•  

Synchroniser OpenLDAP et Active Directory avec LSC 2.0

A session at LSM / RMLL 2013

Thursday 11th July, 2013

10:00am to 10:40am (WET)

Le projet LDAP Synchronization Connector permet de synchroniser des bases de données, des fichiers plats et des annuaires LDAP. Le produit est écrit en java, et repose sur une configuration en XML. LSC n’est pas un moteur de synchronisation comme les autres, il est réellement spécialisé dans les annuaires LDAP, en gérant entre autres des paramètres de connexion particuliers (gestion des referals, pagination de résultats) et la multivaluation des attributs.

LSC peut ainsi être utilisé pour synchroniser OpenLDAP et Active Directory. Ce besoin apparaît souvent lors de l’implémentation d’un annuaire d’entreprise, ou un annuaire de sécurité, indépendant d’Active Directory. Dans ce cas, pour le confort des utilisateurs mais aussi des administrateurs systèmes, il est nécessaire que les utilisateurs, voire les groupes, soient synchronisés entre ces deux référentiels.

La difficulté ultime se présente lorsque l’on aborde la gestion des mots de passe. Plusiuers stratégies sont possibles, comme déléguer l’authentification d’OpenLDAP vers Active Directory, jusqu’à implémenter une synchronisation bidirectionnelle des mots de passe.

Dans le premier cas, la solution est assez simple et consiste à utiliser les mots de passe SASL, permettant de faire appel au démon saslauthd qui va lui-même utiliser Active Directory comme référentiel d’authentification.

Dans le dernier cas, la réalisation est plus complexe. Il faut du côté d’Active Directory pouvoir installer un agent interceptant le changement de mot de passe, et le propageant sur OpenLDAP. On conseillera pour cela l’installation de passwordhk. Côté OpenLDAP, on pourra capturer à la volée via SyncRepl les changements de mot de passe et les transmettre à Active Directory.

About the speaker

This person is speaking at this event.
Clément OUDOT

Open Source Identity Management guy @SFLinuxFR #ldap #iam #sso #openldap #lemonldap #lsc #ltb #saml #cas #openidconnectMastodon: @clementoudot@framapiaf.org

Coverage of this session

Sign in to add slides, notes or videos to this session

Tell your friends!

View the schedule

Share

See something wrong?

Report an issue with this session