remarque : cette page est inspirée d'une documentation du CNRS

C'est un catalogue, dans lequel on peut mettre ce que l'on veut (téléphone, adresses, photos, …), pour le partager. En fait, ça ressemble beaucoup a une base de données, avec quelques différences notables :

• il est conçu pour avoir beaucoup de requêtes en lecture, peu en écriture
• pas de requêtes compliquées (comme les jointures en sql)
• serveur réseau
• protocole simple, léger et standardise : ldap ( lightweight directory access protocol), dérivé de X500

• à chercher des informations
• pour des humains ou des applications
• à gérer une base de données simple

• base de compte multi-utilisateurs : /etc/passwd /etc/hosts (1970-1980)
• NIS (1980 ?) : pour de petites configurations
• DNS (1984) : spécifique aux nommage ip
• X500 (1988) : très lourd, clients bugués, basé sur l'ISO (et non pas TCP/IP)
• ldap (1993)

ldap définit :

• un mod�le d'acc�s (protocole) : comment acc�der a l'information contenue dans l'annuaire
• un mod�le d'information : le type d'informations contenues dans l'annuaire
• un mod�le de nommage : comment l'information est organis�e et r�f�renc�e
• un mod�le fonctionnel : comment on acc�de et met a jour l'information
• un mod�le de s�curit� : comment donn�es et acc�s sont prot�g�s
• un mod�le de duplication : comment la base est repartie entre serveurs
• une API : pour d�velopper des applications clientes
• un format d'�change de donn�es : ldif

il y a des solutions commerciales :

• netscape directory server
• Sun microsystem directory service
• IBM, Innosoft …

et une solution libre : openldap

• ldap v3
• port 389 ou 636 (ldap sur ssl)
• connexion, commandes, d�connexion
• con�u pour �tre extensible

d�finit le type des donn�es stock�es

• �l�ment de base : objet
• les informations sont repr�sent�es sous forme d'attributs
• ldap propose un certain nombre de classes pr�d�finies
• les classes sont facilement extensibles par h�ritage
• le sch�ma d�crit les classes d'objets, les types des attributs et leur caract�ristiques

d�finit comment sont organis�e les entr�es, et comment elles sont r�f�renc�es

• les entr�es repr�sentent des objets
• l'organisation est hi�rarchique, mais libre (a plat, par localisation, par service, par type …)
• une entr�e est identifi�e par un “dn” (distinguish name), qui doit �tre unique, et qui est form� de la suite des noeuds travers�s
• recommandation : coller a la structure du DNS, avec l'attribut “dc”
• les alias et les referral : permet de pointer vers une autre entr�e d'annuaire (d�l�gation)

d�crit le moyen d'acc�der aux donn�es et les op�rations qu'on peut leur appliquer

• authentification
• interrogation
• comparaison
• mise a jour (add, delete, rename, modify)

• authentification pour acc�der au service
• mod�le de contr�le d'acc�s aux donn�es par des ACL sur des noeuds de l'arborescence
  • quoi : ou s'applique la r�gle
  • qui : a qui �a s'applique
  • comment : read, write, search, add, delete, compare …
• chiffrement des transactions entre clients et serveurs

permet de dupliquer un dupliquer un annuaire sur plusieurs serveurs :

• garantit la qualit� de service : temps de r�ponse et s�ret� de fonctionnement
• r�partition de charge
• un ma�tre, des esclaves
• synchronisation totale/incr�mentale, temps r�el/diff�r�e

il y a des api pour les langages :

• C
• perl (package perl_ldap ou perl-URI)
• python
• java
• php

permet :

• des imports/export d'annuaire
• des modifications

en format ASCII/base 64, maintenant en UTF8

• via un navigateur (php) : ldapexplorer
• via une appli gtk : gq
• via une appli java : ldap browser
• minimal via un simple navigateur Web sur une URL du type “ldap://host:389/dc=subdomain,dc=domain?cn,mail?Sub”

• windows 2000 : active directory (remplace sam)
• mozilla/outlook : carnet d'adresse centralise
• gestion centralis�e de l'authentification et des droits d'acc�s (mot de passe unique UNIX/Windows) : pam_ldap
• gestion de parc informatique
• serveurs de mail (sendmail, postfix ) et de mailing listes (sympa)
• annuaire du personnel, t�l�phonique
• stockage de clef publiques
• DNS : remplacement de bind, ou redirection (v9) vers un ldap
• services divers : samba, squid (squid_pam_auth), dhcp, pppd, horde
• clients divers : pine, evolution, openoffice, ils (telephone sur ip) …

1. cru : une pr�sentation tr�s compl�te
2. ldapv3 : un bon panorama des utilisations
3. pour d�marrer (en anglais)
4. documentation en fran�ais (linuxfrance)
5. portail consacre aux annuaires
6. commentcamarche
7. autre

— eric gerbier 2009/09/16 16:14 {{tag>administration}