Publicité
+ Répondre à la discussion
Affichage des résultats 1 à 5 sur 5
  1. #1
    Expert Confirmé
    Avatar de pmithrandir
    Homme Profil pro Pierre Bonneau
    Développeur Web
    Inscrit en
    mai 2004
    Messages
    1 628
    Détails du profil
    Informations personnelles :
    Nom : Homme Pierre Bonneau
    Âge : 31
    Localisation : Roumanie

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : Communication - Médias

    Informations forums :
    Inscription : mai 2004
    Messages : 1 628
    Points : 3 371
    Points
    3 371

    Par défaut LDAP sur Active directory complexe

    Bonjour,

    Dans mon entreprise, multinationale, nous avons de multiples AD qui correspondent a peu près a des entités(le plus souvent des pays) différents.

    Dans une logique d’accès international aux applications, le besoin s'est fait sentir de créer un AD global, relié par relation d'approbation aux autres AD.

    Nous avons plusieurs applications web(entre autre) qui utilisait l'accés LDAP pour vérifier les mot de passe utilisateur à la connexion, qui fonctionne très bien dans le cadre d'un seul AD.
    En revanche, dans le cas de l'AD global, nous pouvons uniquement interroger sur l'AD en lui même, mais pas sur les relations d'approbations.

    Bref, pour nombre d'application web, cela nous pose des problème, puisque si une connexion LDAP est le plus souvent standart, ce n'est pas vraiment le cas pour kerberos par exemple. En plus, ca obligerai a ajouter tous les serveurs applicatifs dans les serveurs kerberos, ce qui demanderait énormément de travail.

    L'idée est donc de monter une machine avec un serveur LDAP dessus, qui irait vérifier les login par connexion kerberos sur l'AD global, passant ainsi les relations d'approbations.

    Le soucis, c'est que je ne trouve aucune documentation sur le net pour mettre ce genre de choses en place.
    Les seuls choses que je trouve sont souvent obsolètes, ou le plus souvent, pour une relation dans l'autre sens.

    Est ce que vous avez déjà vu ce genre de problème, et si oui, comment le résoudre.

    Merci,
    Pierre

  2. #2
    Membre chevronné
    Profil pro
    Inscrit en
    août 2008
    Messages
    500
    Détails du profil
    Informations personnelles :
    Localisation : France, Puy de Dôme (Auvergne)

    Informations forums :
    Inscription : août 2008
    Messages : 500
    Points : 699
    Points
    699

    Par défaut

    Je suis désolé de ne pas m'y connaître plus que ça, mais c'est pas l'intérêt d'une forêt ? Mettre des approbations, c'est bien, mais c'est un peu limité, non ?

    D'autre part, je ne sais pas si ça peut convenir, mais il existe un moyen de ldapisé l'AD avec le produit AD-LDS. Et la description, lue en diagonale, ressemble vaguement à ce qui est expliqué dans le post.

  3. #3
    Membre émérite Avatar de messinese
    Homme Profil pro Jean-marie Bourbon
    IT Security Consultant
    Inscrit en
    septembre 2007
    Messages
    429
    Détails du profil
    Informations personnelles :
    Nom : Homme Jean-marie Bourbon
    Âge : 33
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : IT Security Consultant
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : septembre 2007
    Messages : 429
    Points : 859
    Points
    859

    Par défaut

    Citation Envoyé par thierry.chich Voir le message
    Je suis désolé de ne pas m'y connaître plus que ça, mais c'est pas l'intérêt d'une forêt ? Mettre des approbations, c'est bien, mais c'est un peu limité, non ?

    D'autre part, je ne sais pas si ça peut convenir, mais il existe un moyen de ldapisé l'AD avec le produit AD-LDS. Et la description, lue en diagonale, ressemble vaguement à ce qui est expliqué dans le post.
    Bonjour,

    a vrai dire je pensais à la même chose : un AD-LDS permettant de s'authentifier sur les divers domaines.

    As tu fais des recherches dans cette direction?

    D'ailleurs que fait-on dans le topic dédié à Linux la ?

  4. #4
    Futur Membre du Club
    Inscrit en
    septembre 2004
    Messages
    118
    Détails du profil
    Informations forums :
    Inscription : septembre 2004
    Messages : 118
    Points : 15
    Points
    15

    Par défaut

    bonjour,

    je pensais aussi qu'une forêt faisait l'affaire... tu as regardé ?

  5. #5
    Expert Confirmé
    Avatar de pmithrandir
    Homme Profil pro Pierre Bonneau
    Développeur Web
    Inscrit en
    mai 2004
    Messages
    1 628
    Détails du profil
    Informations personnelles :
    Nom : Homme Pierre Bonneau
    Âge : 31
    Localisation : Roumanie

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : Communication - Médias

    Informations forums :
    Inscription : mai 2004
    Messages : 1 628
    Points : 3 371
    Points
    3 371

    Par défaut

    Bonjour

    en fait, une des conditions est de ne pas toucher à la structure des ad. Donc la solution de la foret est exclue.
    Le serveur est sur linux, d ou la rubrique.

    Je regardera ldap lds qd je reprendrait le boulot.

    Merci beaucoup pour vos réponses en tout cas.
    Pierre

Liens sociaux

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •