Bonjour,
Nous avons un projet d'externalisation d'une application basée sur
l'active Directory (certaines données utilisateurs + authentification).
Nous disposons d'une architecture basée sur un AD placé sur une réseau
local derrière une DMZ.
Cette application sera hébergée chez un prestataire.
Mes 2 interrogations :
1) Comment peux t'on "duppliquer" un AD pour le mettre chez le
prestataire.
2) Comment mettre à jour cette copie quotidiennement de façon sécurisée
unidirectionnelle (du réseau local, vers le prestataire).
Merci de vos suggestions.
Patrick
Bonjour,
Nous avons un projet d'externalisation d'une application basée sur
l'active Directory (certaines données utilisateurs + authentification).
Nous disposons d'une architecture basée sur un AD placé sur une réseau
local derrière une DMZ.
Cette application sera hébergée chez un prestataire.
Mes 2 interrogations :
1) Comment peux t'on "duppliquer" un AD pour le mettre chez le
prestataire.
2) Comment mettre à jour cette copie quotidiennement de façon sécurisée
unidirectionnelle (du réseau local, vers le prestataire).
Merci de vos suggestions.
Patrick
Bonjour,
Nous avons un projet d'externalisation d'une application basée sur
l'active Directory (certaines données utilisateurs + authentification).
Nous disposons d'une architecture basée sur un AD placé sur une réseau
local derrière une DMZ.
Cette application sera hébergée chez un prestataire.
Mes 2 interrogations :
1) Comment peux t'on "duppliquer" un AD pour le mettre chez le
prestataire.
2) Comment mettre à jour cette copie quotidiennement de façon sécurisée
unidirectionnelle (du réseau local, vers le prestataire).
Merci de vos suggestions.
Patrick
Bonjour Patrick,
A partir du moment ou tu souhaite dupliquer un AD et le synchroniser de
manière unidirectionnelle, tu as évidement l'outil fait spécifiquement pour
ça : ADAM.
Point d'entrée ici :
http://www.microsoft.com/windowsserver2003/adam/default.mspx
Je te suggère de lire tout ce que tu peux y trouver afin de bien maîtriser
l'outil.
Sinon, un petit step-by-step guide par là :
http://www.microsoft.com/downloads/details.aspx?familyidQ63B97A-7DF3-4B41-954E-0F7C04893E83&displaylang=en
Amuse toi bien,
Bonjour Patrick,
A partir du moment ou tu souhaite dupliquer un AD et le synchroniser de
manière unidirectionnelle, tu as évidement l'outil fait spécifiquement pour
ça : ADAM.
Point d'entrée ici :
http://www.microsoft.com/windowsserver2003/adam/default.mspx
Je te suggère de lire tout ce que tu peux y trouver afin de bien maîtriser
l'outil.
Sinon, un petit step-by-step guide par là :
http://www.microsoft.com/downloads/details.aspx?familyidQ63B97A-7DF3-4B41-954E-0F7C04893E83&displaylang=en
Amuse toi bien,
Bonjour Patrick,
A partir du moment ou tu souhaite dupliquer un AD et le synchroniser de
manière unidirectionnelle, tu as évidement l'outil fait spécifiquement pour
ça : ADAM.
Point d'entrée ici :
http://www.microsoft.com/windowsserver2003/adam/default.mspx
Je te suggère de lire tout ce que tu peux y trouver afin de bien maîtriser
l'outil.
Sinon, un petit step-by-step guide par là :
http://www.microsoft.com/downloads/details.aspx?familyidQ63B97A-7DF3-4B41-954E-0F7C04893E83&displaylang=en
Amuse toi bien,
Merci beaucoup Jonathan,
mais est ce que mon application (sharepoint portal) pourra s'appuyer sur
l'ADAM pour s'authentifier comme elle le ferait sur l'AD ?
Merci beaucoup Jonathan,
mais est ce que mon application (sharepoint portal) pourra s'appuyer sur
l'ADAM pour s'authentifier comme elle le ferait sur l'AD ?
Merci beaucoup Jonathan,
mais est ce que mon application (sharepoint portal) pourra s'appuyer sur
l'ADAM pour s'authentifier comme elle le ferait sur l'AD ?
Aïe, dans ce cas là c'est moyen.
Je sais que les premières versions de ADAM n'étaient pas gérés par SPP... et
suis pas certain que les nouvelles fassent mieux.
En ce cas, je dirais :
- Un nouveau domaine / nouvelle forêt chez le prestataire
- Une relation unidirectionnelle local -> prestataire
- Mise en place de
IIFP(http://www.microsoft.com/downloads/details.aspx?FamilyIDÙ143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en)
pour synchroniser les deux annuaires.
-> Je penses que tu peux y ajouter un serveur de certificat pour faire du
LDAP sur SSL.
ça me paraît pas trop mal, qu'en penses tu?
Cordialement,
Aïe, dans ce cas là c'est moyen.
Je sais que les premières versions de ADAM n'étaient pas gérés par SPP... et
suis pas certain que les nouvelles fassent mieux.
En ce cas, je dirais :
- Un nouveau domaine / nouvelle forêt chez le prestataire
- Une relation unidirectionnelle local -> prestataire
- Mise en place de
IIFP(http://www.microsoft.com/downloads/details.aspx?FamilyIDÙ143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en)
pour synchroniser les deux annuaires.
-> Je penses que tu peux y ajouter un serveur de certificat pour faire du
LDAP sur SSL.
ça me paraît pas trop mal, qu'en penses tu?
Cordialement,
Aïe, dans ce cas là c'est moyen.
Je sais que les premières versions de ADAM n'étaient pas gérés par SPP... et
suis pas certain que les nouvelles fassent mieux.
En ce cas, je dirais :
- Un nouveau domaine / nouvelle forêt chez le prestataire
- Une relation unidirectionnelle local -> prestataire
- Mise en place de
IIFP(http://www.microsoft.com/downloads/details.aspx?FamilyIDÙ143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en)
pour synchroniser les deux annuaires.
-> Je penses que tu peux y ajouter un serveur de certificat pour faire du
LDAP sur SSL.
ça me paraît pas trop mal, qu'en penses tu?
Cordialement,
Aïe, dans ce cas là c'est moyen.
Je sais que les premières versions de ADAM n'étaient pas gérés par SPP...
et suis pas certain que les nouvelles fassent mieux.
En ce cas, je dirais :
- Un nouveau domaine / nouvelle forêt chez le prestataire
- Une relation unidirectionnelle local -> prestataire
- Mise en place de
IIFP(http://www.microsoft.com/downloads/details.aspx?FamilyIDÙ143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en)
pour synchroniser les deux annuaires.
-> Je penses que tu peux y ajouter un serveur de certificat pour faire du
LDAP sur SSL.
ça me paraît pas trop mal, qu'en penses tu?
Cordialement,
Aïe, dans ce cas là c'est moyen.
Je sais que les premières versions de ADAM n'étaient pas gérés par SPP...
et suis pas certain que les nouvelles fassent mieux.
En ce cas, je dirais :
- Un nouveau domaine / nouvelle forêt chez le prestataire
- Une relation unidirectionnelle local -> prestataire
- Mise en place de
IIFP(http://www.microsoft.com/downloads/details.aspx?FamilyIDÙ143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en)
pour synchroniser les deux annuaires.
-> Je penses que tu peux y ajouter un serveur de certificat pour faire du
LDAP sur SSL.
ça me paraît pas trop mal, qu'en penses tu?
Cordialement,
Aïe, dans ce cas là c'est moyen.
Je sais que les premières versions de ADAM n'étaient pas gérés par SPP...
et suis pas certain que les nouvelles fassent mieux.
En ce cas, je dirais :
- Un nouveau domaine / nouvelle forêt chez le prestataire
- Une relation unidirectionnelle local -> prestataire
- Mise en place de
IIFP(http://www.microsoft.com/downloads/details.aspx?FamilyIDÙ143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en)
pour synchroniser les deux annuaires.
-> Je penses que tu peux y ajouter un serveur de certificat pour faire du
LDAP sur SSL.
ça me paraît pas trop mal, qu'en penses tu?
Cordialement,
Aïe, dans ce cas là c'est moyen.
Je sais que les premières versions de ADAM n'étaient pas gérés par SPP... et
suis pas certain que les nouvelles fassent mieux.
En ce cas, je dirais :
- Un nouveau domaine / nouvelle forêt chez le prestataire
- Une relation unidirectionnelle local -> prestataire
- Mise en place de
IIFP(http://www.microsoft.com/downloads/details.aspx?FamilyIDÙ143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en)
pour synchroniser les deux annuaires.
-> Je penses que tu peux y ajouter un serveur de certificat pour faire du
LDAP sur SSL.
ça me paraît pas trop mal, qu'en penses tu?
Cordialement,
Aïe, dans ce cas là c'est moyen.
Je sais que les premières versions de ADAM n'étaient pas gérés par SPP... et
suis pas certain que les nouvelles fassent mieux.
En ce cas, je dirais :
- Un nouveau domaine / nouvelle forêt chez le prestataire
- Une relation unidirectionnelle local -> prestataire
- Mise en place de
IIFP(http://www.microsoft.com/downloads/details.aspx?FamilyIDÙ143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en)
pour synchroniser les deux annuaires.
-> Je penses que tu peux y ajouter un serveur de certificat pour faire du
LDAP sur SSL.
ça me paraît pas trop mal, qu'en penses tu?
Cordialement,
Aïe, dans ce cas là c'est moyen.
Je sais que les premières versions de ADAM n'étaient pas gérés par SPP... et
suis pas certain que les nouvelles fassent mieux.
En ce cas, je dirais :
- Un nouveau domaine / nouvelle forêt chez le prestataire
- Une relation unidirectionnelle local -> prestataire
- Mise en place de
IIFP(http://www.microsoft.com/downloads/details.aspx?FamilyIDÙ143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en)
pour synchroniser les deux annuaires.
-> Je penses que tu peux y ajouter un serveur de certificat pour faire du
LDAP sur SSL.
ça me paraît pas trop mal, qu'en penses tu?
Cordialement,
Aïe, dans ce cas là c'est moyen.
Je sais que les premières versions de ADAM n'étaient pas gérés par SPP...
et suis pas certain que les nouvelles fassent mieux.
En ce cas, je dirais :
- Un nouveau domaine / nouvelle forêt chez le prestataire
Je suis un peu géné par cette solution :
1) a cause du coût, cela implique surement l'achat de nouvelles Cales pour
le nouveau domaine (8000 utilisateurs).
2) a cause du nom de domaine qui sera différent et perturbant pour les
utilisateurs lors d'un accès à une page protégée (boite d'authentification
user /password /domain).- Une relation unidirectionnelle local -> prestataire
- Mise en place de
IIFP(http://www.microsoft.com/downloads/details.aspx?FamilyIDÙ143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en)
pour synchroniser les deux annuaires.
-> Je penses que tu peux y ajouter un serveur de certificat pour faire du
LDAP sur SSL.
Le LDAPS servirait à IIFP pour Synchroniser les annuaires ?
Dans ce cas où placer le serveur de certificats ? dans la DMZ de mon
organisation ? et les noms de domaines différents ne posent t'ils pas de
problèmes pour les certificats ?
ça me paraît pas trop mal, qu'en penses tu?
Cordialement,
Merci en tout cas Jonathan pour ces pistes :)
Aïe, dans ce cas là c'est moyen.
Je sais que les premières versions de ADAM n'étaient pas gérés par SPP...
et suis pas certain que les nouvelles fassent mieux.
En ce cas, je dirais :
- Un nouveau domaine / nouvelle forêt chez le prestataire
Je suis un peu géné par cette solution :
1) a cause du coût, cela implique surement l'achat de nouvelles Cales pour
le nouveau domaine (8000 utilisateurs).
2) a cause du nom de domaine qui sera différent et perturbant pour les
utilisateurs lors d'un accès à une page protégée (boite d'authentification
user /password /domain).
- Une relation unidirectionnelle local -> prestataire
- Mise en place de
IIFP(http://www.microsoft.com/downloads/details.aspx?FamilyIDÙ143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en)
pour synchroniser les deux annuaires.
-> Je penses que tu peux y ajouter un serveur de certificat pour faire du
LDAP sur SSL.
Le LDAPS servirait à IIFP pour Synchroniser les annuaires ?
Dans ce cas où placer le serveur de certificats ? dans la DMZ de mon
organisation ? et les noms de domaines différents ne posent t'ils pas de
problèmes pour les certificats ?
ça me paraît pas trop mal, qu'en penses tu?
Cordialement,
Merci en tout cas Jonathan pour ces pistes :)
Aïe, dans ce cas là c'est moyen.
Je sais que les premières versions de ADAM n'étaient pas gérés par SPP...
et suis pas certain que les nouvelles fassent mieux.
En ce cas, je dirais :
- Un nouveau domaine / nouvelle forêt chez le prestataire
Je suis un peu géné par cette solution :
1) a cause du coût, cela implique surement l'achat de nouvelles Cales pour
le nouveau domaine (8000 utilisateurs).
2) a cause du nom de domaine qui sera différent et perturbant pour les
utilisateurs lors d'un accès à une page protégée (boite d'authentification
user /password /domain).- Une relation unidirectionnelle local -> prestataire
- Mise en place de
IIFP(http://www.microsoft.com/downloads/details.aspx?FamilyIDÙ143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en)
pour synchroniser les deux annuaires.
-> Je penses que tu peux y ajouter un serveur de certificat pour faire du
LDAP sur SSL.
Le LDAPS servirait à IIFP pour Synchroniser les annuaires ?
Dans ce cas où placer le serveur de certificats ? dans la DMZ de mon
organisation ? et les noms de domaines différents ne posent t'ils pas de
problèmes pour les certificats ?
ça me paraît pas trop mal, qu'en penses tu?
Cordialement,
Merci en tout cas Jonathan pour ces pistes :)
Re,
effectivement, là ça commence à chiffrer...
Le soucis, c'est que si tu monte un domaine de la même forêt ou plus
simplement un un DC sur le site de ton presta, tu tombera fatalement sur
de la relation bi-directionnelle, et donc, il y aura soucis... cela reste
toutefois la solution la moins onéreuse, mais il faudra s'assurer que la
relation bi-dir ne sert pas à faire de cascades...
Je ne suis pas expert en licensing, donc aucune idée de la manière de
gérer ça. Les 8000 users utilisent tous le SPP?
Pour ton problème de nom de domaine différent, tout dépend de la manière
que tu utilise.
Si on sort de la re création des utilisateurs par synchro IIFP et que tu
conserve les users de ton domaine ; même sur une autre forêt tu dois
pouvoir ajouter les utilisateurs de ton siège à des groupes locaux de
domaine de ta forêt B. Donc si tu gère les accès par groupes le
log/pass/domaine ne doit pas poser problème. (et peut être modérer le
problème de la cal, mais je n'en suis pas bien sur...), bien sur si
l'accès est nominatif avec un espace par utilisateur, ça risque de poser
problème... peut être que les pros des news sharepoint pourront te
proposer une topo homogène... ça peut valoir le coup de poser la question
Cordialement,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"PE" a écrit dans le message de news:
%Aïe, dans ce cas là c'est moyen.
Je sais que les premières versions de ADAM n'étaient pas gérés par
SPP... et suis pas certain que les nouvelles fassent mieux.
En ce cas, je dirais :
- Un nouveau domaine / nouvelle forêt chez le prestataire
Je suis un peu géné par cette solution :
1) a cause du coût, cela implique surement l'achat de nouvelles Cales
pour le nouveau domaine (8000 utilisateurs).
2) a cause du nom de domaine qui sera différent et perturbant pour les
utilisateurs lors d'un accès à une page protégée (boite
d'authentification user /password /domain).- Une relation unidirectionnelle local -> prestataire
- Mise en place de
IIFP(http://www.microsoft.com/downloads/details.aspx?FamilyIDÙ143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en)
pour synchroniser les deux annuaires.
-> Je penses que tu peux y ajouter un serveur de certificat pour faire
du LDAP sur SSL.
Le LDAPS servirait à IIFP pour Synchroniser les annuaires ?
Dans ce cas où placer le serveur de certificats ? dans la DMZ de mon
organisation ? et les noms de domaines différents ne posent t'ils pas de
problèmes pour les certificats ?
ça me paraît pas trop mal, qu'en penses tu?
Cordialement,
Merci en tout cas Jonathan pour ces pistes :)
Re,
effectivement, là ça commence à chiffrer...
