Author Topic: Comment joindre un autre annuaire LDAP?  (Read 1997 times)

Thidess

  • Zen Apprentice
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Comment joindre un autre annuaire LDAP?
« on: April 16, 2013, 07:45:39 pm »
Bonjour,
J'ai procédé à  l'installation de ZENTYAL Community pour avoir la cohabitation Open LDAP –Active Directory. La cohabitation est obligatoire le temps de la migration de toute l'infrastructure.
Le connecteur Active Directory est fonctionnel mais j'aimerais savoir s'il est possible de connecter un autre annuaire LDAP que celui de ZENTYAL? Je ne vois pas comment joindre un autre annuaire LDAP.
Merci par avance de vos réponses

christian

  • Guest
Re: Comment joindre un autre annuaire LDAP?
« Reply #1 on: April 16, 2013, 09:06:25 pm »
je ne vois pas ce que tu veux dire par "joindre un autre annuaire", ni "connecter" même si j'ai une petite idée  ;)

Peux-tu donc préciser ta pensée ?

Thidess

  • Zen Apprentice
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Re: Comment joindre un autre annuaire LDAP?
« Reply #2 on: April 16, 2013, 10:04:00 pm »
J'ai besoin de synchroniser un annuaire LDAP (de très loin incompatible avec Active Directory) avec Active Directory 2008 R2 pour faire une consolidation puis une migration. J'ai pensé à ZENTYAL comme "passerelle" entre ces 2 types d'annuaires. Ayant suivi le tuto d'installation, j'ai bien ma synchronisation avec Active Directory mais je cherche un solution pour que le LDAP de Zentyal puisse synchroniser aussi avec un autre annuaire LDAP. J'ai vu un post sur l'installation d'agent d'authentification mais je trouve bloqué.
Heu... C'est assez clair... ou pas??? http://forum.zentyal.org/Smileys/default/embarrassed.gif

christian

  • Guest
Re: Comment joindre un autre annuaire LDAP?
« Reply #3 on: April 16, 2013, 10:08:30 pm »
Oui c'est maintenant plus clair mais ça ne marche pas.
D'une part à cause de Zentyal qui ne supporte pas ce type de montage mais également, indépendamment de Zentyal, parce que ce type de synchro "triangulaire" ne marche pas comme ça. Enfin, ce n'est pas si simple et il faut dans tous les cas soit décrire des règle de mapping soit avoir des clés de référence dans chaque repository avec parfois (souvent) la nécessité d'écrire un script qui lit les sources et construit l'annuaire cible en s'appuyant sur les règles citées plus haut.

Thidess

  • Zen Apprentice
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Re: Comment joindre un autre annuaire LDAP?
« Reply #4 on: April 16, 2013, 10:14:02 pm »
Existe t il un outil qui aiderait un peu à la conception ce genre de script?

christian

  • Guest
Re: Comment joindre un autre annuaire LDAP?
« Reply #5 on: April 16, 2013, 10:50:24 pm »
ça fait quelques temps déjà que je n'ai pas retravaillé aux problématiques de meta-annuaire donc je ne suis plus très au fait de ce qui est encore disponible mais à l'époque ou je regardais ça de très près, il n'y avait rien de très efficace.

S'il s'agit de faire un rapprochement 1 pour 1 entre AD et un autre annuaire LDAP, est-il possible de définir une clé de mapping ?

Thidess

  • Zen Apprentice
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Re: Comment joindre un autre annuaire LDAP?
« Reply #6 on: April 17, 2013, 11:00:26 am »
Une solution de contournement serait l'export de mes users LDAP et les Importer dans le LDAP Zentyal. Je fais authentifier les users sur Zentyal et non plus sur l'ex LDAP. La création et la synchro des comptes peut se faire soit sur Zentyal, soit sur AD. Est ce c'est fiable comme process? Que faut il exporter/Importer   sans que le schéma soit impacté?
Merci de vos réponses qui me font bien avancer...    8)

christian

  • Guest
Re: Comment joindre un autre annuaire LDAP?
« Reply #7 on: April 17, 2013, 11:24:11 am »
Je vais essayer de répondre simplement mais ça ne va pas être court  ;)  (je n'ai pas encore atteint le niveau qui m'autorise des réponses synthétiques et exhaustives  :-[)

Il faut considérer plusieurs perspectives:
- quel va être l'usage de Zentyal en terme de services hébergés et proposés par cette machine
- quel est le schéma actuel sur ton serveur LDAP. Cette question sous-tend: quelles applications utilisent cet annuaire et de quel schéma spécifique ont-elle éventuellement besoin ?
- comment tout cela cohabite t-il avec AD?

Étendre le schéma LDAP de Zentyal n'est pas une bonne idée, même si c'est très tentant. La raison principale est que, malheureusement, Zentyal n'a pas conçu son serveur comme offrant un service d'annuaire. C'est plutôt fait "à la mode Microsoft", à savoir que l'annuaire LDAP est avant tout un composant interne pour les services Zenryal uniquement.
Ceci dit, il est possible de l'utiliser mais le changement ou la customisation de schéma sont dès choses compliquées dans cet environnement, d'autant que le-dit schéma rsique de changer encore dans les version à venir.
Ce n'est bien sur pas techniquement infaisable mais je ne suis pas sur que ça vaille le coup (ni le coût).

Si donc tu as un besoin de schéma spécifique... je suis partisan, à titre personnel, de laisser tomber (tu notes bien que je prends toutes les précautions oratoires  ;D n'hésite cependant pas à demander son avis directement à Zentyal, je ne suis qu'un utilisateur parmi d’autres).

Ce point étant fait, l'export/import:
1 - s'agit-il d'une opération "one shot" ou d'une volonté de synchro sur le long terme ?
2 - quels sont les services sur Zentyal

il est important de bien comprendre ce qu'il y a coté Zentyal car le contenu de LDAP va en partie dépendre de ces services.
D'un autre coté, et comme dans tous les solution de type IAM, il faut déterminer quel est le process et qui est "propriétaire" des comptes. Pour le formuler autrement, est-ce que à terme, les entrées sont crées dans Zentyal puis poussées à l'extérieur ou bien les entrées sont-elles gérées à l'extérieur puis synchronisées dans Zentyal.

Si ce process n'est pas clairement défini, il faut s'attendre à d'inévitables conflits soit au niveau de UID soit encore au niveau des gUID.

Autre point relatif à la création de compte dans Zentyal: si tu utilises Zentyal 3.0, il y a 2 serveurs LDAP internes. Ce n'est donc pas une bonne idée de créer les comptes dans LDAP en faisant par exemple, un simple import LDIF.
Il y a, dans les librairies, des scripts de création d'utilisateur 'bulk mode' qui peuvent convenir dans cet objectif.