Ajouter à la (aux) collection (s) Ajouter à enregistré
  1. Ingénierie
  2. Informatique
  3. Base de données

Chapitre 1 : Qu`est ce qu`un service d`annuaire

publicité 
Chapitre 1 : Qu’est ce qu’un service d’annuaire ?
1. UN ANNUAIRE : Définition ................................................................................................. 1
1.1 UN ANNUAIRE : à quoi ça sert ? ................................................................................... 2
1.2 ANNUAIRE : Spécificités ............................................................................................... 2
1.2.1 Gestion des habilitations ........................................................................................... 4
1.2.3 LA FEDERATION DES IDENTITES ..................................................................... 6
1.2.4 Pourquoi le standard LDAP ?.................................................................................... 8
2. Historique des Annuaires ....................................................................................................... 9
2.1 Les annuaires DNS et WHOIS ......................................................................................... 9
2.2 La normalisation X500 ................................................................................................... 10
2.3 Les annuaires propriétaires ............................................................................................. 11
1. UN ANNUAIRE : Définition
L’annuaire est une sorte de base de données permettant de retrouver facilement des personnes ou
des ressources (imprimantes, ordinateurs, applications…). Mais ce n’est pas simplement une base de
données ; un annuaire offre aussi des services de sécurité, de recherche, de classement et
d’organisation des données.
Un annuaire répondant au protocole LDAP est une version électronique d’une annuaire off line
comme Les Pages Jaunes, un carnet d’adresses papiers etc… Ces annuaires permettent de localiser
des personnes ou des entreprises.
Le but d’un annuaire en ligne est aussi de localiser des personnes et des ressources.
Evidemment un annuaire électronique n’a que des avantages par rapport à un annuaire papier. Le
premier pourra facilement être mis à jour et offrira ainsi des données actualisées en quasi temps réels.
De plus un annuaire en ligne peut inviter le propriétaire de ses informations à mettre à jour lui-même
les données qui le concernent. Dégageant ainsi la responsabilité d’un Administrateur et garantissant
aussi l’absence d’erreur. (même s’il reste évidemment le risque d’erreur personnelle !)
Le fait de disposer d’un annuaire toujours à jour permet à une entreprise de se baser sur celui-ci pour
permettre certaines actions à tel ou tel salarié. Par exemple, en fonction des données de l’annuaire on
pourra ou non donner accès à Internet à un salarié…
L’entreprise peut également se baser sur son annuaire pour vérifier si le collaborateur est un salarié
ou un prestataire extérieure ; du coup pourra s’appuyer sur cette information pour donner accès ou
non à l’Intranet…
Etc…
Un annuaire est flexible et on peut y ajouter facilement de nouveaux type de données (attributs). On
pourra ainsi facilement ajouter une nouvelle information comme un numéro de pager, un numéro de
portable… Information qui n’était pas nécessaire il y a 15 ans !
Grâce à un annuaire en ligne on peut organiser et réorganiser le classement des données dans
l’annuaire. Plutôt que de classer des personnes par ordre alphabétique, on peut les organiser par
filiales, par immeubles, par services etc…
Il suffira de modifier la vue proposée à l’utilisateur sans modifier l’organisation des données dans
l’annuaire LDAP lui-même…
Un annuaire en ligne offre un bon niveau de sécurité puisque il est possible de contrôler les
informations affichées en fonction de différents critères ; par exemple l’identité de l’utilisateur ou sa
localisation géographique, son statut… Par exemple on pourra facilement empêcher un utilisateur
extérieur à une entreprise de consulter toutes les données des personnes qu’il recherche ; on ne
communiquera pas le numéro de portable par exemple…
Evidemment, il est plus difficile de copier un annuaire en ligne qu’un annuaire papier.
Avec un annuaire papier, soit on apparaît, soit on apparaît pas (liste rouge par exemple). Avec
l’annuaire en ligne on peut décider d’apparaître sous certaines conditions, en fonction du profil de
l’utilisateur qui interroge l’annuaire. On peut aussi décider de ne faire apparaître que certaines
données en fonction de l’utilisateur.