Le soucis, c'est que si tu monte un domaine de la même forêt ou plus
simplement un un DC sur le site de ton presta, tu tombera fatalement sur
de la relation bi-directionnelle, et donc, il y aura soucis... cela reste
toutefois la solution la moins onéreuse, mais il faudra s'assurer que la
relation bi-dir ne sert pas à faire de cascades...
Je ne suis pas expert en licensing, donc aucune idée de la manière de
gérer ça. Les 8000 users utilisent tous le SPP?
Pour ton problème de nom de domaine différent, tout dépend de la manière
que tu utilise.
Si on sort de la re création des utilisateurs par synchro IIFP et que tu
conserve les users de ton domaine ; même sur une autre forêt tu dois
pouvoir ajouter les utilisateurs de ton siège à des groupes locaux de
domaine de ta forêt B. Donc si tu gère les accès par groupes le
log/pass/domaine ne doit pas poser problème. (et peut être modérer le
problème de la cal, mais je n'en suis pas bien sur...), bien sur si
l'accès est nominatif avec un espace par utilisateur, ça risque de poser
problème... peut être que les pros des news sharepoint pourront te
proposer une topo homogène... ça peut valoir le coup de poser la question
Cordialement,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"PE" <pe@versailles.iufm.fr> a écrit dans le message de news:
%23882nYBdGHA.536@TK2MSFTNGP02.phx.gbl...
Aïe, dans ce cas là c'est moyen.
Je sais que les premières versions de ADAM n'étaient pas gérés par
SPP... et suis pas certain que les nouvelles fassent mieux.
En ce cas, je dirais :
- Un nouveau domaine / nouvelle forêt chez le prestataire
Je suis un peu géné par cette solution :
1) a cause du coût, cela implique surement l'achat de nouvelles Cales
pour le nouveau domaine (8000 utilisateurs).
2) a cause du nom de domaine qui sera différent et perturbant pour les
utilisateurs lors d'un accès à une page protégée (boite
d'authentification user /password /domain).
- Une relation unidirectionnelle local -> prestataire
- Mise en place de
IIFP(http://www.microsoft.com/downloads/details.aspx?FamilyIDÙ143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en)
pour synchroniser les deux annuaires.
-> Je penses que tu peux y ajouter un serveur de certificat pour faire
du LDAP sur SSL.
Le LDAPS servirait à IIFP pour Synchroniser les annuaires ?
Dans ce cas où placer le serveur de certificats ? dans la DMZ de mon
organisation ? et les noms de domaines différents ne posent t'ils pas de
problèmes pour les certificats ?
ça me paraît pas trop mal, qu'en penses tu?
Cordialement,
Merci en tout cas Jonathan pour ces pistes :)
Re,
effectivement, là ça commence à chiffrer...
Le soucis, c'est que si tu monte un domaine de la même forêt ou plus
simplement un un DC sur le site de ton presta, tu tombera fatalement sur
de la relation bi-directionnelle, et donc, il y aura soucis... cela reste
toutefois la solution la moins onéreuse, mais il faudra s'assurer que la
relation bi-dir ne sert pas à faire de cascades...
Je ne suis pas expert en licensing, donc aucune idée de la manière de
gérer ça. Les 8000 users utilisent tous le SPP?
Pour ton problème de nom de domaine différent, tout dépend de la manière
que tu utilise.
Si on sort de la re création des utilisateurs par synchro IIFP et que tu
conserve les users de ton domaine ; même sur une autre forêt tu dois
pouvoir ajouter les utilisateurs de ton siège à des groupes locaux de
domaine de ta forêt B. Donc si tu gère les accès par groupes le
log/pass/domaine ne doit pas poser problème. (et peut être modérer le
problème de la cal, mais je n'en suis pas bien sur...), bien sur si
l'accès est nominatif avec un espace par utilisateur, ça risque de poser
problème... peut être que les pros des news sharepoint pourront te
proposer une topo homogène... ça peut valoir le coup de poser la question
Cordialement,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"PE" a écrit dans le message de news:
%Aïe, dans ce cas là c'est moyen.
Je sais que les premières versions de ADAM n'étaient pas gérés par
SPP... et suis pas certain que les nouvelles fassent mieux.
En ce cas, je dirais :
- Un nouveau domaine / nouvelle forêt chez le prestataire
Je suis un peu géné par cette solution :
1) a cause du coût, cela implique surement l'achat de nouvelles Cales
pour le nouveau domaine (8000 utilisateurs).
2) a cause du nom de domaine qui sera différent et perturbant pour les
utilisateurs lors d'un accès à une page protégée (boite
d'authentification user /password /domain).- Une relation unidirectionnelle local -> prestataire
- Mise en place de
IIFP(http://www.microsoft.com/downloads/details.aspx?FamilyIDÙ143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en)
pour synchroniser les deux annuaires.
-> Je penses que tu peux y ajouter un serveur de certificat pour faire
du LDAP sur SSL.
Le LDAPS servirait à IIFP pour Synchroniser les annuaires ?
Dans ce cas où placer le serveur de certificats ? dans la DMZ de mon
organisation ? et les noms de domaines différents ne posent t'ils pas de
problèmes pour les certificats ?
ça me paraît pas trop mal, qu'en penses tu?
Cordialement,
Merci en tout cas Jonathan pour ces pistes :)
Kikoo mon hobbit,
Et pourquoi pas tout simplement un "petit" ADFS avec du Windows 2003 R2 ?
ca s'y prêterais fort bien ! :-)
--
Cordialement,
Michaël
MVP Windows Server - Directory Services
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
http://mthibaut.over-blog.com
Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc
"Jonathan Bismuth" a écrit
dans le message de news:Re,
effectivement, là ça commence à chiffrer...
