Orateur
Valérie Givaudan
(LAL)
Description
Présentation de la nouvelle plateforme d'annuaire mise en place à l'IRFU. Cette solution permet de répondre aux problématiques de l’ancienne infrastructure basée sur NIS : - Centralisation des données (un seul "cluster" d'annauire). - Sécurisation des données (SSL/TLS). - Mot de passe unique (Windows/Linux). - Système redondant (4 serveurs/VMs).
Jusqu’à présent les comptes Unix et Windows étaient gérés respectivement via un annuaire NIS et Active Directory.
Cette double gestion nous imposait un workflow lourd (ouverture du compte sous unix puis ouverture ous Windows/AD) à la création des comptes et tout au long de la vie du compte. En pratique les comptes Unix n’étaient pas gérés correctement.
De plus NIS étant un service obsolète et très mauvais du point de vue de la sécurité nous avons décidé de ne plus avoir qu’un seul système de comptes sous Active Directory.
Pour réaliser cela il a fallu réaliser plusieurs choses :
• Unifier les comptes Windows et Linux (login name, groupes, appartenance aux groupes, …) existants.
• Gérer l’ensemble des informations NIS sous Active directory : les maps pour le montage des espaces NFS et l’ensemble des attributs UNIX (uid, gid, shell, rep. home)
• Migrer l’authentification de l’ensemble des services Linux de NIS vers LDAP/Kerberos d’Active Directory (mail, serveurs interactifs, GLPI, web, svn, Owncloud, …)
• Développer une application web de gestion des comptes qui alimente l’annuaire LDAP d’AD
Le projet a été mené par un ingénieur système Linux (qui a travaillé sur AD comme sur il l’aurait fait sur un annuaire LDAP « classique ») et par un ingénieur système alternant qui a développé l’application web (UTENTOMATIC).
Auteurs principaux
Valérie Givaudan
(LAL)
M.
anthony gautier
(CEA/irfu)
Co-auteurs
M.
Guillaume PHILIPPON
(LAL - CNRS)
M.
Gérard Marchal-Duval
(LAL)
