Upload
linagora
View
1.650
Download
3
Embed Size (px)
DESCRIPTION
Présentation donnée lors du salon Solutions Linux 2011.Animée par Clément OUDOT, Architecte LinID
Citation preview
WWW.LINAGORA.COMWWW.LINAGORA.COM
Migration SUN/Oracle vers OpenLDAP : évitez les pièges !
Clément OUDOTArchitecte LinID
2
Sommaire
● Les annuaires LDAP, une histoire de famille
● SUN/Oracle DS, du LDAP pas tout à fait standard
● Organiser son projet de migration
3
Les annuaires LDAP, une histoire de famille
4
Université du Michigan
Netscape Directory
Server
OpenLDAP
Novell eDirectory Microsoft
Active Directory
IBMCriticalPath
Propriétaires Libres
SUN Directory Server
Oracle Directory
Server
OpenDS
ApacheDS
OpenDJ
RedHat Directory
Server
Fedora Directory
Server
Port 389
5
SUN/Oracle DS, du LDAP pas tout à fait standard
6
Libertés prises avec le schéma
● Non respect de contraintes sur les classes d'objet structurelles :
● Plusieurs classes structurelles de hiérarchie différente peuvent cohabiter
● Une entrée peut n'avoir aucune classe structurelle
● Encodages différents de UTF-8 autorisés
● Règles de comparaison incohérentes avec les syntaxes (cf. par exemple l'attribut icsDomainNames)
● Divergences par rapport aux schémas standards des RFC, par exemple :
● l'attribut « membre d'un groupe » est facultatif dans SUN/Oracle DS
● SUN/Oracle DS autorise la recherche partielle sur les DN
7
Libertés prises avec les données
● Attributs vides autorisés
● Certaines valeurs sont incompatibles avec la syntaxe de l'attribut (cf. par exemple l'attribut manager)
● Aucun contrôle sur les données binaires
8
Politique des mots de passe
● La politique des mots de passe n'est pas une RFC mais un draft
● SUN/Oracle DS implémente la politique avec des attributs différents de ceux d'OpenLDAP
● Les contraintes sur les majuscules/minuscules doivent être gérées dans OpenLDAP à l'aide d'une extension (pwdChecker)
9
Droits d'accès
● SUN/Oracle DS utilise des ACI (droits définis directement dans les entrées LDAP)
● OpenLDAP supporte les ACI, mais de manière expérimentale, il faut donc convertir les ACI en ACL :
● aci: (target)(version 3.0;acl "name";permission bindRules;)
● access to <what> [ by <who> [ <access> ] [ <control> ] ]+
● SUN/Oracle DS permet d'utiliser « accept » ou « deny », ce qui doit être traduit avec les bons droits dans OpenLDAP (lecture, écriture, etc.)
● Attention également :
● Aux relations parent (gestion de la hiérarchie)
● Au dé-référencement d'attribut
10
Organiser son projet de migration
11
Les grandes étapes
● Analyse de l'existant :
● Schéma, données
● Applications clientes (avec les extensions LDAP utilisées)
● ACI
● Modules activés
● Installation d'une plate-forme cible
● Conversion des données, des schémas, des ACI en ACL
● Activation des overlays correspondant aux modules activés
● Import des données
● Bascule des applications
12
La théorie du big bang
● Une bascule en mode big bang est très risquée et donc fortement déconseillée
● Il est possible de faire vivre les deux systèmes en parallèle le temps de ma migration :
● Première phase : plate-forme SUN/Oracle maître avec synchronisation des données vers OpenLDAP
● Deuxième phase : plate-forme OpenLDAP maître avec synchronisation des données vers SUN/Oracle
● Troisième phase : fin de la bascule de toutes les applications, suppression de la plate-forme SUN/Oracle
13
Pour conclure
● Phase d'étude incontournable
● Plate-forme de qualification
● Remplacement possible de la console SUN/Oracle par LinID OpenLDAP Manager
14
Questions ?
WWW.LINAGORA.COMWWW.LINAGORA.COM
Merci de votre attention
Contact : LINAGORA – Siège social80, rue Roque de Fillol
92800 PUTEAUXFRANCE
Tél. : 0 810 251 251 (tarif local)Fax : +33 (0)1 46 96 63 64Mail : [email protected]
Web : www.linagora.com
Photos de la présentation tirées de Flickr (Creative Commons)