Le soucis, c'est que si tu monte un domaine de la même forêt ou plus
simplement un un DC sur le site de ton presta, tu tombera fatalement sur
de la relation bi-directionnelle, et donc, il y aura soucis... cela reste
toutefois la solution la moins onéreuse, mais il faudra s'assurer que la
relation bi-dir ne sert pas à faire de cascades...
Je ne suis pas expert en licensing, donc aucune idée de la manière de
gérer ça. Les 8000 users utilisent tous le SPP?
Pour ton problème de nom de domaine différent, tout dépend de la manière
que tu utilise.
Si on sort de la re création des utilisateurs par synchro IIFP et que tu
conserve les users de ton domaine ; même sur une autre forêt tu dois
pouvoir ajouter les utilisateurs de ton siège à des groupes locaux de
domaine de ta forêt B. Donc si tu gère les accès par groupes le
log/pass/domaine ne doit pas poser problème. (et peut être modérer le
problème de la cal, mais je n'en suis pas bien sur...), bien sur si
l'accès est nominatif avec un espace par utilisateur, ça risque de poser
problème... peut être que les pros des news sharepoint pourront te
proposer une topo homogène... ça peut valoir le coup de poser la question
Cordialement,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"PE" a écrit dans le message de news:
%Aïe, dans ce cas là c'est moyen.
Je sais que les premières versions de ADAM n'étaient pas gérés par
SPP... et suis pas certain que les nouvelles fassent mieux.
En ce cas, je dirais :
- Un nouveau domaine / nouvelle forêt chez le prestataire
Je suis un peu géné par cette solution :
1) a cause du coût, cela implique surement l'achat de nouvelles Cales
pour le nouveau domaine (8000 utilisateurs).
2) a cause du nom de domaine qui sera différent et perturbant pour les
utilisateurs lors d'un accès à une page protégée (boite
d'authentification user /password /domain).- Une relation unidirectionnelle local -> prestataire
- Mise en place de
IIFP(http://www.microsoft.com/downloads/details.aspx?FamilyIDÙ143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en)
pour synchroniser les deux annuaires.
-> Je penses que tu peux y ajouter un serveur de certificat pour faire
du LDAP sur SSL.
Le LDAPS servirait à IIFP pour Synchroniser les annuaires ?
Dans ce cas où placer le serveur de certificats ? dans la DMZ de mon
organisation ? et les noms de domaines différents ne posent t'ils pas de
problèmes pour les certificats ?
ça me paraît pas trop mal, qu'en penses tu?
Cordialement,
Merci en tout cas Jonathan pour ces pistes :)
Kikoo mon hobbit,
Et pourquoi pas tout simplement un "petit" ADFS avec du Windows 2003 R2 ?
ca s'y prêterais fort bien ! :-)
--
Cordialement,
Michaël
MVP Windows Server - Directory Services
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
http://mthibaut.over-blog.com
Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc
"Jonathan Bismuth" <jonathan.bismuth@NOSPAM.bsr.ap-hop-paris.fr> a écrit
dans le message de news: OqjJIwBdGHA.1272@TK2MSFTNGP03.phx.gbl...
Re,
effectivement, là ça commence à chiffrer...
Le soucis, c'est que si tu monte un domaine de la même forêt ou plus
simplement un un DC sur le site de ton presta, tu tombera fatalement sur
de la relation bi-directionnelle, et donc, il y aura soucis... cela reste
toutefois la solution la moins onéreuse, mais il faudra s'assurer que la
relation bi-dir ne sert pas à faire de cascades...
Je ne suis pas expert en licensing, donc aucune idée de la manière de
gérer ça. Les 8000 users utilisent tous le SPP?
Pour ton problème de nom de domaine différent, tout dépend de la manière
que tu utilise.
Si on sort de la re création des utilisateurs par synchro IIFP et que tu
conserve les users de ton domaine ; même sur une autre forêt tu dois
pouvoir ajouter les utilisateurs de ton siège à des groupes locaux de
domaine de ta forêt B. Donc si tu gère les accès par groupes le
log/pass/domaine ne doit pas poser problème. (et peut être modérer le
problème de la cal, mais je n'en suis pas bien sur...), bien sur si
l'accès est nominatif avec un espace par utilisateur, ça risque de poser
problème... peut être que les pros des news sharepoint pourront te
proposer une topo homogène... ça peut valoir le coup de poser la question
Cordialement,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"PE" <pe@versailles.iufm.fr> a écrit dans le message de news:
%23882nYBdGHA.536@TK2MSFTNGP02.phx.gbl...
Aïe, dans ce cas là c'est moyen.
Je sais que les premières versions de ADAM n'étaient pas gérés par
SPP... et suis pas certain que les nouvelles fassent mieux.
En ce cas, je dirais :
- Un nouveau domaine / nouvelle forêt chez le prestataire
Je suis un peu géné par cette solution :
1) a cause du coût, cela implique surement l'achat de nouvelles Cales
pour le nouveau domaine (8000 utilisateurs).
2) a cause du nom de domaine qui sera différent et perturbant pour les
utilisateurs lors d'un accès à une page protégée (boite
d'authentification user /password /domain).
- Une relation unidirectionnelle local -> prestataire
- Mise en place de
IIFP(http://www.microsoft.com/downloads/details.aspx?FamilyIDÙ143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en)
pour synchroniser les deux annuaires.
-> Je penses que tu peux y ajouter un serveur de certificat pour faire
du LDAP sur SSL.
Le LDAPS servirait à IIFP pour Synchroniser les annuaires ?
Dans ce cas où placer le serveur de certificats ? dans la DMZ de mon
organisation ? et les noms de domaines différents ne posent t'ils pas de
problèmes pour les certificats ?
ça me paraît pas trop mal, qu'en penses tu?
Cordialement,
Merci en tout cas Jonathan pour ces pistes :)
Kikoo mon hobbit,
Et pourquoi pas tout simplement un "petit" ADFS avec du Windows 2003 R2 ?
ca s'y prêterais fort bien ! :-)
--
Cordialement,
Michaël
MVP Windows Server - Directory Services
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
http://mthibaut.over-blog.com
Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc
"Jonathan Bismuth" a écrit
dans le message de news:Re,
effectivement, là ça commence à chiffrer...
Le soucis, c'est que si tu monte un domaine de la même forêt ou plus
simplement un un DC sur le site de ton presta, tu tombera fatalement sur
de la relation bi-directionnelle, et donc, il y aura soucis... cela reste
toutefois la solution la moins onéreuse, mais il faudra s'assurer que la
relation bi-dir ne sert pas à faire de cascades...
Je ne suis pas expert en licensing, donc aucune idée de la manière de
gérer ça. Les 8000 users utilisent tous le SPP?
Pour ton problème de nom de domaine différent, tout dépend de la manière
que tu utilise.
Si on sort de la re création des utilisateurs par synchro IIFP et que tu
conserve les users de ton domaine ; même sur une autre forêt tu dois
pouvoir ajouter les utilisateurs de ton siège à des groupes locaux de
domaine de ta forêt B. Donc si tu gère les accès par groupes le
log/pass/domaine ne doit pas poser problème. (et peut être modérer le
problème de la cal, mais je n'en suis pas bien sur...), bien sur si
l'accès est nominatif avec un espace par utilisateur, ça risque de poser
problème... peut être que les pros des news sharepoint pourront te
proposer une topo homogène... ça peut valoir le coup de poser la question
Cordialement,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"PE" a écrit dans le message de news:
%Aïe, dans ce cas là c'est moyen.
Je sais que les premières versions de ADAM n'étaient pas gérés par
SPP... et suis pas certain que les nouvelles fassent mieux.
En ce cas, je dirais :
- Un nouveau domaine / nouvelle forêt chez le prestataire
Je suis un peu géné par cette solution :
1) a cause du coût, cela implique surement l'achat de nouvelles Cales
pour le nouveau domaine (8000 utilisateurs).
2) a cause du nom de domaine qui sera différent et perturbant pour les
utilisateurs lors d'un accès à une page protégée (boite
d'authentification user /password /domain).- Une relation unidirectionnelle local -> prestataire
- Mise en place de
IIFP(http://www.microsoft.com/downloads/details.aspx?FamilyIDÙ143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en)
pour synchroniser les deux annuaires.
-> Je penses que tu peux y ajouter un serveur de certificat pour faire
du LDAP sur SSL.
Le LDAPS servirait à IIFP pour Synchroniser les annuaires ?
Dans ce cas où placer le serveur de certificats ? dans la DMZ de mon
organisation ? et les noms de domaines différents ne posent t'ils pas de
problèmes pour les certificats ?
ça me paraît pas trop mal, qu'en penses tu?
Cordialement,
Merci en tout cas Jonathan pour ces pistes :)
Hello Sir Hobbit 1er
C'est très exactement ce à quoi je pensais sur le coup!!
...... mais le coût en matière de CAL + licences serveurs me paraît
problématique pour notre ami Patrick qui voit déjà des
soucis -compréhensibles- à monter un domaine avec relation
unidirectionnelle...
Question que je me posait par ailleurs jusqu'à ce matin, SharePoint est il
fully compatible avec mon ADFS préféré?
La réponse est au final : "peut-être". Plus exactement, la partie Serveur
EST compatible ADFS. La partie end-user l'est... ou pas!
En fait tout dépends de l'utilisation du portail.
Si l'on utilise uniquement les fonctions du navigateur Web, c'est bon. En
revanche Une suite type office 2003 n'est pas capable d'échanger de cookies
de session avec le browser... donc pas de SSO et obligation de se
ré-authentifier!
En bref et pour faire court... une excellente KB à lire et garder sous
l'oreiller, pour ceux qui veulent utiliser ADFS avec un environnement pas
uniquement WEB, (Sharepoint mais pas uniquement ), quelques solutions
etc.... : http://support.microsoft.com/kb/912492/en-us
Bonne lecture à tous,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Michaël THIBAUT [MVP]" a écrit dans
le message de news: %Kikoo mon hobbit,
Et pourquoi pas tout simplement un "petit" ADFS avec du Windows 2003 R2 ?
ca s'y prêterais fort bien ! :-)
--
Cordialement,
Michaël
MVP Windows Server - Directory Services
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
http://mthibaut.over-blog.com
Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc
"Jonathan Bismuth" a écrit
dans le message de news:Re,
effectivement, là ça commence à chiffrer...
Le soucis, c'est que si tu monte un domaine de la même forêt ou plus
simplement un un DC sur le site de ton presta, tu tombera fatalement sur
de la relation bi-directionnelle, et donc, il y aura soucis... cela reste
toutefois la solution la moins onéreuse, mais il faudra s'assurer que la
relation bi-dir ne sert pas à faire de cascades...
Je ne suis pas expert en licensing, donc aucune idée de la manière de
gérer ça. Les 8000 users utilisent tous le SPP?
Pour ton problème de nom de domaine différent, tout dépend de la manière
que tu utilise.
Si on sort de la re création des utilisateurs par synchro IIFP et que tu
conserve les users de ton domaine ; même sur une autre forêt tu dois
pouvoir ajouter les utilisateurs de ton siège à des groupes locaux de
domaine de ta forêt B. Donc si tu gère les accès par groupes le
log/pass/domaine ne doit pas poser problème. (et peut être modérer le
problème de la cal, mais je n'en suis pas bien sur...), bien sur si
l'accès est nominatif avec un espace par utilisateur, ça risque de poser
problème... peut être que les pros des news sharepoint pourront te
proposer une topo homogène... ça peut valoir le coup de poser la question
Cordialement,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"PE" a écrit dans le message de news:
%Aïe, dans ce cas là c'est moyen.
Je sais que les premières versions de ADAM n'étaient pas gérés par
SPP... et suis pas certain que les nouvelles fassent mieux.
En ce cas, je dirais :
- Un nouveau domaine / nouvelle forêt chez le prestataire
Je suis un peu géné par cette solution :
1) a cause du coût, cela implique surement l'achat de nouvelles Cales
pour le nouveau domaine (8000 utilisateurs).
2) a cause du nom de domaine qui sera différent et perturbant pour les
utilisateurs lors d'un accès à une page protégée (boite
d'authentification user /password /domain).- Une relation unidirectionnelle local -> prestataire
- Mise en place de
IIFP(http://www.microsoft.com/downloads/details.aspx?FamilyIDÙ143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en)
pour synchroniser les deux annuaires.
-> Je penses que tu peux y ajouter un serveur de certificat pour faire
du LDAP sur SSL.
Le LDAPS servirait à IIFP pour Synchroniser les annuaires ?
Dans ce cas où placer le serveur de certificats ? dans la DMZ de mon
organisation ? et les noms de domaines différents ne posent t'ils pas de
problèmes pour les certificats ?
ça me paraît pas trop mal, qu'en penses tu?
Cordialement,
Merci en tout cas Jonathan pour ces pistes :)
Hello Sir Hobbit 1er
C'est très exactement ce à quoi je pensais sur le coup!!
...... mais le coût en matière de CAL + licences serveurs me paraît
problématique pour notre ami Patrick qui voit déjà des
soucis -compréhensibles- à monter un domaine avec relation
unidirectionnelle...
Question que je me posait par ailleurs jusqu'à ce matin, SharePoint est il
fully compatible avec mon ADFS préféré?
La réponse est au final : "peut-être". Plus exactement, la partie Serveur
EST compatible ADFS. La partie end-user l'est... ou pas!
En fait tout dépends de l'utilisation du portail.
Si l'on utilise uniquement les fonctions du navigateur Web, c'est bon. En
revanche Une suite type office 2003 n'est pas capable d'échanger de cookies
de session avec le browser... donc pas de SSO et obligation de se
ré-authentifier!
En bref et pour faire court... une excellente KB à lire et garder sous
l'oreiller, pour ceux qui veulent utiliser ADFS avec un environnement pas
uniquement WEB, (Sharepoint mais pas uniquement ), quelques solutions
etc.... : http://support.microsoft.com/kb/912492/en-us
Bonne lecture à tous,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Michaël THIBAUT [MVP]" <michaelp75@-N-O-S-P-A-M-hotmail.com> a écrit dans
le message de news: %23krJpsCdGHA.1856@TK2MSFTNGP03.phx.gbl...
Kikoo mon hobbit,
Et pourquoi pas tout simplement un "petit" ADFS avec du Windows 2003 R2 ?
ca s'y prêterais fort bien ! :-)
--
Cordialement,
Michaël
MVP Windows Server - Directory Services
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
http://mthibaut.over-blog.com
Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc
"Jonathan Bismuth" <jonathan.bismuth@NOSPAM.bsr.ap-hop-paris.fr> a écrit
dans le message de news: OqjJIwBdGHA.1272@TK2MSFTNGP03.phx.gbl...
Re,
effectivement, là ça commence à chiffrer...
Le soucis, c'est que si tu monte un domaine de la même forêt ou plus
simplement un un DC sur le site de ton presta, tu tombera fatalement sur
de la relation bi-directionnelle, et donc, il y aura soucis... cela reste
toutefois la solution la moins onéreuse, mais il faudra s'assurer que la
relation bi-dir ne sert pas à faire de cascades...
Je ne suis pas expert en licensing, donc aucune idée de la manière de
gérer ça. Les 8000 users utilisent tous le SPP?
Pour ton problème de nom de domaine différent, tout dépend de la manière
que tu utilise.
Si on sort de la re création des utilisateurs par synchro IIFP et que tu
conserve les users de ton domaine ; même sur une autre forêt tu dois
pouvoir ajouter les utilisateurs de ton siège à des groupes locaux de
domaine de ta forêt B. Donc si tu gère les accès par groupes le
log/pass/domaine ne doit pas poser problème. (et peut être modérer le
problème de la cal, mais je n'en suis pas bien sur...), bien sur si
l'accès est nominatif avec un espace par utilisateur, ça risque de poser
problème... peut être que les pros des news sharepoint pourront te
proposer une topo homogène... ça peut valoir le coup de poser la question
Cordialement,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"PE" <pe@versailles.iufm.fr> a écrit dans le message de news:
%23882nYBdGHA.536@TK2MSFTNGP02.phx.gbl...
Aïe, dans ce cas là c'est moyen.
Je sais que les premières versions de ADAM n'étaient pas gérés par
SPP... et suis pas certain que les nouvelles fassent mieux.
En ce cas, je dirais :
- Un nouveau domaine / nouvelle forêt chez le prestataire
Je suis un peu géné par cette solution :
1) a cause du coût, cela implique surement l'achat de nouvelles Cales
pour le nouveau domaine (8000 utilisateurs).
2) a cause du nom de domaine qui sera différent et perturbant pour les
utilisateurs lors d'un accès à une page protégée (boite
d'authentification user /password /domain).
- Une relation unidirectionnelle local -> prestataire
- Mise en place de
IIFP(http://www.microsoft.com/downloads/details.aspx?FamilyIDÙ143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en)
pour synchroniser les deux annuaires.
-> Je penses que tu peux y ajouter un serveur de certificat pour faire
du LDAP sur SSL.
Le LDAPS servirait à IIFP pour Synchroniser les annuaires ?
Dans ce cas où placer le serveur de certificats ? dans la DMZ de mon
organisation ? et les noms de domaines différents ne posent t'ils pas de
problèmes pour les certificats ?
ça me paraît pas trop mal, qu'en penses tu?
Cordialement,
Merci en tout cas Jonathan pour ces pistes :)
Hello Sir Hobbit 1er
C'est très exactement ce à quoi je pensais sur le coup!!
...... mais le coût en matière de CAL + licences serveurs me paraît
problématique pour notre ami Patrick qui voit déjà des
soucis -compréhensibles- à monter un domaine avec relation
unidirectionnelle...
Question que je me posait par ailleurs jusqu'à ce matin, SharePoint est il
fully compatible avec mon ADFS préféré?
La réponse est au final : "peut-être". Plus exactement, la partie Serveur
EST compatible ADFS. La partie end-user l'est... ou pas!
En fait tout dépends de l'utilisation du portail.
Si l'on utilise uniquement les fonctions du navigateur Web, c'est bon. En
revanche Une suite type office 2003 n'est pas capable d'échanger de cookies
de session avec le browser... donc pas de SSO et obligation de se
ré-authentifier!
En bref et pour faire court... une excellente KB à lire et garder sous
l'oreiller, pour ceux qui veulent utiliser ADFS avec un environnement pas
uniquement WEB, (Sharepoint mais pas uniquement ), quelques solutions
etc.... : http://support.microsoft.com/kb/912492/en-us
Bonne lecture à tous,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Michaël THIBAUT [MVP]" a écrit dans
le message de news: %Kikoo mon hobbit,
Et pourquoi pas tout simplement un "petit" ADFS avec du Windows 2003 R2 ?
ca s'y prêterais fort bien ! :-)
--
Cordialement,
Michaël
MVP Windows Server - Directory Services
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging
http://mthibaut.over-blog.com
Pour me contacter/ To contact me:
http://cerbermail.com/?PSSxYRQedc
"Jonathan Bismuth" a écrit
dans le message de news:Re,
effectivement, là ça commence à chiffrer...
Le soucis, c'est que si tu monte un domaine de la même forêt ou plus
simplement un un DC sur le site de ton presta, tu tombera fatalement sur
de la relation bi-directionnelle, et donc, il y aura soucis... cela reste
toutefois la solution la moins onéreuse, mais il faudra s'assurer que la
relation bi-dir ne sert pas à faire de cascades...
Je ne suis pas expert en licensing, donc aucune idée de la manière de
gérer ça. Les 8000 users utilisent tous le SPP?
Pour ton problème de nom de domaine différent, tout dépend de la manière
que tu utilise.
Si on sort de la re création des utilisateurs par synchro IIFP et que tu
conserve les users de ton domaine ; même sur une autre forêt tu dois
pouvoir ajouter les utilisateurs de ton siège à des groupes locaux de
domaine de ta forêt B. Donc si tu gère les accès par groupes le
log/pass/domaine ne doit pas poser problème. (et peut être modérer le
problème de la cal, mais je n'en suis pas bien sur...), bien sur si
l'accès est nominatif avec un espace par utilisateur, ça risque de poser
problème... peut être que les pros des news sharepoint pourront te
proposer une topo homogène... ça peut valoir le coup de poser la question
Cordialement,
--
Jonathan BISMUTH
NET2S Group
MVP Windows Server - Directory Services
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"PE" a écrit dans le message de news:
%Aïe, dans ce cas là c'est moyen.
Je sais que les premières versions de ADAM n'étaient pas gérés par
SPP... et suis pas certain que les nouvelles fassent mieux.
En ce cas, je dirais :
- Un nouveau domaine / nouvelle forêt chez le prestataire
Je suis un peu géné par cette solution :
1) a cause du coût, cela implique surement l'achat de nouvelles Cales
pour le nouveau domaine (8000 utilisateurs).
2) a cause du nom de domaine qui sera différent et perturbant pour les
utilisateurs lors d'un accès à une page protégée (boite
d'authentification user /password /domain).- Une relation unidirectionnelle local -> prestataire
- Mise en place de
IIFP(http://www.microsoft.com/downloads/details.aspx?FamilyIDÙ143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en)
pour synchroniser les deux annuaires.
-> Je penses que tu peux y ajouter un serveur de certificat pour faire
du LDAP sur SSL.
Le LDAPS servirait à IIFP pour Synchroniser les annuaires ?
Dans ce cas où placer le serveur de certificats ? dans la DMZ de mon
organisation ? et les noms de domaines différents ne posent t'ils pas de
problèmes pour les certificats ?
ça me paraît pas trop mal, qu'en penses tu?
Cordialement,
Merci en tout cas Jonathan pour ces pistes :)