Un annuaire peut stocker le profil de chaque utilisateur et grâce à une donnée (attribut) dédiée on
pourra dire si tel ou tel utilisateur (dont les données sont stockées dans l’annuaire) peut ou ne peut
pas administrer l’annuaire ; est ou n’est pas un cadre de l’entreprise etc…
1.1 UN ANNUAIRE : à quoi ça sert ?
Comme nous l’avons déjà dit, les annuaires électroniques servent à localiser n’importe quoi et on
pourra y trouver tout confondu , des personnes, des groupes de personnes, des salles de réunion,
des immeubles, des ordinateurs, des sites webs (exemple : yahoo, google), des applications
(exemple : la base de registre) etc… Toute chose dont un utilisateur peut vouloir consulter de
l’information.
Un annuaire doit disposer d’un bon système de navigation et de recherche multicritère.
On doit pouvoir par exemple recherche des personnes par leur nom et leur prénom ; mais aussi par
leur site de présence dans l’entreprise. Les autres ressources dont les informations sont stockées
dans l’annuaire doivent aussi pouvoir être retrouvées à l’aide de formulaires de recherches adéquats.
Un annuaire peut proposer un système de navigation hiérarchique. Par exemple, on pourra naviguer
dans une arborescence de l’entreprise ; au sommet nous aurons le nom de l’entreprise,
immédiatement en dessous ses différents sites (ou immeubles) et sous les différents sites, les
différentes personnes…
En résumé :
Un annuaire est un référentiel partagé de personnes et de ressources, dont la vocation est de les
localiser à l’aide de fonctions élaborées de navigation et de recherche et d’offrir des mécanismes de
sécurité pour protéger des informations et y accéder.
Toute entreprise s’appuie aujourd’hui sur un annuaire électronique qui fait désormais partie intégrante
du système informatique de celle-ci.
1.2 ANNUAIRE : Spécificités
On peut dire qu’un annuaire est une base de données (puisqu’il stocke des données) mais par contre
une base de données n’est pas forcément un annuaire.
Un annuaire est plus sollicité en lecture qu’en écriture. Son rôle étant de diffuser de l’information. Les
écritures auront lieu lors de mise à jour des données par des administrateurs. Mais il est évident que
l’annuaire passera plus de temps à être consulté que modifié.
Un annuaire n’est pas fait pour gérer des transactions complexes. La mise à jour de données implique
la modification de quelques informations sur une entrée. Contrairement à une base de données un
annuaire n’est pas fait pour gérer des transactions impliquant la gestion d’intégrité entre plusieurs
tables. Une base de données peut recevoir des transactions critiquent qui doivent impérativement
toutes réussirent en même temps pour qu’il n’y ait pas d’incohérence. Pas l’annuaire !
Un annuaire doit être capable de répondre de manière performante aux interrogations même si le
réseau est lent. Un annuaire où qu’il soit situé à travers le monde doit être capable de répondre à
n’importe quel utilisateur de n’importe quel pays.
C’est pour cela que les annuaires doivent répondre à un protocole de communication performant et
peut gourmand en ressources. Les bases de données sont elles conçues pour répondre à des
requêtes lourdes et pour être interroger en interne.
Pour qu’un annuaire puisse être interrogé par n’importe qui de n’importe où , il faut donc disposer d’un
moyen de communications universel. Il faut avoir un standard ouvert, facile à utiliser. Un standard qui
concerne aussi bien la façon dont on interroge l’annuaire que la façon de représenter les données qui
s’y trouvent. Pour cela il faut disposer d’une sémantique partagée des champs (attributs). Par exemple
l’attribut givenName doit être reconnu par tous de la même manière et doit être codé de façon
normalisée lors des échanges.
Le protocole LDAP est le résultat d’un accord entre les principaux intervenants du monde de l’Internet
et LDAP est un standard comme l’est http ou SMTP.
Les annuaires peuvent communiquer entre eux. Il serait difficile d’avoir un seul et même annuaire pour
toute la planète mais à l’époque de la mondialisation, il serait quand même judicieux de pouvoir
interroger tous les annuaires de la planète. L’idée et de faire en sorte que les annuaires puissent se
transmettre des requêtes. Ainsi si l’annuaire A n’a pu répondre à une requête, il transmet celle-ci à
l’annuaire B qui répond ou s’il ne peut répondre, la transmet à l’annuaire C etc… Les annuaires sont
ainsi interconnectés.
Comme déjà dit, un annuaire gère les données de manière hiérarchique. Il est judicieux de stocker les
personnes d’une entreprise par services.
Par exemple :
Université
Pasquale Paoli
DEUG A
Eric
Agostini
DESS
Sylvie
Durand
Pierre
Agostini
Une base de données traditionnelles stockent les données et les lie par des relations entre tables. On
aurait par exemple une table contenant les sections et une table contenant des élèves. La table
contenant les élèves aurait un champ indexant le service dans lequel se trouve l’élève.
1
2
3
Eric
1
Agostini
Sylvie
1
Durand
Pierre
2
Agostini
1
2
DEUG A
DESS
Les annuaires offrent un espace de noms homogènes. Ainsi afin de localiser rapidement un élément
qui est décrit dans un annuaire, il est important de pouvoir nommer celui-ci de façon homogène quelle
que soit sa nature. Nommer une entrée de l’annuaire désignant une personne ou une imprimante doit
se faire de la même façon !
Avec une base de données les tables sont liées par des index et rien n’oblige que les imprimantes et
les personnes utilisent le même type d’index. Du coup on ne pourra pas localiser de la même manière
une personne et une imprimante.
1.2.1 Gestion des habilitations
Un utilisateur d’un annuaire n’aura pas forcément accès à toutes les informations. Ainsi un utilisateur
extérieur n’aura peut-être pas accès aux données de certaines personnes qui veulent être en liste
rouge. Par contre un administrateur de l’annuaire devra être capable de voir toutes les données y
compris les personnes en liste rouge. L’annuaire doit donc définir des habilitations des utilisateurs.
(L’Administrateur de l’annuaire figure lui-même dans l’annuaire).
Ces habilitations concernent toute ressource présente dans l’annuaire ! Ainsi un serveur disposera
également de droits. Et également un utilisateur de l’annuaire aura des droits ou non pour utiliser telle
ou telle imprimante référencée dans l’annuaire !
Avec une base de données traditionnelles les administrateurs de la base sont définis au niveau du
système et les administrateurs n’auront rien à voir avec les données (et donc les utilisateurs)
contenues dans les tables de la base.
Les annuaires s’appuient sur des bases de données.
Il faut bien comprendre que LDAP est une interface d’accès aux annuaires et qu’un annuaire est
quant à lui un système de stockage capable de répondre au protocole LDAP.
Du coup rien n’empêche qu’un annuaire soit une base de données relationnelles.
Aujourd’hui ORACLE propose des services LDAP qui s’appuient sur des bases de données
relationnelles ORACLE.
Mais les nouveaux produits qui sont les plus performants sont des produits à part entière avec un
système de fonctionnement qui n’est pas basé sur des bases de données relationnelles mais sur leur
propre moteur afin d’être le plus performant pour le protocole LDAP.
Annuaire
Sun Java System Directory
Server
Système de stockage des
données
S’appuie sur une base de
données issue d’un système de
gestion de fichiers séquentiel
indexé.
Novell eDirectory
S’appuie sur un moteur de base
de données conçu par Novell.
Oracle 8i et plus évoluées.
La base de données ORACLE
propose désormais une
interface LDAP.
En résumé :
Produit annuaire dédié ?
Oui. Sun Java System Directory
Server a été spécialement
conçu par Sun et est optimisé
pour une organisation
hiérarchique des données.
Oui. Même s’il est issu de
Novell Netware, il fonctionne
aujourd’hui de manière
autonome.
Non. Oracle reste optimisée
pour être utilisée comme une
base de données relationnelle.
Un annuaire est donc un progiciel stockant des données dans une base de données et proposant des
services spécifiques pour répondre aux besoins de localisation de ressources, de navigation, de
recherche, de gestion des habilitations et d’intéropérabilité.
Les applications font appel aux services d’annuaires à travers une interface normalisée qui est LDAP.
Les services sont offerts par un composant spécifique qui peut s’appuyer sur une base de données
(qui peut être dédiée ou classique c'est-à-dire relationnelle) et qui met à disposition des fonctions de
recherche, de localisation et de gestion du contenu.
1.2.2 La gestion des identités
Identité est employé au sens de l’identité nécessaire au fonctionnement d’applications informatiques
auxquelles accède un individu (employé, client…). L’identité d’une personne change en fonction de
son rôle.
Pour mettre en place la gestion des identités il faut constituer un référentiel qui va contenir les
informations partagées pour différentes applications. Ces informations doivent permettre de décrire les
individus et doivent contenir un ou plusieurs identifiants qui serviront d’index pour y accéder.
Un référentiel de personnes sera généralement complété par un référentiel des organisations et on va
ainsi pouvoir rattacher des personnes à ces organisations.
Dans une entreprise les données peuvent être éparpillées dans différents systèmes de données.
L’annuaire devra s’appuyer sur différentes sources de données comme par exemple la base des
DRH… Et on pourra utiliser des outils comme les meta-annuaires qui permettent de recopier les
données de différentes sources vers un annuaire LDAP centralisateur de l’information.
Le référentiel doit être accompagné d’outils qui vont permettre aux utilisateur de consulter et mettre à
jour eux-mêmes les données les concernant.
Ce type d’outil est généralement capable de faire en sorte qu’un utilisateur puisse modifier certaines
de ses informations mais pas toutes. Par exemple, un utilisateur pourra modifier son mot de passe
mais ne pourra pas directement modifier l’organisation à laquelle il est rattaché !
Le référentiel permet de faire de l’identification et de l’authentification.
Ainsi les utilisateurs vont disposer d’un identifiant unique et d’un mot de passe stockés dans
l’annuaire. (On pourra également inclure dans l’annuaire des certificats électronique)
Un utilisateur qui s’identifie pourra ainsi communiquer certaines informations à l’application qu’il
souhaite utiliser et l’application sera capable de vérifier si l’utilisateur dispose de droits suffisants (en
fonction par exemple du service auquel il appartient)
Le référentiel doit être capable de stocker les mots de passe des utilisateurs. Les applications
aujourd’hui sont capables de s’appuyer sur un annuaire pour vérifier que l’utilisateur est correctement
authentifié. Du coup le référentiel permet à un utilisateur d’avoir accès à énormément d’applications
avec un seul et même mot de passe ; mot de passe qu’il est capable d’aller modifier quand il le veut
(en fonction des règles de l’entreprise). Ce qui allège la tâche des Administrateurs.
Chaque fois qu’une personne arrive dans une entreprise il faut activer des comptes de messageries,
d’utilisateur de serveur de fichiers etc…
En se basant sur le référentiel et en mettant en place des programmes, outils ou scripts, il sera
possible d’automatiser les processus de création, modification ou suppressions des comptes
(messageries, serveur de fichiers etc…)
Diminuant encore une fois le travail des administrateurs…
Grâce à la gestion des identités on doit pouvoir savoir si un utilisateur peut accéder à telle ou telle
application au moment même ou un utilisateur demande cet accès à l’application.
Un annuaire LDAP permet de gérer les mots de passe grâce à un stockage crypté des mots de passe,
une date d’expiration de celui-ci et conservation des X précédents mot de passe.
Un annuaire LDAP dispose d’un service d’identification et d’authentification à travers un standard
normalisé et ouvert.
1.2.3 LA FEDERATION DES IDENTITES
L’accès à une application implique donc qu’un utilisateur (qui peut-être aussi un administrateur)
communiquent ses informations d’identité et que ces informations soient stockées et gérées dans un
référentiel sécurisé.
Les utilisateurs peuvent créer des identités différentes en fonction du type de service auxquels ils
accèdent : Pages Blanches, Yahoo, Intranet de l’Entreprise etc…
Et les utilisateurs peuvent aussi fournir des informations différentes en fonction des services utilisées
(déclaration d’impôts, fiche d’identité pour l’entreprise etc…)
Les entreprises qui fournissent des services à des utilisateurs travaillent souvent avec des partenaires
à qui elles veulent pouvoir fournir des informations nécessaires sur leurs utilisateurs. Par exemple une
boutique en ligne, voudra peut-être transmettre l’adresse d’un client à un transporteur partenaire.
