sur ce point...
J'espère que n'ai pas raconté trop de conneries...
A+
-- Glennie "D'abord ils vous ignorent, ensuite ils vous raillent, ensuite ils vous combattent et, enfin, vous gagnez"
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact