Discussion :

[pmithrandir]

Bonjour,

Dans mon entreprise, multinationale, nous avons de multiples AD qui correspondent a peu près a des entités(le plus souvent des pays) différents.

Dans une logique d’accès international aux applications, le besoin s'est fait sentir de créer un AD global, relié par relation d'approbation aux autres AD.

Nous avons plusieurs applications web(entre autre) qui utilisait l'accés LDAP pour vérifier les mot de passe utilisateur à la connexion, qui fonctionne très bien dans le cadre d'un seul AD.
En revanche, dans le cas de l'AD global, nous pouvons uniquement interroger sur l'AD en lui même, mais pas sur les relations d'approbations.

Bref, pour nombre d'application web, cela nous pose des problème, puisque si une connexion LDAP est le plus souvent standart, ce n'est pas vraiment le cas pour kerberos par exemple. En plus, ca obligerai a ajouter tous les serveurs applicatifs dans les serveurs kerberos, ce qui demanderait énormément de travail.

L'idée est donc de monter une machine avec un serveur LDAP dessus, qui irait vérifier les login par connexion kerberos sur l'AD global, passant ainsi les relations d'approbations.

Le soucis, c'est que je ne trouve aucune documentation sur le net pour mettre ce genre de choses en place.
Les seuls choses que je trouve sont souvent obsolètes, ou le plus souvent, pour une relation dans l'autre sens.

Est ce que vous avez déjà vu ce genre de problème, et si oui, comment le résoudre.

Merci,
Pierre

[thierry.chich]

Je suis désolé de ne pas m'y connaître plus que ça, mais c'est pas l'intérêt d'une forêt ? Mettre des approbations, c'est bien, mais c'est un peu limité, non ?

D'autre part, je ne sais pas si ça peut convenir, mais il existe un moyen de ldapisé l'AD avec le produit AD-LDS. Et la description, lue en diagonale, ressemble vaguement à ce qui est expliqué dans le post.

[messinese]

Je suis désolé de ne pas m'y connaître plus que ça, mais c'est pas l'intérêt d'une forêt ? Mettre des approbations, c'est bien, mais c'est un peu limité, non ?

D'autre part, je ne sais pas si ça peut convenir, mais il existe un moyen de ldapisé l'AD avec le produit AD-LDS. Et la description, lue en diagonale, ressemble vaguement à ce qui est expliqué dans le post.

Bonjour,

a vrai dire je pensais à la même chose : un AD-LDS permettant de s'authentifier sur les divers domaines.

As tu fais des recherches dans cette direction?

D'ailleurs que fait-on dans le topic dédié à Linux la ?

[MIKKA]

bonjour,

je pensais aussi qu'une forêt faisait l'affaire... tu as regardé ?

[pmithrandir]

Bonjour

en fait, une des conditions est de ne pas toucher à la structure des ad. Donc la solution de la foret est exclue.
Le serveur est sur linux, d ou la rubrique.

Je regardera ldap lds qd je reprendrait le boulot.

Merci beaucoup pour vos réponses en tout cas.
Pierre