Du coup les informations d’identités doivent être partagées tout en étant sécurisées.
Le but des entreprises et des fournisseurs de services en général est donc d’inclure un maximum
d’utilisateurs afin des les mener jusqu’à la bonne information. Le problème des identités multiples se
pose. Nous devons être capable de reconnaître un utilisateur quel que soit son identité et nous
devons être capable de le laisser libre de les gérer et de disposer de tel ou tel profil !
De plus nous devons être capable de partager les informations avec d’autres entreprises tout en
respectant la confidentialité des données de l’utilisateur. Et enfin, nous devons être capable de gérer
des règles d’habilitation multiples puisqu’elles ne seront pas forcément identiques d’une entreprise à
l’autre !
Centralisation et Fédération
Ce sont 2 approches possibles.
La centralisation : toutes les données et services d’identités sont stockés dans un référentiel unique et
partagé.
La fédération : relie les différentes infrastructures de gestion des identités entre elles dans un
environnement distribué.
Le problème de la centralisation des données et qu’il faut disposer d’un système unique capable de
répondre à des milliers de requêtes. Un système unique qui sera partagé par des partenaires de
l’entreprise (fournisseurs, transporteurs …) qui devront disposer d’un modèle de données identiques.
Et si le système dysfonctionne, c’est l’ensemble des clients (utilisateurs, applications…) qui s’appuient
sur le référentiel centralisé qui ne pourront plus fonctionner.
La fédération ne pose pas ce problème puisque nous sommes dans une configuration de systèmes de
gestion des identités. Chaque système gère un sous ensemble des données ou des services et
possède des interfaces d’échanges standards et ouverts.
Exemple concret :
Une boutique de e-commerce vend un produit à utilisateur qui est donc enregistré dans son
référentiel.
Le boutique de e-commerce transmet à La Poste le nom et l’adresse de l’utilisateur afin d’obtenir un
identifiant de colis qui lui est attribué.
La boutique de e-commerce communique à l’utilisateur le numéro du colis qui lui a été attribué et qui
pourra lui permettre de suivre l’état de distribution de son colis sur le site de La Poste.
Avantages :
- l’utilisateur n’a pas à refournir des informations d’identités sur le site de la Poste
-
La Poste n’a pas à vérifier l’identité de l’utilisateur et s’appuie sur les données du site
marchand qui l’a fait pour elle !
Comment fonctionne la fédération des identités ?
Imaginons M. Dupond qui appartient à l’entité INFORMATIQUE de son entreprise.
M. Dupond veut se connecter à l’intranet de l’entité DRH de son entreprise.
Evidemment M. Dupond n’est pas référencé dans l’annuaire DRH qui lui refuse donc en théorie
l’accès.
Mais si les entités INFORMATIQUE et DRH ont des accords de confiance réciproque, l’annuaire DRH
pourra demandé à l’annuaire de l’entité INFORMATIQUE d’identifier et d’authentifier l’utilisateur M.
DUPOND.
-
-
-
-
En fait M. Dupond va s’identifier (identifiant + mot de passe) normalement sur son portail ou
son poste de travail,
L’annuaire de l’entité INFORMATIQUE qui stocke les informations ID + Mot de passe
authentifie M. DUPONT au sein de l’entité INFORMATIQUE (si ID + mot de passe corrects)
M. Dupond demande à l’entité INFORMATIQUE un accès à l’intranet DRH où il ne peut pas
s’identifier directement puisqu’il n’est pas présent dans l’annuaire de DRH.
Les entités INFORMATIQUE et DRH ayant des accords établis, l’entité INFORMATIQUE va
préparer un ticket (suite d’informations cryptées) indiquant que M. Dupond est bien authentifié
au sein de l’annuaire INFORMATIQUE et qu’il a accès aux informations de l’entité DRH.
L’entité INFORMATIQUE va alors renvoyer l’ensemble de ces informations d’authentification
et le nom de ressource demandée à l’entité DRH. (généralement les informations sont
passées par l’URL)
L’entité DRH extrait les informations reçues et vérifie qu’elles arrivent bien de l’entité
INFORMATIQUE en vérifiant la signature numérique du ticket.
DRH ne vérifie pas l’identité de l’utilisateur et fait confiance à l’entité INFORMATIQUE qui a
déjà identifié et authentifié M. Dupond. Néanmoins DRH va s’appuyer sur une entrée de son
annuaire LDAP et va allouer une entrée à M. Dupond en s’appuyant sur des attributs
communs. Par exemple la langue ou le poste (directeur, employé…) qui influeront sur la
consultation des données de l’intranet DRH…
L’entité DRH va ensuite autoriser ou non l’accès à la ressource demandée en contrôlant si
l’entrée de l’annuaire LDAP DRH alloué à M. Dupond a droit d’accès à cette ressource de
DRH.
M. Dupond aura alors accès à la ressource demandée et ce sans avoir eu besoin de
s’identifier une seconde fois.
Les technologies et les standards qui permettent de mettre en place la fédération des identités :
- SAML
Security Assertions Markup Language (SAML) est un standard basé sur XML . Il a été mis au
point par l’Organization for the Advancement of Structured Information Standards (OASIS).
SAML permet de normaliser des échanges de 3 types :
- Assertions relatives à l’authentification : elles permettent d’affirmer qu’un utilisateur est bien
authentifié et fournissent des informations concernant son identité.
- Assertions relatives aux attributs de l’utilisateur : elles échanges des informations sur
l’utilisateur dans un cadre sécurisé.
- Assertions relatives aux décisions d’autorisations : elles précisent les droits d’un utilisateur
sur des ressources.
Ces 3 types d’assertions sont émis par des autorités dites « autorités SAML » comme les
autorités de certification dans le cas des PKI.
-
Liberty Alliance
C’est un consortium de 170 sociétés (American Express, AOL, Nokia, France Telecom, NTT
DoCoMo, Vodafone, Sun, Novell, la Caisse des Dépôts, Bull…). Liberty Alliance a pour
objectif de définir un ensemble de standards dédiés à la gestion des identités et couvrant des
services similaires à ceux de Passport de Microsoft. Liberty Alliance s’appuie sur SAML et
SOAP.
-
IBM et Microsoft se sont associés pour définir un ensemble de standards relatifs à la
fédération des identités et des services Web. Le premier est WS-Security, dédié à la sécurité
de services Web basés sur SOAP. La standard WS-Federation est similaire à SAML et
permet de fédérer des identités, des attributs et des authentifications entre différents Web
Services.
Enjeux et faisabilité de la gestion des identités et des annuaires.
M. Dupond est embauché par une très grosse société :
- il est référencé dans le système de paie
- il est référencé dans le système administratif gestion des bureaux (attribution d’un fauteuil, d’un
bureau)
- il est référencé dans le système téléphonique (attribution d’un numéro de téléphone et mise à
disposition d’un téléphone)
- il est référencé dans le système de sécurité (attribution d’un badge pour entrer et sortir)
- il est référencé dans le système de messagerie
- il est référencé dans l’annuaire de la société…
….
Il a été établi par des grands cabinets d’études que plusieurs grandes entreprises disposaient de plus
de cent référentiels (annuaires). Imaginez le travail des administrateurs et la multitude des saisies
quand une modification se produit sur un utilisateur !
1.2.4 Pourquoi le standard LDAP ?
Le rôle du standard LDAP :
Rappels :
-
un annuaire doit permettre de stocker des données
un annuaire doit offrir un classement et une vue hiérarchique des données
un annuaire doit permettre de rechercher des données et de naviguer dans celles-ci
un annuaire est utilisé plus fréquemment en lecture qu’en écriture
un annuaire doit pouvoir être sollicité à distance à l’aide d’une interface standard et
performante
un annuaire doit pouvoir communiquer avec un autre annuaire
un annuaire doit pouvoir gérer des habilitation sur les données qu’il contient
un annuaire doit offrir une structure flexible et évolutive.
Pour les points 1 et 4 un standard n’était pas nécessaire ; par contre pour le reste il était nécessaire
de définir ce qu’est un classement hiérarchique et de donner la possibilité à chacun d’organiser le
classement qui lui va le mieux. Egalement il était nécessaire de définir un langage d’interrogation pour
effectuer les recherches et lire les résultats. Il fallait également définir un protocole réseau de
communication et le protocole applicatif pour accéder aux services de l’annuaire. Il fallait définir un
protocole d’échange entre les annuaires et enfin il fallait définir comment les habilitations sont
décrites.
C’est tout cela qui a fait naître le standard LDAP. Né des technologies Internet et X500, normalisé par
l’Internet Engineering Task Force (IETF).
LDAP est un standard pour communiquer avec un annuaire au même titre que SMTP pour la
messagerie.
Il faut bien comprendre que LDAP ne concerne que l’interface avec un annuaire. Peu importe la façon
dont il fonctionne et dont y sont stockées les données.
L’annuaire peut donc s’appuyer sur base de données relationnelles, une messagerie électronique cela
n’a aucune importance.
LDAP est aujourd’hui un vrai standard adopté par tous les éditeurs ; il est inévitable au même titre que
http.
2. Historique des Annuaires
Les annuaires sont apparus naturellement avec l’informatique en réseau à partir du moment où il a
fallu identifier des utilisateurs pour leur donner accès ou non à des ressources spécifiques.
Parmi les premiers annuaires ont peut citer la messagerie PROFS (IBM) sous MVS et NIS sous UNIX.
Internet a fait naître des annuaires comme DNS (Domain Name System) et WHOIS qui ont des
vocations mondiales.
2.1 Les annuaires DNS et WHOIS
Un annuaire DNS permet d’associer l’adresse IP à un nom comme monsite.com.
Un annuaire DNS est géré par un serveur DNS qui sait communiquer avec les autres serveurs DNS.
Ainsi quand on tape www.monsite.com différents serveurs DNS peuvent s’échanger la requête jusqu’à
trouver la bonne adresse IP.
Les noms gérés par un serveur DNS sont organisés de manière hiérarchique.
root
com
Microsoft.com
www.microsoft.c
om
ftp.microsoft.com
fr
gouv.fr
…
Wanadoo.fr
Premierministre.gouv.fr
www.premierministre.gouv.fr
Sans serveur DNS il faudrait entrer les adresses IP des sites auxquels nous voulons accéder !
Un serveur DNS est un véritable annuaire est ont toutes les caractéristiques dont nous avons parlé :
- Ils sont beaucoup plus sollicités en lecture.
- Les données sont classées de manière hiérarchique.
-
Ils sont sollicités à distance et sont performants.
Ils doivent communiquer entre eux.
Un serveur DNS n’est conçu que pour localiser des machines par rapport à des adresses IP. Ils sont
pas là pour localiser des personnes.`
Les annuaires WHOIS permettent d’enregistrer des informations relatives à des personnes
responsables de tel nom de domaine ou telle adresse IP.
2.2 La normalisation X500
La norme X500 a pour objectif de normaliser les annuaires électroniques quel que soit leur domaine
d’application. C’est en 1988 que la première version de X500 voit le jour. En 1993 une nouvelle
version a été mise au point.
L’objectif était de mettre à disposition des acteurs des télécommunications un standard indépendant
de tout constructeur pouvant faire communiquer et cohabiter les annuaires à l’échelle mondiale afin de
constituer un annuaire de type Pages Blanches ou Pages Jaunes unique. Chaque pays met à jour son
propre annuaire. Chaque pays peut interroger les autres annuaires.
X500 établi que les annuaires doivent pouvoir s’interconnecter, peuvent être extensible, réplicable sur
plusieurs serveurs.
La norme X500 comprend plusieurs standards dont :
X500 Vue d'ensemble des concepts, des modèles et des services
X501 Modèles associés aux annuaires X500.
X509 Procédures d'identification et d'authentification.
X511 Définition des services (recherche, création, suppression)
X518 Description du fonctionnement distribué.
X519 Protocoles de communication entre serveurs, et entre serveurs et clients clients/serveurs.
X520 Attributs des annuaires X500 prédéfinis
X521 Classes d'objets des annuaires X500 prédéfinies.
X525 Description de la réplication sur les serveurs
Les standards X519 et X520 définissent un langage commun minimum pour l'échange d'informations.
Ils seront repris pour partie dans la norme LDAP.
Avec la norme X500 sont arrivés plusieurs termes techniques :
Directory User Agent (DUA)
Poste ou logiciel client accédant à un annuaire.
Directory Access Protocol (DAP)
Protocole de communication entre un client et un serveur annuaire.
Directory System Agent (DSA)
Un serveur annuaire. Ce terme est encore utilisé dans la norme LDAP.
Directory System Protocol (DSP)
Protocole de communication entre deux serveurs. Proche du DAP.
Directory Information ShadowingProtocol
Protocole pour la réplication entre DSA maître et DSA miroir.
La réalité de la norme X500
La mise en place de la norme X500 apparaît comme un modèle de réussite dans la création d'un
standard réalisé par des acteurs divers. En effet le critère d'indépendance vis à vis des éditeurs et le
critère d'interopérabilité ont été respectés.
Mais rapidement, cette norme a été jugée trop riche et trop complexe à mettre en oeuvre. Des
problèmes de performance sont constatés à cause de la modélisation OSI des protocoles réseau. Il
apparaît que la norme a été décidée et imposée sans tenir compte de la réalité et des besoins du
terrain : le déploiement des annuaires X500 a été réalisé selon une démarche inverse au déploiement
réussi d'Internet. Aussi, seuls les grands organismes publics ont déployé de tels annuaires.
La norme LDAP s'est nourrie de tous ces constats afin de ne pas connaître le même sors.
2.3 Les annuaires propriétaires
Les entreprises ont eu le temps de mettre en place des solutions d’annuaires propriétaires. LDAP
n’était pas encore là et X500 s’était donc montré défaillant !
Les systèmes d’exploitations comme Windows ou Unix utilisent un système d’annuaires propriétaires
pour identifier et authentifier les utilisateurs.
Windows utilisait des systèmes bien à lui jusqu’à l’arrivée d’Active Directory qui a adopté le standard
LDAP mais conserve quand même des spécificités propriétaires à Microsoft.
Ces annuaires des systèmes d’exploitations quels qu’ils soient sont particulièrement intéressant
puisqu’ils sont les premiers à être utilisés lorsqu’un utilisateur utilise une machine pour accéder à un
réseau et ses ressources.
Novell Directory Services (NDS) est un annuaire particulièrement intéressant car totalement
indépendant du système d’exploitations : il peut fonctionner sous Windows, Unix, Netware. Et il est
capable de partager des ressources de différents serveurs de l’entreprise pouvant fonctionner sur
différents OS. Par exemple, il pourra partager à tous les utilisateurs qu’ils soient sous Windows, Unix
ou Novell , un disque dur qui lui se trouve sous Unix ou autre !
NDS a été conçu pour administrer simplement et de manière centralisée des ressources gérées par
plusieurs serveurs.
Dans les entreprises il existe aussi beaucoup d’annuaires gérés par les applications elles-mêmes !
Des applications qui stockent les informations d’identification et d’authentification des personnes qui
veulent les utiliser. Et qui du coup font se démultiplier des informations d’utilisateurs… Sans parler des
tâches d’administration nécessaires… Lorsqu’un utilisateur quitte l’entreprise il faudra être capable de
retirer les droits application par application !
Des logiciels de synchronisation peuvent exister entre les différents annuaires de ces applications.
Documents connexes
un commerçant - une profession libérale - Commune de Villers-la
un commerçant - une profession libérale - Commune de Villers-la
Tissu économique - Saint-Just
Tissu économique - Saint-Just
annuaire hlm numerique 2017
annuaire hlm numerique 2017
D`autres articles traitant principalement de la transition de la guerre
D`autres articles traitant principalement de la transition de la guerre
Stage en Marketing (Qualification de base de données.)
Stage en Marketing (Qualification de base de données.)
C D O M
C D O M
les annuaires en ligne ce qu`il faut savoir
les annuaires en ligne ce qu`il faut savoir
PRÉFACE
PRÉFACE
Damien ROSPARS
Damien ROSPARS
Téléchargement
publicité