Symbiose des référentiels utilisateur avec Fedora Directory Server et Active Directory dans un contexte de fédération d'identités

Nicolas Carel

Service Commun Informatique

INRP – 19 allée de Fontenay – BP 17424 – 69347 Lyon Cedex 07

Hugo Étiévant

Service Commun Informatique

INRP – 19 allée de Fontenay – BP 17424 – 69347 Lyon Cedex 07

Mots clefs

annuaire, LDAP, AD, FDS, 389 Directory Server, authentification, SSO, CAS, fédération d'identités, Shibboleth, haute disponibilité, services innovants, sécurité, SSL, réplication multi maître, politique de mots de passe

Résumé

Cet article résume le projet de refonte de la gestion des identités de l'INRP dans le cadre de la mutualisation du système d'information documentaire de trois établissements partenaires. Ce projet organisationnel autant que technique a été l'occasion de mettre en œuvre des logiciels libres innovants autour de la problématique de la gestion des identités et de mettre en place de nouvelles procédures métiers transversales. Dans les éléments phares, la mise en œuvre de « 389 Directory Server » (ex. Fedora Directory Server) en mode multi-maître, la synchronisation bilatérale avec Active Directory (des utilisateurs, des groupes et des mots de passe), le tout en SSL, apportent de réels plus en termes de disponibilité, de souplesse et d'intégration par rapport à une solution OpenLDAP. Le retour d'expérience que nous apportons pourra donc permettre à d'autres établissements de résoudre de manière élégante deux épineux problèmes : la haute disponibilité de leur annuaire LDAP et la cohabitation avec le monde Microsoft Windows.

Symbiose des référentiels utilisateur avec Fedora Directory Server et Active Directory dans un contexte de fédération d'identités

Nicolas Carel

Service Commun Informatique

INRP – 19 allée de Fontenay – BP 17424 – 69347 Lyon Cedex 07

Hugo Étiévant

Service Commun Informatique

INRP – 19 allée de Fontenay – BP 17424 – 69347 Lyon Cedex 07

Mots clefs

annuaire, LDAP, AD, FDS, 389 Directory Server, authentification, SSO, CAS, fédération d'identités, Shibboleth, haute disponibilité, services innovants, sécurité, SSL, réplication multi maître, politique de mots de passe

Résumé

Cet article résume le projet de refonte de la gestion des identités de l'INRP dans le cadre de la mutualisation du système d'information documentaire de trois établissements partenaires. Ce projet organisationnel autant que technique a été l'occasion de mettre en œuvre des logiciels libres innovants autour de la problématique de la gestion des identités et de mettre en place de nouvelles procédures métiers transversales. Dans les éléments phares, la mise en œuvre de « 389 Directory Server » (ex. Fedora Directory Server) en mode multi-maître, la synchronisation bilatérale avec Active Directory (des utilisateurs, des groupes et des mots de passe), le tout en SSL, apportent de réels plus en termes de disponibilité, de souplesse et d'intégration par rapport à une solution OpenLDAP. Le retour d'expérience que nous apportons pourra donc permettre à d'autres établissements de résoudre de manière élégante deux épineux problèmes : la haute disponibilité de leur annuaire LDAP et la cohabitation avec le monde Microsoft Windows.