Active Directory for Linux

This is an OpenPGP/MIME signed message (RFC 2440 and 3156)
--------------enigEE8F33F7C76D46B3998A930D
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Thierry Leurent a écrit :

Bonjour,

Bonjour,

Je pense que la majorité d'entre nous travaille dans un environnement
Windows même si il existe des machines Unix. Pour les autres un effor t
d'imagination sera demandé ;).

Moi c'est le contraire, et si je fais un effort d'imagination c'est un
cauchemar !

Je maîtrise pas bien le jargon microsoft alors il va falloir m'aider un
peu...

Le pc bureautique standard est un Windows 2000/XP/Vista relié à un Active
Directory 2000/2003,

Service d'annuaire ? 2003 c'est pas un peu poussiéreux ce truc ? à
l'époque on était sous woody, ubuntu n'existait pas... le bon temps
quoi. (Je vais peut-être faire de beaux rêves)

un serveur Exchange,

mail smtp ?

un proxy ISA

c'est quoi ça ? un truc pour faire fonctionner ma vieille carte son ? ; )

et un FileServer
2000/2003. Les postes clients sont principalement équipé d'un anti- virus,
d'IE et de MS Office.

Ben ça fait cher le poste bureautique !

Comme vous êtes un parfait administrateur Microsoft,
un utilisateur peut se connecter sur une machine au hasard et retrouver
rapidement son evironnement de travail dans le moindre détail. Biensu r
vous utilisez les groups policies et wsus pour administrer vos clients et
serveurs, les outils de l'AD pour la gestion de vos machines, groupes,
utilisateurs et permissions.

La routine quoi .....

Là j'ai rien compris ! "groups policies", "wsus", "AD" ? c'est koi ces
animaux là ?

Le projet totalement fou que j'espère étudier et mettre en place es t ....
Non, vous n'avez pas encore deviné ?
Allez, je le dis. Mettre en place une stucture similaire en
Linux/OpenSource !!!!!!! D'où le sujet. Vous le comprenez maintenant. ..
Le projet ne se veut pas compatible Micro$oft mais doit offrir des
fonctions similaires et être interconnectable avec de dernier.

Interconnectable dans quelle mesure ? pour ce qui est du courrier, du
proxy http, tout ça... pas de problème.

Où en est le projet ? Au début, les applications Web vont êtres m igrées
vers Firefox et OpenOffice va être testé.

Juste un truc au passage, ça a peut être évolué mais a une époq ue
l'installation silencieuse d'openoffice était très bien documentée dans
la doc de... star-office. Ça peut servir quand il y a beaucoup de poste s
à installer.

La distribution n'a pas encore été choisie. Mais le projet visant à
éliminer les licenses et la firme ne voulant pas renouer les liens qu 'elle
vient de dénouer. Elle veut absoluement une solution indépendante d 'une
firme quelconque.

Débian est indépendante et nous considérerons que ses dérivée s aussi.
Toute fois elles bénificient de support (exemple HP). Le système de
paquets constitue l'autre avantage, et je ne parle pas de la stabilité .
Vous savez ce que vaut Debian, je n'ai pas à vous l'expliquer.

Biensur, il y aura 2 types de clients desktops et laptops.
Premier problème :
Le couple Exchange/Outlook offre une platforme de travail collaboratif.
Existe-t-il une solution sous Linux qui permette de travaille Offline ?

courier : Courier Mail Server - Base system
The Courier mail transfer agent (MTA) is an integrated mail/groupware
server based on open commodity protocols, such as ESMTP, IMAP, POP3, LDA P,
SSL, and HTTP. Courier provides ESMTP, IMAP, POP3, webmail, and mailing
list
services within a single, consistent, framework.
.
This package provides the functionality needed by all Debian courier
packages
like some configuration files, helper programs and the Courier TCP serve r
daemon.

Comment l'inter-connecter à Exchange ?

Aucune idée... faut voir s'il y a des protocoles standards et pas trop
bugués dans exchange.

Pour le offline le mieux c'est imap.

Second problème :
Active Directory, lui même.

Je dois avoir une base de donnée, contenant tous les Utilisateurs, le s
Groupes, les Ordinateurs, les Imprimantes et idéalement les Group
Policies.

ldap ssl

Je dois avoir un système d'authentification sécurisé et permettan t le
Single Sign On.

ssh-agent

Je dois pouvoir dupliquer les données locales sur un serveur.(Unison)

unison-gtk - A file-synchronization tool for Unix and Windows with GTK
interface

Je dois pouvoir recréer l'environnement d'un user à partir de son l ogin.

C'est à dire ?

Je dois pouvoir me connecter à distance sur une machine. (VNC)

vnc + ssh
ou NX http://www.nomachine.com/products.php pour gagner du temps

Je dois pouvoir gérer le DNS/DHCP.

Package: gadmintools
Description: GTK+ server administration tools
Gadmintools consists of several easy to use GTK+ server administration
tools
for the following servers:
.
* gbindadmin - ISC BIND DNS server
* gdhcpd - ISC DHCPD server
* gproftpd - Proftpd FTP server
* gsambad - Samba SMB server

Je dois pouvoir gérer la réplication des bases.
Je dois ......

Je sais qu'il existe des Directory Server tout fait chez Apache et Fedo ra.
Quelqu'un a-t-il une expérience avec ces produits ?

OpenLDAP peut aussi constituer un bonne base de travail.
Existe-t-il des schémas qui contiennent la structure pour les informa tions
dont j'ai besoin ?
Je pensais utiliser kerberos pour l'authentification. C'est fesable, je sais.
Connaissez-vous d'autres solutions ?
DNS, il y a LDAP-DNS.
Comment supporte-t-il la charge quand il doit gerer des miliers de mach ines ?
Il y a aussi une solution avec bind9....

Ben s'il support mal la charge on peut synchroniser un bind9 dessus et
utiliser le serveur bind9 comme serveur primaire pour les clients...

DHCP, c'est aussi possible. Mais quid du "DHCP secondaire" ? Si le prem ier
tombe, il faut le remplacer rapidement.

http://www.daemon-systems.org/man/dhcpd.conf.5.html

En fesant quelques recherches sur le net, j'ai déjà trouvé quelqu es
ébauches de solution utilisant OpenLDAP.
Il me manque
"l'interface graphique pour la gestion".
Les groupes policies.. Y a-t-il une ébauche de solution ?
Comment se connecter sur un portable qui n'est pas loggé sur le rés eau.

Un compte utilisateur local sur le portable (avec le même uid que sur l e
réseau) et le dossier personnel synchronisé avec unisson à l'ouvert ure
et à la fermeture de la session...


--------------enigEE8F33F7C76D46B3998A930D
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: OpenPGP digital signature
Content-Disposition: attachment; filename="signature.asc"

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)

iD8DBQFHSQAnNdTZuHWpgVIRAgdrAJ45Zl3vfNY6enN+FHEiik2pqBWc1QCfUjP6
2Gdhs54KfmS0LiyGJa+eSHY =Ma+J
-----END PGP SIGNATURE-----

--------------enigEE8F33F7C76D46B3998A930D--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

------=_Part_29100_25593603.1195977368422
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Bonjour,
Projet interressant, voir meme un reve...
Mais qui le restera j'en ai bien peur, AD, d'accord c'est du krosoft, mais
c'est ennorme en fonctionnalitées, et non, il n'existe aucun systeme
equivalent dans les possibilitées de GPO (un genre d'acl et de gestion de
droits) chez unix/linux.

