Discussion :

[oxedions]

Bonjour,

Je suis à la recherche d'une alternative (libre) à LDAP.
En effet, mes seuls besoins sont :
- Utilisateurs, avec id et gid, sur serveurs linux uniquement
- Droits de connexion ou non sur tel ou tel serveur (ssh)

Je ne vois pas donc l'utilité d'une usine à gaz comme LDAP pour si peu de besoins. D'autant que chaque mise à jours des packages d'OpenLDAP représente un risque non négligeable.

Certains collègues utilisent des copies par cron + scp des fichiers /etc/shadow et /etc/passwd. Mais cette méthode n'est pas, selon moi, pérenne.

Je cherche donc une alternative à LDAP, qui permette aussi la présence de serveurs de backup en cas de crash du premier, et qui permette d'éviter une interrogation trop fréquente du serveur côté client (cache).

L'un d'entre vous aurais t-il utilisé ou eu vent d'un soft capable de remplir ce rôle simplement ?

Ox

[Christophe]

Si tu ne veux pas utiliser LDAP, tu peux utiliser une authentification par base SQL. Je dirais que tout dépend des services que tu utilise. Tous pourrons se greffer sur LDAP, le cas SQL dépend. Pour peu d’utilisateurs, etc/passwd est très bien.

[oxedions]

Merci du retour.

Je trouve étonnant qu'il n'existe pas une version allégée de LDAP. Après, cela me dépasse probablement mais il me semble que sa complexité est excessive, et oblige à copier coller des configs sans comprendre, ce qui me dérange

Je reste donc sur les fichiers à plat, mais je vais regarder l'authentification par SQL. Le vrais gros soucis des fichiers à plat réside dans la synchronisation de l'ensemble, parfois il y a des comportements étranges si un serveur n'a pas reçu la dernière version du fichier (surtout les Meta Data Servers).

Ox

[Christophe]

LDAP est déjà un système sensé être léger. LDAP : Lightweight Directory Access Protocol Lightweight signifiant léger.

Je trouve aussi que c'est complexe. Le etc/passwd est adapté pour peu d'utilisateurs (très simple, et très pratique), maintenant pour gérer beaucoup d'objets (users, machines, etc ...), c'est ce qu'il y a de plus adapté, notamment pour la centralisation dans le cas de plusieurs serveurs. Dans le cas de grosses configs, je vois pas mieux. Et c'est compatible avec tout service digne de ce nom.

Tu as des interfaces graphiques pour te simplifier la vie.

[jlliagre]

Je suis à la recherche d'une alternative (libre) à LDAP.
En effet, mes seuls besoins sont :
- Utilisateurs, avec id et gid, sur serveurs linux uniquement
- Droits de connexion ou non sur tel ou tel serveur (ssh)

Je ne vois pas donc l'utilité d'une usine à gaz comme LDAP pour si peu de besoins.

C'est openldap qui est une usine à gaz, pas ldap. En libre, bien plus simple à installer et configurer et bien plus avancé qu'openldap, tu as OpenDJ.

D'autant que chaque mise à jours des packages d'OpenLDAP représente un risque non négligeable.

C'est plutôt la non mise à jour des packages qui présente un risque, non ?

Certains collègues utilisent des copies par cron + scp des fichiers /etc/shadow et /etc/passwd. Mais cette méthode n'est pas, selon moi, pérenne.

Pourquoi ? C'est bourrin mais si tu as peu d'entrées et de machines, il n'y a pas de raison que ça cesse de fonctionner tout seul ...

Je cherche donc une alternative à LDAP, qui permette aussi la présence de serveurs de backup en cas de crash du premier, et qui permette d'éviter une interrogation trop fréquente du serveur côté client (cache).
L'un d'entre vous aurais t-il utilisé ou eu vent d'un soft capable de remplir ce rôle simplement ?

C'est un peu "has been" mais tu peux installer un serveur NIS maitre avec un ou deux slaves.

[Tlams]

- Utilisateurs, avec id et gid, sur serveurs linux uniquement
- Droits de connexion ou non sur tel ou tel serveur (ssh)

En gros, tu peux pouvoir autoriser ou non des utilisateurs à se connecter à certains serveurs en ssh. (Ou même localement?)

Pour la gestion des utilisateurs via ssh, regarde du coté de FreeIPA.