Le 25/11/07, Hugues LARRIVE <hugues.larrive@gmail.com> a écrit :

Thierry Leurent a écrit :
> Bonjour,
>
>
Bonjour,
> Je pense que la majorité d'entre nous travaille dans un environnement
> Windows même si il existe des machines Unix. Pour les autres un effor t
> d'imagination sera demandé ;).
>
Moi c'est le contraire, et si je fais un effort d'imagination c'est un
cauchemar !

Oui, c'est typiquement mon cas.

Je maîtrise pas bien le jargon microsoft alors il va falloir m'aider un

peu...
> Le pc bureautique standard est un Windows 2000/XP/Vista relié à un
Active
> Directory 2000/2003,

Annuaire, y'a effectivement openldap.
Mais attention, AD, c'est pas un annuaire. C'est un annuaire compatible ave c
la norme de ldap. Mais AD sert aussi de controlleur de domaine, de gestions
dde droits poussés, de politique de déploiement de logiciels, bref c'es t
vraiment completement diferent d'un annuaire (je cause pour ceux qui
connaissent mal les produit krosoft).
Par exemple, en AD, on peut dire que le user toto1 peut se connecter de
8hà10h du matin uniquement, que si il se connecte, alors on installe
automatiquement firefox, et que quel que soit le pc où il se trouve, il n e
pourra en aucun cas utiliser un putty, et il ne verra jamais le disque c:,
et que une fois connecté, il sera dejà autentifié pour toutes les aut res
appli interne (sso)
Ben ca, c'est pas possible avec LDAP. Ldap, c'est un annuaire. (de facons
générale, sous linux, un produit ne fait qu'une seule chose à la fois .

un serveur Exchange,

Si tu utilise de facon avancée exchange, tu va devoir associer pas mal d e
produits ensembles:
un serveur mail (pop smtp imap) pour les mails.
Un systeme de calendrier colaboratif (bon courage pour les délégation s ur
calendrier générique, tu pourra pas facilement gérér les cas où l a
secretaire du service se casse en vacances et qui d'habitude laisse juste
delagation de toute sa boite et ses calendrier à une copine, là, ce ser a
coté admin que ca devra etre fait)
Le partage des réunion, avec invitation, et possibilité de voir qui est
disponnible quand, ou le renvoir d'invitation à un tiers, je suis meme pa s
sur que ca existe sous autre chose qu'exchange.

un proxy ISA
c'est quoi ça ? un truc pour faire fonctionner ma vieille carte son ? ; )

Un couple firewall orienté utilisateur (genre nfsu, les lettres sont dans le
desordre je retrouve pas le nom, mais leur mascotte, c'est un genre
d'herison, il est orienté user en plus d'ip et port) mélangé à un p roxy
genre squid.

et un FileServer

Samba

2000/2003. Les postes clients sont principalement équipé d'un anti-vi rus,
> d'IE et de MS Office.

office, firefox, avast si les clients restent en win, sinon office et
firefox sans AV sous linux.

Comme vous êtes un parfait administrateur Microsoft,
> un utilisateur peut se connecter sur une machine au hasard et retrouver
> rapidement son evironnement de travail dans le moindre détail. Biensu r
> vous utilisez les groups policies et wsus pour administrer vos clients
et
> serveurs, les outils de l'AD pour la gestion de vos machines, groupes,
> utilisateurs et permissions.
>
> La routine quoi .....
>
>
Là j'ai rien compris ! "groups policies", "wsus", "AD" ? c'est koi ces
animaux là ?

Group policies: ses droits definis par les gpo (des acl quoi)
wsus: un serveur windows update dans ton reso local, sinon si t'a 1000
postes qui font chaqu'un un win update, tu ecroule ton rezo, pis certaine
MAJ de windows, vaut mieu pas les installer des fois, donc t'es maitre de
tes updates.
AD: active directory, un meta annuaire qui fait plein d'autres truc, mais
pas le caffé...

Donc j'en conclut que tu bosse avec des profils distants, ca doit pouvoir s e
gerrer soit en scriptant comme un fou des scripts d'ouvertures de sessions
aupres d'un controleur de domaine samba, soit monter les /homes par NFS.

Le projet totalement fou que j'espère étudier et mettre en place est ....
> Non, vous n'avez pas encore deviné ?
> Allez, je le dis. Mettre en place une stucture similaire en
> Linux/OpenSource !!!!!!! D'où le sujet. Vous le comprenez maintenant. ..
> Le projet ne se veut pas compatible Micro$oft mais doit offrir des
> fonctions similaires et être interconnectable avec de dernier.
>
Interconnectable dans quelle mesure ? pour ce qui est du courrier, du
proxy http, tout ça... pas de problème.

Idem, interconnectable à definir, parceque niveau annuaire, c'est possibl e
de causer avec AD en protocole x400 (ou x500 je me rapelle jamais)
idem pour le reste des services, mais par exemple que ton projet soit
controleur de domaine secondaire avec un AD en primaire, tu peux oublier,
des projet comme ca y'en a deja eu, et ils ont tous terminés à la poube lle.

Où en est le projet ? Au début, les applications Web vont êtres mig rées
> vers Firefox et OpenOffice va être testé.
>
>
Juste un truc au passage, ça a peut être évolué mais a une époq ue
l'installation silencieuse d'openoffice était très bien documentée dans
la doc de... star-office. Ça peut servir quand il y a beaucoup de poste s
à installer.
> La distribution n'a pas encore été choisie. Mais le projet visant à
> éliminer les licenses et la firme ne voulant pas renouer les liens
qu'elle
> vient de dénouer. Elle veut absoluement une solution indépendante d 'une
> firme quelconque.
>
> Débian est indépendante et nous considérerons que ses dérivée s aussi.
> Toute fois elles bénificient de support (exemple HP). Le système de
> paquets constitue l'autre avantage, et je ne parle pas de la stabilit é.
> Vous savez ce que vaut Debian, je n'ai pas à vous l'expliquer.
>
> Biensur, il y aura 2 types de clients desktops et laptops.
> Premier problème :
> Le couple Exchange/Outlook offre une platforme de travail collaboratif.
> Existe-t-il une solution sous Linux qui permette de travaille Offline ?
>
courier : Courier Mail Server - Base system
The Courier mail transfer agent (MTA) is an integrated mail/groupware
server based on open commodity protocols, such as ESMTP, IMAP, POP3, LDAP ,
SSL, and HTTP. Courier provides ESMTP, IMAP, POP3, webmail, and mailing
list
services within a single, consistent, framework.
.
This package provides the functionality needed by all Debian courier
packages
like some configuration files, helper programs and the Courier TCP server
daemon.

oui, il en existe pas mal selon tes choix, mais ce sera pas exactement
pareil que sous win.

Comment l'inter-connecter à Exchange ?
>
>
Aucune idée... faut voir s'il y a des protocoles standards et pas trop
bugués dans exchange.

C'est tout simplement pas possible. Exchange est un produit microsoft, et
ils sont jaloux sur celui-là, donc pas de proto standard, obligé soit d e
pop, soit imap, et dans ce cas, pas d'utilisatuion avancé comme le couple
outlook/exchange...

Pour le offline le mieux c'est imap.

> Second problème :
> Active Directory, lui même.
>
> Je dois avoir une base de donnée, contenant tous les Utilisateurs, le s
> Groupes, les Ordinateurs, les Imprimantes et idéalement les Group
> Policies.
>
ldap ssl

Oui, sauf les GPO...

Je dois avoir un système d'authentification sécurisé et permettant le
> Single Sign On.
>
ssh-agent
> Je dois pouvoir dupliquer les données locales sur un serveur.(Unison)
>
unison-gtk - A file-synchronization tool for Unix and Windows with GTK
interface
> Je dois pouvoir recréer l'environnement d'un user à partir de son l ogin.
>
C'est à dire ?

Profil distant, quel que soit le poste ou tu te connecte, t'as exactement l e
meme PC que celui que t'utilise d'habitude, avec le meme bureau, et les mem e
fichiers personnels genre mes documents.

Je dois pouvoir me connecter à distance sur une machine. (VNC)
>
vnc + ssh
ou NX http://www.nomachine.com/products.php pour gagner du temps

vnc sous linux, du X11 au travers de ssh, là, y'a le choix.

Je dois pouvoir gérer le DNS/DHCP.
>
Package: gadmintools
Description: GTK+ server administration tools
Gadmintools consists of several easy to use GTK+ server administration
tools
for the following servers:
.
* gbindadmin - ISC BIND DNS server
* gdhcpd - ISC DHCPD server
* gproftpd - Proftpd FTP server
* gsambad - Samba SMB server

ou simplement dhcp3-server, et tu regle ton fichier de conf en console.

Je dois pouvoir gérer la réplication des bases.
> Je dois ......
>
> Je sais qu'il existe des Directory Server tout fait chez Apache et
Fedora.
> Quelqu'un a-t-il une expérience avec ces produits ?
>
> OpenLDAP peut aussi constituer un bonne base de travail.
> Existe-t-il des schémas qui contiennent la structure pour les
informations
> dont j'ai besoin ?
> Je pensais utiliser kerberos pour l'authentification. C'est fesable, je
sais.
> Connaissez-vous d'autres solutions ?
> DNS, il y a LDAP-DNS.
> Comment supporte-t-il la charge quand il doit gerer des miliers de
machines ?
> Il y a aussi une solution avec bind9....
>
Ben s'il support mal la charge on peut synchroniser un bind9 dessus et
utiliser le serveur bind9 comme serveur primaire pour les clients...
> DHCP, c'est aussi possible. Mais quid du "DHCP secondaire" ? Si le
premier
> tombe, il faut le remplacer rapidement.
>
>
http://www.daemon-systems.org/man/dhcpd.conf.5.html
> En fesant quelques recherches sur le net, j'ai déjà trouvé quelqu es
> ébauches de solution utilisant OpenLDAP.
> Il me manque
> "l'interface graphique pour la gestion".
> Les groupes policies.. Y a-t-il une ébauche de solution ?
> Comment se connecter sur un portable qui n'est pas loggé sur le rés eau.
>
Un compte utilisateur local sur le portable (avec le même uid que sur l e
réseau) et le dossier personnel synchronisé avec unisson à l'ouvert ure
et à la fermeture de la session...

En tout cas, beau projet, que j'espere arrivera à terme un jour, mais je
crois que t'as sous evalué les capacitée de AD, c'est vraiment autre ch ose
qu'un bete annuaire.
Je te souhaite bien du courage...

------=_Part_29100_25593603.1195977368422
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Bonjour,<br>Projet interressant, voir meme un reve... <br>Mais qui le reste ra j&#39;en ai bien peur, AD, d&#39;accord c&#39;est du krosoft, mais c&#39 ;est ennorme en fonctionnalitées, et non, il n&#39;existe aucun systeme e quivalent dans les possibilitées de GPO (un genre d&#39;acl et de gestion de droits) chez unix/linux.
<br><br><div><span class="gmail_quote">Le 25/11/07, <b class="gmail_sen dername">Hugues LARRIVE</b> &lt;<a href="mailto:hugues.larrive@gmail.com" >hugues.larrive@gmail.com</a>&gt; a écrit :</span><blockquote class="gm ail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Thierry Leurent a écrit :<br>&gt; Bonjour,<br>&gt;<br>&gt;<br>Bonjour,<br >&gt; Je pense que la majorité d&#39;entre nous travaille dans un environ nement<br>&gt; Windows même si il existe des machines Unix. Pour les autr es un effort
<br>&gt; d&#39;imagination sera demandé ;).<br>&gt;<br>Moi c&#39;est le c ontraire, et si je fais un effort d&#39;imagination c&#39;est un<br>cauchem ar !</blockquote><div><br>Oui, c&#39;est typiquement mon cas. <br></div><br >
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Je maîtrise pas bien le jargon microsoft alors il va falloir m&#39;aider un<br>peu...<br>& gt; Le pc bureautique standard est un Windows 2000/XP/Vista relié à un Active
<br>&gt; Directory 2000/2003,</blockquote><div><br>Annuaire, y&#39;a effect ivement openldap.<br>Mais attention, AD, c&#39;est pas un annuaire. C&#39;e st un annuaire compatible avec la norme de ldap. Mais AD sert aussi de cont rolleur de domaine, de gestions dde droits poussés, de politique de dép loiement de logiciels, bref c&#39;est vraiment completement diferent d&#39; un annuaire (je cause pour ceux qui connaissent mal les produit krosoft).
<br>Par exemple, en AD, on peut dire que le user toto1 peut se connecter de 8hà10h du matin uniquement, que si il se connecte, alors on installe aut omatiquement firefox, et que quel que soit le pc où il se trouve, il ne p ourra en aucun cas utiliser un putty, et il ne verra jamais le disque c:, et que une fois connecté, il sera dejà autentifié pour toutes les aut res appli interne (sso)
<br>Ben ca, c&#39;est pas possible avec LDAP. Ldap, c&#39;est un annuaire. (de facons générale, sous linux, un produit ne fait qu&#39;une seule ch ose à la fois.<br></div><br><blockquote class="gmail_quote" style="bo rder-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding -left: 1ex;">
&gt;&nbsp;&nbsp;un serveur Exchange,</blockquote><div>&nbsp;Si tu utilise d e facon avancée exchange, tu va devoir associer pas mal de produits ensem bles:<br>un serveur mail (pop smtp imap) pour les mails.<br>Un systeme de c alendrier colaboratif (bon courage pour les délégation sur calendrier g énérique, tu pourra pas facilement gérér les cas où la secretaire du service se casse en vacances et qui d&#39;habitude laisse juste delagat ion de toute sa boite et ses calendrier à une copine, là, ce sera cot é admin que ca devra etre fait)
<br>Le partage des réunion, avec invitation, et possibilité de voir qui est disponnible quand, ou le renvoir d&#39;invitation à un tiers, je sui s meme pas sur que ca existe sous autre chose qu&#39;exchange.<br><br></div ><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
&gt;&nbsp;&nbsp;un proxy ISA<br>c&#39;est quoi ça ? un truc pour faire fo nctionner ma vieille carte son ? ;)</blockquote><div>Un couple firewall ori enté utilisateur (genre nfsu, les lettres sont dans le desordre je retrou ve pas le nom, mais leur mascotte, c&#39;est un genre d&#39;herison, il est orienté user en plus d&#39;ip et port) mélangé à un proxy genre sq uid.
<br></div><br><blockquote class="gmail_quote" style="border-left: 1px s olid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">&gt ;&nbsp;&nbsp;et un FileServer</blockquote><div><br>Samba&nbsp;</div><br><bl ockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204 , 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
&gt; 2000/2003. Les postes clients sont principalement équipé d&#39;un anti-virus,<br>&gt; d&#39;IE et de MS Office.</blockquote><div>office, fire fox, avast si les clients restent en win, sinon office et firefox sans AV s ous linux.
<br>&nbsp;</div><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex ;">&gt;&nbsp;&nbsp;Comme vous êtes un parfait administrateur Microsoft,<b r>&gt; un utilisateur peut se connecter sur une machine au hasard et retrou ver
<br>&gt; rapidement son evironnement de travail dans le moindre détail. B iensur<br>&gt; vous utilisez les groups policies et wsus pour administrer v os clients et<br>&gt; serveurs, les outils de l&#39;AD pour la gestion de v os machines, groupes,
<br>&gt; utilisateurs et permissions.<br>&gt;<br>&gt; La routine quoi ..... <br>&gt;<br>&gt;<br>Là j&#39;ai rien compris ! &quot;groups policies&quot ;, &quot;wsus&quot;, &quot;AD&quot; ? c&#39;est koi ces<br>animaux là ?</ blockquote>
<div><br>Group policies: ses droits definis par les gpo (des acl quoi) <br> wsus: un serveur windows update dans ton reso local, sinon si t&#39;a 1000 postes qui font chaqu&#39;un un win update, tu ecroule ton rezo, pis certai ne MAJ de windows, vaut mieu pas les installer des fois, donc t&#39;es mait re de tes updates.
<br>AD: active directory, un meta annuaire qui fait plein d&#39;autres truc , mais pas le caffé...<br></div><br>Donc j&#39;en conclut que tu bosse av ec des profils distants, ca doit pouvoir se gerrer soit en scriptant comme un fou des scripts d&#39;ouvertures de sessions aupres d&#39;un controleur de domaine samba, soit monter les /homes par NFS.
<br><br><blockquote class="gmail_quote" style="border-left: 1px solid r gb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">&gt; Le p rojet totalement fou que j&#39;espère étudier et mettre en place est .. ..<br>
&gt; Non, vous n&#39;avez pas encore deviné ?<br>&gt; Allez, je le dis. M ettre en place une stucture similaire en<br>&gt; Linux/OpenSource !!!!!!! D &#39;où le sujet. Vous le comprenez maintenant...<br>&gt; Le projet ne se veut pas compatible Micro$oft mais doit offrir des
<br>&gt; fonctions similaires et être interconnectable avec de dernier.<b r>&gt;<br>Interconnectable dans quelle mesure ? pour ce qui est du courrier , du<br>proxy http, tout ça... pas de problème.</blockquote><div><br>Id em, interconnectable à definir, parceque niveau annuaire, c&#39;est possi ble de causer avec AD en protocole x400 (ou x500 je me rapelle jamais)
<br>idem pour le reste des services, mais par exemple que ton projet soit c ontroleur de domaine secondaire avec un AD en primaire, tu peux oublier, de s projet comme ca y&#39;en a deja eu, et ils ont tous terminés à la pou belle.
<br></div><br><blockquote class="gmail_quote" style="border-left: 1px s olid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">&gt ; Où en est le projet ? Au début, les applications Web vont êtres mig rées<br>
&gt; vers Firefox et OpenOffice va être testé.<br>&gt;<br>&gt;<br>Juste un truc au passage, ça a peut être évolué mais a une époque<br>l &#39;installation silencieuse d&#39;openoffice était très bien document ée dans<br>la doc de... star-office. Ça peut servir quand il y a beauco up de postes
<br>à installer.<br>&gt; La distribution n&#39;a pas encore été chois ie. Mais le projet visant à<br>&gt; éliminer les licenses et la firme n e voulant pas renouer les liens qu&#39;elle<br>&gt; vient de dénouer. Ell e veut absoluement une solution indépendante d&#39;une
<br>&gt; firme quelconque.<br>&gt;<br>&gt; Débian est indépendante et n ous considérerons que ses dérivées aussi.<br>&gt; Toute fois elles b énificient de support (exemple HP). Le système de<br>&gt; paquets const itue l&#39;autre avantage, et je ne parle pas de la stabilité.
<br>&gt; Vous savez ce que vaut Debian, je n&#39;ai pas à vous l&#39;expl iquer.<br>&gt;<br>&gt; Biensur, il y aura 2 types de clients desktops et la ptops.<br>&gt; Premier problème :<br>&gt; Le couple Exchange/Outlook offr e une platforme de travail collaboratif.
<br>&gt; Existe-t-il une solution sous Linux qui permette de travaille Offl ine ?<br>&gt;<br>courier : Courier Mail Server - Base system<br> The Courie r mail transfer agent (MTA) is an integrated mail/groupware<br> server base d on open commodity protocols, such as ESMTP, IMAP, POP3, LDAP,
<br> SSL, and HTTP. Courier provides ESMTP, IMAP, POP3, webmail, and mailin g<br>list<br> services within a single, consistent, framework.<br> .<br> Th is package provides the functionality needed by all Debian courier<br>packa ges
<br> like some configuration files, helper programs and the Courier TCP ser ver<br> daemon.</blockquote><div><br>oui, il en existe pas mal selon tes ch oix, mais ce sera pas exactement pareil que sous win. <br></div><br><blockq uote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 20 4); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
&gt; Comment l&#39;inter-connecter à Exchange ?<br>&gt;<br>&gt;<br>Aucune idée... faut voir s&#39;il y a des protocoles standards et pas trop<br>b ugués dans exchange.</blockquote><div><br>C&#39;est tout simplement pas p ossible. Exchange est un produit microsoft, et ils sont jaloux sur celui-l à, donc pas de proto standard, obligé soit de pop, soit imap, et dans c e cas, pas d&#39;utilisatuion avancé comme le couple outlook/exchange...
<br></div><br><blockquote class="gmail_quote" style="border-left: 1px s olid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Pou r le offline le mieux c&#39;est imap.<br>&gt; Second problème :<br>&gt; A ctive Directory, lui même.
<br>&gt;<br>&gt; Je dois avoir une base de donnée, contenant tous les Uti lisateurs, les<br>&gt; Groupes, les Ordinateurs, les Imprimantes et idéal ement les Group<br>&gt; Policies.<br>&gt;<br>ldap ssl</blockquote><div><br>
Oui, sauf les GPO... <br></div><br><blockquote class="gmail_quote" style ="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; p adding-left: 1ex;">&gt; Je dois avoir un système d&#39;authentification s écurisé et permettant le
<br>&gt; Single Sign On.<br>&gt;<br>ssh-agent<br>&gt; Je dois pouvoir dupli quer les données locales sur un serveur.(Unison)<br>&gt;<br>unison-gtk - A file-synchronization tool for Unix and Windows with GTK<br>interface<br>
&gt; Je dois pouvoir recréer l&#39;environnement d&#39;un user à partir de son login.<br>&gt;<br>C&#39;est à dire ?</blockquote><div><br>Profil distant, quel que soit le poste ou tu te connecte, t&#39;as exactement le m eme PC que celui que t&#39;utilise d&#39;habitude, avec le meme bureau, et les meme fichiers personnels genre mes documents.
<br></div><br><blockquote class="gmail_quote" style="border-left: 1px s olid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">&gt ; Je dois pouvoir me connecter à distance sur une machine. (VNC)<br>&gt;< br>
vnc + ssh<br>ou NX <a href="http://www.nomachine.com/products.php">http:/ /www.nomachine.com/products.php</a> pour gagner du temps</blockquote><div>< br>vnc sous linux, du X11 au travers de ssh, là, y&#39;a le choix. <br></ div>
<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(2 04, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">&gt; Je dois pouvoir gérer le DNS/DHCP.<br>&gt;<br>Package: gadmintools<br>Description : GTK+ server administration tools
<br> Gadmintools consists of several easy to use GTK+ server administration <br>tools<br> for the following servers:<br> .<br>&nbsp;&nbsp;* gbindadmin - ISC BIND DNS server<br>&nbsp;&nbsp;* gdhcpd - ISC DHCPD server<br>&nbsp;& nbsp;* gproftpd - Proftpd FTP server
<br>&nbsp;&nbsp;* gsambad - Samba SMB server</blockquote><div><br>ou simple ment dhcp3-server, et tu regle ton fichier de conf en console. <br></div><b r><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204 , 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
&gt; Je dois pouvoir gérer la réplication des bases.<br>&gt; Je dois .. ....<br>&gt;<br>&gt; Je sais qu&#39;il existe des Directory Server tout fai t chez Apache et Fedora.<br>&gt; Quelqu&#39;un a-t-il une expérience avec ces produits ?
<br>&gt;<br>&gt; OpenLDAP peut aussi constituer un bonne base de travail.<b r>&gt; Existe-t-il des schémas qui contiennent la structure pour les info rmations<br>&gt; dont j&#39;ai besoin ?<br>&gt; Je pensais utiliser kerbero s pour l&#39;authentification. C&#39;est fesable, je sais.
<br>&gt; Connaissez-vous d&#39;autres solutions ?<br>&gt; DNS, il y a LDAP- DNS.<br>&gt; Comment supporte-t-il la charge quand il doit gerer des milier s de machines ?<br>&gt; Il y a aussi une solution avec bind9....<br>&gt;
<br>Ben s&#39;il support mal la charge on peut synchroniser un bind9 dessus et<br>utiliser le serveur bind9 comme serveur primaire pour les clients... <br>&gt; DHCP, c&#39;est aussi possible. Mais quid du &quot;DHCP secondaire &quot; ? Si le premier
<br>&gt; tombe, il faut le remplacer rapidement.<br>&gt;<br>&gt;<br><a href ="http://www.daemon-systems.org/man/dhcpd.conf.5.html">http://www.daemon- systems.org/man/dhcpd.conf.5.html</a><br>&gt; En fesant quelques recherches sur le net, j&#39;ai déjà trouvé quelques
<br>&gt; ébauches de solution utilisant OpenLDAP.<br>&gt; Il me manque<br >&gt; &quot;l&#39;interface graphique pour la gestion&quot;.<br>&gt; Les gr oupes policies.. Y a-t-il une ébauche de solution ?<br>&gt; Comment se co nnecter sur un portable qui n&#39;est pas loggé sur le réseau.
<br>&gt;<br>Un compte utilisateur local sur le portable (avec le même uid que sur le<br>réseau) et le dossier personnel synchronisé avec unisson à l&#39;ouverture<br>et à la fermeture de la session...<br><br><br></b lockquote>
</div><br><br>En tout cas, beau projet, que j&#39;espere arrivera à terme un jour, mais je crois que t&#39;as sous evalué les capacitée de AD, c &#39;est vraiment autre chose qu&#39;un bete annuaire.<br>Je te souhaite bi en du courage...
<br>

------=_Part_29100_25593603.1195977368422--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

--nextPart1418616.shtpvX00ry
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Le Sunday 25 November 2007 03:53:05 Thierry Leurent, vous avez écrit :

Bonjour,

[...]

Premier problème :
Le couple Exchange/Outlook offre une platforme de travail collaboratif.
Existe-t-il une solution sous Linux qui permette de travaille Offline ?
Comment l'inter-connecter à Exchange ?

Ce domaine est vraiment jeune.
Bien qu'à mon avis, il ne faut pas reproduire le modèle Exchange, la pr ession
des utilisateurs et des soulutions logiciels tieres (Synchro PDA,
téléphone...) nous y amène.
Ca passe donc souvent par un plugin Outlook, généralement payant
(OpenExchange, Zimbra, Kolab...), il y a OpenConnector sur le chemin.

Bientôt on aura du full web, avec le support du fonctionnement Offline (Z imbra
y travail, Mozilla aussi pour offrir des fonctionnalité dans le navigateu r).

Second problème :
Active Directory, lui même.

Je dois avoir une base de donnée, contenant tous les Utilisateurs, les
Groupes, les Ordinateurs, les Imprimantes et idéalement les Group
Policies.
Je dois avoir un système d'authentification sécurisé et permettant le
Single Sign On.

On aura peut-être une solution intégrée avec Samba 4, mais quand sera -t-il
stable et complet ?

Sinon,
Pour ce qui est des utilisateurs et des groupes, un annuaire LDAP est
suffisant.
Le problème est le Single Sign On transparent (sans ressaisir son mot de passe
à chaque accès à un service). Là, on doit pouvoir faire quelque cho se avec
Kerberos, mais il faut que les services le supportent.
Pour les applis Web, il y a des framework comme LemonLDAP.

Je dois pouvoir dupliquer les données locales sur un serveur.(Unison)

rsync, rsnapshot ou un gestionnaire de version (svn, git).
Attention aux ACL (rsync -A)

Je dois pouvoir recréer l'environnement d'un user à partir de son log in.

Les profils itinérants peuvent être stockés sur un serveur Linux avec du
Samba.

Je dois pouvoir me connecter à distance sur une machine. (VNC)

VNC pour les Windows et Linux, On a aussi NX pour Linux, mais souvent un ss h
suffira.

Je dois pouvoir gérer le DNS/DHCP.

DHCP server et Bind, avec une interface Web (IPplan) etdes scripts.
Attention à l'aspect DNS dynamique et aux zones spécifiques AD.
(_tcp.domaine.tld, _msdc.domaine.tld, _udp.domaine.tld et _sites.domaine.tl d)

Je dois pouvoir gérer la réplication des bases.

Quelles bases ?
LDAP => réplication native
DNS => serveurs secondaires
DHCP => une copie en secours

Je dois ......

Pour tout le reste, applis Web, scripts...

Pour en revenir aux GPO, la solution coté serveurs Unix, c'est des outils
comme cfengine, puppet.
Coté poste de travail Windows, on peut tout faire avec des scripts de
connexion. Genre adamoto.
Pour les installations automatisées, unattended.

Je sais qu'il existe des Directory Server tout fait chez Apache et Fedora.
Quelqu'un a-t-il une expérience avec ces produits ?
OpenLDAP peut aussi constituer un bonne base de travail.
Existe-t-il des schémas qui contiennent la structure pour les informati ons
dont j'ai besoin ?

Pas moins avec OpenLDAP qu'avec un autre annuaire autre que AD.
Si le choix est d'avoir tout l'information dans un annuaire, il faudra dans
tous les cas ajouter des schémas.
On peut à ce niveau s'interroger sur la pertinence d'avoir tout dans
l'annuaire. Une base MySQL par exemple est bien plus simple à gérer, et il
est aussi plus facile de développer une petite interface Web pour
accéder/modifier les informations.

Je pensais utiliser kerberos pour l'authentification. C'est fesable, je
sais. Connaissez-vous d'autres solutions ?
DNS, il y a LDAP-DNS.

Cf. en haut : Kerberos, LemonLDAP, CAS.

Comment supporte-t-il la charge quand il doit gerer des miliers de machin es
? Il y a aussi une solution avec bind9....
DHCP, c'est aussi possible. Mais quid du "DHCP secondaire" ? Si le premier
tombe, il faut le remplacer rapidement.

Pour OpenLDAP et Bind, avec des réplicats, ou serveur secondaires, pas de
problèmes pour la charge et pour la haute dispo.
Pour DHCP, c'est vrai que c'est différent. Il y a un draft de support hau te
dispo, mais pas terrible. J'ai préféré avoir un seul DHCP, et une cop ie
régulière via rsync vers un autre serveur qui peut reprendre le service en
cas de souci avec les leases dernièrement dupliquées.
Je pense qu'avant de faire crouler sous la charge un DHCP, il faut faire fo rt
(durée de bail d'une seconde !).
Le problème, c'est le démarrage simultané le matin de centaines de PC.

En fesant quelques recherches sur le net, j'ai déjà trouvé quelques
ébauches de solution utilisant OpenLDAP.
Il me manque
"l'interface graphique pour la gestion".

Il n'y aura pas une interface unique. Ou elle ne sera pas satisfaisante sur
tous les points.
Je pense qu'il ne faut pas hésiter à développer sa propre solution.

Les groupes policies.. Y a-t-il une ébauche de solution ?

A partir de scripts de login, on peut charger des parties de base de regist re,
exécuter des scripts. Il faudra utiliser un programme pour passer
administrateur.
On peut aussi installer cygwin/ssh.
On peut certainement exécuter à distance des scripts avec la partie sam ba
client.

Comment se connecter sur un portable qui n'est pas loggé sur le résea u.

Heu...
Ah, tu veux dire, offline.
Pour Linux, il y a pam_ccreds pour kerberos, et nscd pour le cache LDAP.
Pour Windows, il fera exactement comme il fait avec de l'AD. Pas de probl ème.

Un retour d'expérience dans ce domaine ?

N'étant pas le seul dans l'histoire, et l'équipe Unix n'ayant pas le po uvoir
de décision, On est resté sur de l'AD...

Des idées ? Des conseils ?

Du courage
Ne pas être attendu au tournant par les responsables, ou d'autres
Ne pas vouloir faire forcément toujours pareils que MS
Avoir des compétence de dev simple (PHP/MySQL et scripts, y compris sous
Windows)

--nextPart1418616.shtpvX00ry
Content-Type: application/pgp-signature; name=signature.asc
Content-Description: This is a digitally signed message part.

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)

iD8DBQBHSWreDltnDmLJYdARArfbAJ9QjZZMDaR2uA4VLzMwRnGqC2WuOACfcqX5
yFeuIrtaN0NKKjj4E8DFA1w =LKmw
-----END PGP SIGNATURE-----

--nextPart1418616.shtpvX00ry--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Bonjour à tous,

Je sais qu'il existe des Directory Server tout fait chez Apache et Fedora.
Quelqu'un a-t-il une expérience avec ces produits ?

Il existe également le Mandriva Directory Server (MDS). Je n'ai pas
testé le produit, mais il me semble que tu peux demander une démo. ça à
l'air pas mal ficelé ;)

voici le lien: http://mds.mandriva.org/


Bon courage :)

zecrazytux - Seb
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFHSpJPacY2vMoqFYcRAppFAKCN7Ial6DHy7LfpCkVn5SemcT5iWgCeIbT2
e5XXHsuB3yOhMkJvk415/ps=
=ShdC
-----END PGP SIGNATURE-----

---------------------------------

This message and any attachments (hereinafter referred to as the "message") is intended solely for the addressees and is confidential. If you receive this message in error, please delete it and immediately notify the sender at The International Institute of Information Technology (hereinafter referred to as "SUPINFO"). Any use not in accord with its purpose, any dissemination or disclosure, either whole or partial, is prohibited except formal approval. Because the internet can not guarantee the integrity of this message, SUPINFO and its subsidiaries, laboratories and regional branches will not therefore be liable for the message that could only engage his author, not SUPINFO, and only if not modified.

---------------------------------

Ce message et toutes les pieces jointes (ci-apres dénommé le "message") sont etablis a l'attention exclusive de ses destinataires et sont donc confidentiels. Si toutefois vous recevez ce message par erreur, nous vous remercions de bien vouloir le detruire et d'en avertir immediatement l'expediteur au sein de l'Ecole Supérieure d'Informatique (ci-après dénommée "SUPINFO"). Toute utilisation de ce message non conforme a sa destination, toute diffusion ou toute publication, totale ou partielle, est interdite, sauf autorisation expresse. Internet ne permettant pas d'assurer l'integrite des messages e-mail en général et donc de ce message en particulier, SUPINFO et ses filiales, sites régionaux, laboratoires ou autres entités attachées, declinent toute responsabilite au titre du présent message qui ne pourrait engager que son auteur et non SUPINFO et seulement dans l'hypothese ou le message n'aurait pas ete modifie par quelque moyen que ce soit.

---------------------------------

Merci à tous ceux qui ont répondu si rapidement.

Je vais essayer de résumer la situation.

Dans la vie d'administrateur réseaux, je n'ai jamais eu l'occasion ni de
bosser dans un monde majoritairement Linux ni dans de grandes
infrastucture AD. J'ai donc des regrêts d'un côté et les lacunes de
l'autre (exemple : les GPO).

Le projet est complètement fou et novateur à tel point qu'en lisant la job
description, j'ai cru à un projet visant à créer et maintenir des
kiosques. C'est lors de l'interview que j'ai compris l'ampleur de la chose
et ses impliquations.

Devant ce chantier qui doit rapidement être mené, il faut un minimun 100
clients installé pour fin 2008. Mon cerveau est entré en ébulition, avec
deux questions :
- "Quels sont les fonctionnalités de l'AD ?"
- "Existe-t-il des solutions équivalentes en Unix ?"

J'ai la confirmation que toutes les technologies existent ou presque.
Ce qui est un grand soulagement puis que le projet ne se veut pas ni
compatible AD, ni un clône de l'AD.
De plus, il inclut des possibilités de développement, ce que je sais faire
aussi.Il me sera "assez facile" de prototyper les fonctionnalités qui
manqueraient pour ensuite confier le boulot à d'autres.

Il y a encore énormément de questions en suspend, mais il est impossible
de terminer l'analyse d'un tel projet en un WE. Et je dois encore lire et
comparer les différentes solutions que vous m'avez proposées et que j'ai
trouvée.

Je ne vais pas utiliser Samba 4 car il a pour but de réaliser un domain
contrôleur Windows en Linux et d'être compatible 2003.

Pourquoi utiliser OpenLDAP comme base de donnée ?
- C'est sa fonctionnalité première. Je n'ai pas besoin d'écrire ou de
modifier des miliers de records à la seconde.
- La réplication est native.
- Le protocol LDAP est bien implenté pour ce genre de choses.
- MySql peut-être utilisé en back-end.

Postfix remplacera Exchange dans les fonctions purement SMTP, pour le
reste. je dois encore voir les différentes solutions de groupware. Il est
évident que je veux certaines possibilité qu'offre Exchange comme voir la
disponibilité d'une personne en vue d'une réunion ou la délégation de
droits.
Des fonctionnalités comme la synchronisations avec des GSM et autres PDA
seront les bienvenues mais ne seront pas une pierre d'achoppement.

L'interface de configuration pourrait être développée, ce n'est pas un
problème.

Je n'ai pas fini de tous lire, je dois me faire une idée de l'état de
chaque projet ainsi que des Directory Servers disponible. Il reste
toujours le problème de la migration mais j'ai encore le temps de
l'étudier.

Je n'ai pas encore décroché le job, j'attends toujours que le téléphone
sonne. Mais je sais maintenant que le projet est viable donc que je peux
accepter le projet.

Si je décroche le job, je vous ferai par des évolutions, des choix
technologiques et de tous ce qui ira avec.

Encore merci.
Gilles Mocellin a écrit :

Le Sunday 25 November 2007 03:53:05 Thierry Leurent, vous avez écrit :

Bonjour,

[...]

--
Thierry Leurent

E-mail : thierry.leurent@asgardian.be
Website (en developpement) : http://www.asgardian.be


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

zecrazytux a écrit :

Bonjour à tous,

Je sais qu'il existe des Directory Server tout fait chez Apache et Fedora.
Quelqu'un a-t-il une expérience avec ces produits ?

Il existe également le Mandriva Directory Server (MDS). Je n'ai pas
testé le produit, mais il me semble que tu peux demander une démo. ça à
l'air pas mal ficelé ;)

voici le lien: http://mds.mandriva.org/


Bon courage :)

zecrazytux - Seb

Bonjour,
on se retrouve quand meme avec un nombre de produits similaires qui me
surprend ...Mandriva, Fedora et Sunn Directory Server ....
Perso j'attends SaMBa 4 et l'interoperablilité Active Directory pour une
migration en douceur ...

++






--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Thierry Leurent a écrit :

Il y en a pas mal en effet.
Certain utilisent OpenLDAP et d'autres non. Je dois encore comparer les
différents produits que ce soit au niveau des fonctionnalité, de la
maturité et d'autres éléments.
Effectivement Samba 4 serait la solution de facilité enfin celle qui
offrira la migration la plus facile.
Je me pose seulement les questions suivantes :
- AD est-il le meilleur Annuaire ?

Bien sur que non, il ne respecte pas la RFC ldap, c'est quand même
proprio à 90% ...

- Les concepts qu'il met en oeuvre sont-il les meilleurs ?

Là tout n'est qu'affaire de goût /existant / compétence mais ici on te
répondra que non :-)

- Ai-je besoin de l'AD ?

?? Que désires tu comme fonctionnalité que seul AD pourrait te donner ?

+
----------------
Alexandre Mackow
Jabber : mackow@jabber.org



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Je ne suis pas forcé d'utiliser AD, je suis (serai) forcé d'utiliser
quelque chose ayant des fonctions similaires. Je me vois mal poster un
mail ici et demandant "Quelles sont les fonctionnalité intéressantes de
l'Active Directory ?", cela risquerait de tourner au pugilat.
Le but à terme c'est plus de Windows !!! Plus de Microsoft !!! Plus de
licenses commerciales !!! Et le terme c'est fin 2009 !!!

Le but du projet est de créer un "Annuaire" permettant d'administrer, de
manière centralisée, des machines Linux comme le fait AD pour des machines
Windows.

Cela me permet d'éviter les problèmes de compatibilité avec AD.
Effectivement AD étant le meilleur système du genre que je connaisse, je
vais m'en inspirer comme je pourrai m'inspirer d'autres solutions.

J'ai 2 solutions un annuaire existant comme Apache DS, MDS, .... ou un
Annuaire maison majoritairement basé sur des choses existantes (OpenLDAP,
Kerberos, .....).

Vu le type et le métier de la socièté, la majorité des machines seront des
Fixes utilisés par de simples employés et pas des portables pour
commerciaux, managers et autres "pros de la balade".
La réplication sur palm ne sera pas prioritaire, heureusement. Parcontre,
je vais devoir penser aux quelques portables. J'étudierai cela une fois
sur place.

Le plus gros problème de "compatibilité" se situe au niveau du couple
Exchange/Outlook. Par ce qu'il faudra assurer 2 choses :
- La récupération de l'historique des mails et autres.
- La possibilité pour les Windowsiens et les Linuxiens de se convoquer
mutuellement à des réunions.

Le premier pourra être fait par une application extérieure qui convertira
un pst.
Le second par une espèce de connecteur, on peut même imaginer que chaque
personne aura 2 agendas (un Exchange, un Linux) et qu'ils seront
synchronisé s régulièrement.

Le projet est bien plus ouvert que tu ne le penses. L'AD est le modèle pas
le but. C'est en cela que le projet se différencie de Samba 4. Les 2
choses à garder sont la compatibilié LDAP et le SSO donc sans doute
kerberos. Et ce, uniquement, pour faciliter la migration des applications.

Je vois les choses d'une manière "simple" :
- Un réseau Windows AD/Windows XP.
- Un réseau Linux/Linux.
- Une "passerelle".

Progressivement, tu remplaces un poste client Windows par un poste Client
Linux et tu migres le compte de la personne qui y travaille
habituellement.
Quand tu n'as plus de clients Windows, tu supprimes l'infrastucture
Windows et la "passerelle".

Je n'utiliserai pas NTFS, parcontre je n'ai pas encore choisi le FS. Mais
il utilisera les ACLs Posix. C'est certain.
Techniquement Samba sera-t-il utile dans le projet final ?
Il faudra un partage de HD, Mais qu'elle sera la meilleure solution ?

Si je comprends bien cette administration utilise un domaine NT4 avec des
clients XP.
Pour utiliser des termes Windows, j'aurai un domaine Linux, avec des
clients Linux et des serveurs Linux. Ce sera donc un pas de plus.

Comme tu le vois c'est un projet très libre et très novateur. C'est un
rêve et peut-être bien un grand pas.
La plus grosse contrainte est le temps de réalisation, 100 machines
doivent être en place pour fin 2008 et la migration finie fin 2009.

J'attends toujours de savoir si je vais participer à ce projet mais ce fil
m'a enlevé les derniers doutes que j'avais encore. Je sais donc que je
peux accepter ce projet sans trop de craintes.
J'ai encore bcp de choses à analyser, mais la structure général du projet
est déjà présente. Il me reste à lire, compiler et comparer les
informations que j'ai à ma disposition.

Si je participe :
- J'utiliserai mon site web (à l'arrêt pour l'instant) pour vous faire
suivre l'avancement du projet.
- Si des développements doivent voir, je ferai de mon mieux pour les
placer license Libre.


Pierre a écrit :

C'est dommage que tu sois forc&eacute; d'utiliser AD car si tu
pouvais utiliser linux comme simple primary domain controler, tu
pourrais te lancer &agrave; fond dans la r&eacute;ponse &agrave;
ton projet.
Je forme souvent une grande administration francaise (que je ne peu
citer) qui contient 50 000 (cinquante mille) poste windows XP et 0 (zero)
serveur windows.
Tout est configur&eacute; en samba 3 + ldap et multi site sur la france.
Apparament ldap &agrave; eu un peu de mal au debut &agrave; tenir la
charge mais les retours ont l'air concluant.

Par contre je ne sais rien du tout des outils collaboratif qu'ils
utilisent ne leur besoins d'outils mobiles (palm).

Enfin ils sont depuis longtemps en firefox + openoffice + thunderbird,
puis client leger (web) ou lourd avec java. La migration du poste de
travail viendra un jour ou l'autre ...

laisse moi tout de meme douter de la mise en place d'active directory sur
linux. Active directory est au domaine microsoft ce que ntfs est &agrave;
fat, c'est &agrave; dire une diff&eacute;rence enorme, et une
r&eacute;tro-ing&eacute;n&eacute;rie abominable. (ntfs en ecriture ? ah
bon ...)
Ce n'est pas parce qu'on fait du samba + ldap que l'ont fait du active
directory (comme on peut le lire parfois).


Thierry Leurent a &eacute;crit : Merci &agrave; tous ceux qui ont
r&eacute;pondu si rapidement. Je vais essayer de r&eacute;sumer la
situation. Dans la vie d'administrateur r&eacute;seaux, je n'ai jamais
eu l'occasion ni de bosser dans un monde majoritairement Linux ni dans de
grandes infrastucture AD. J'ai donc des regr&ecirc;ts d'un
c&ocirc;t&eacute; et les lacunes de l'autre (exemple : les GPO). Le
projet est compl&egrave;tement fou et novateur &agrave; tel point qu'en
lisant la job description, j'ai cru &agrave; un projet visant &agrave;
cr&eacute;er et maintenir des kiosques. C'est lors de l'interview que
j'ai compris l'ampleur de la chose et ses impliquations. Devant ce
chantier qui doit rapidement &ecirc;tre men&eacute;, il faut un minimun
100 clients install&eacute; pour fin 2008. Mon cerveau est entr&eacute;
en &eacute;bulition, avec deux questions : - "Quels sont les
fonctionnalit&eacute;s de l'AD ?" - "Existe-t-il des solutions
&eacute;quivalentes en Unix ?" J'ai la confirmation que toutes les
technologies existent ou presque. Ce qui est un grand soulagement puis
que le projet ne se veut pas ni compatible AD, ni un cl&ocirc;ne de l'AD.
De plus, il inclut des possibilit&eacute;s de d&eacute;veloppement, ce
que je sais faire aussi.Il me sera "assez facile" de prototyper les
fonctionnalit&eacute;s qui manqueraient pour ensuite confier le boulot
&agrave; d'autres. Il y a encore &eacute;norm&eacute;ment de questions
en suspend, mais il est impossible de terminer l'analyse d'un tel projet
en un WE. Et je dois encore lire et comparer les diff&eacute;rentes
solutions que vous m'avez propos&eacute;es et que j'ai trouv&eacute;e.
Je ne vais pas utiliser Samba 4 car il a pour but de r&eacute;aliser un
domain contr&ocirc;leur Windows en Linux et d'&ecirc;tre compatible 2003.
Pourquoi utiliser OpenLDAP comme base de donn&eacute;e ? - C'est sa
fonctionnalit&eacute; premi&egrave;re. Je n'ai pas besoin d'&eacute;crire
ou de modifier des miliers de records &agrave; la seconde. - La
r&eacute;plication est native. - Le protocol LDAP est bien
implent&eacute; pour ce genre de choses. - MySql peut-&ecirc;tre
utilis&eacute; en back-end. Postfix remplacera Exchange dans les
fonctions purement SMTP, pour le reste. je dois encore voir les
diff&eacute;rentes solutions de groupware. Il est &eacute;vident que je
veux certaines possibilit&eacute; qu'offre Exchange comme voir la
disponibilit&eacute; d'une personne en vue d'une r&eacute;union ou la
d&eacute;l&eacute;gation de droits. Des fonctionnalit&eacute;s comme la
synchronisations avec des GSM et autres PDA seront les bienvenues mais ne
seront pas une pierre d'achoppement. L'interface de configuration
pourrait &ecirc;tre d&eacute;velopp&eacute;e, ce n'est pas un
probl&egrave;me. Je n'ai pas fini de tous lire, je dois me faire une
id&eacute;e de l'&eacute;tat de chaque projet ainsi que des Directory
Servers disponible. Il reste toujours le probl&egrave;me de la migration
mais j'ai encore le temps de l'&eacute;tudier. Je n'ai pas encore
d&eacute;croch&eacute; le job, j'attends toujours que le
t&eacute;l&eacute;phone sonne. Mais je sais maintenant que le projet est
viable donc que je peux accepter le projet. Si je d&eacute;croche le
job, je vous ferai par des &eacute;volutions, des choix technologiques et
de tous ce qui ira avec. Encore merci. Gilles Mocellin a &eacute;crit :
Le Sunday 25 November 2007 03:53:05 Thierry Leurent, vous avez
&eacute;crit : Bonjour, [...]
-- Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le
mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE,
email to debian-user-french-REQUEST@lists.debian.org with a subject
of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

--
Thierry Leurent
Phone : +32 476/20.23.98
E-mail : thierry.leurent@asgardian.be
Website (en developpement) : http://www.asgardian.be


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Ce j'envisage de "copier", c'est :
- L'utilisation un annaire comme DB unique.
- Les GPO.
- Le SSO.
- La Gestion centralisée.

Les concepts de sites, de forest et de domaine ne me semblent pas
fondamentaux même si la socièté a plusieurs sites et plusieurs filliales.

Si je ne découvre pas un DS parfait qui ne demande qu'a être installé.
J'image une solution basée sur :
- OpenLDAP.
- Bind9 (Patché).
- DHCP3.
- Kerberos.

Pour les GPO, c'est encore vague. Un poste parle de cfengine et puppet
mais je ne les connais pas.


Alexandre Mackow a écrit :

Thierry Leurent a écrit :

Il y en a pas mal en effet.
Certain utilisent OpenLDAP et d'autres non. Je dois encore comparer les
différents produits que ce soit au niveau des fonctionnalité, de la
maturité et d'autres éléments.
Effectivement Samba 4 serait la solution de facilité enfin celle qui
offrira la migration la plus facile.
Je me pose seulement les questions suivantes :
- AD est-il le meilleur Annuaire ?

Bien sur que non, il ne respecte pas la RFC ldap, c'est quand même
proprio à 90% ...

- Les concepts qu'il met en oeuvre sont-il les meilleurs ?

Là tout n'est qu'affaire de goût /existant / compétence mais ici on te
répondra que non :-)

- Ai-je besoin de l'AD ?

?? Que désires tu comme fonctionnalité que seul AD pourrait te donner ?

+
----------------
Alexandre Mackow
Jabber : mackow@jabber.org



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org

--
Thierry Leurent
Phone : +32 476/20.23.98
E-mail : thierry.leurent@asgardian.be
Website (en developpement) : http://www.asgardian.be


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Le Sun, Nov 25, 2007 at 03:53:05AM +0100, Thierry Leurent [thierry.leurent@asgardian.be] a écrit:
[... snip ...]

Le projet totalement fou que j'espère étudier et mettre en place est ....
Non, vous n'avez pas encore deviné ?
Allez, je le dis. Mettre en place une stucture similaire en
Linux/OpenSource !!!!!!! D'où le sujet. Vous le comprenez maintenant...
Le projet ne se veut pas compatible Micro$oft mais doit offrir des
fonctions similaires et être interconnectable avec de dernier.

Tu actives XDMCP au niveau du DM (gdm, kdm, ...) que tu utilises, tu
mets des terminaux X (des solutions comme thinstation ou pxes permettent
d'utiliser les PCs que tu as sous la main), et voilà, n'importe quel
utilisateur peut se connecter sur le serveur, depuis n'importe quel
poste.
Ensuite, côté serveur(s), tu mets du NFS, NIS (ou ldap, ou mysql, ou
tout autre protocole où tu as un module PAM) et tu peux mettre plusieurs
serveurs de «login» avec une authentification unifiée.


Si tu tiens vraiment à avoir des clients "lourds", tu mets juste
l'authentif (NIS, toussa) et les homes des utilisateurs en NFS.


Et tout ça, ce sont des technologies qui existent sur des *nix depuis 15
ou 20 ans :-)


Dom

--
Dominique Rousseau

Si cinquante millions de gens disent une sottise,
ça n'en reste pas moins une sottise. -- Anatole France


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org