Forum Clubic

Cohabitation Open LDAP et Active Directory

Bonjour,

J’ai cherché longuement sur internet, et je n’ai jamais rien trouvé a ce sujet, c’est pour cela que j’ai décidé de créer un topic a ce sujet.

Je m’explique. En fait, je suis en stage dans une entreprise, et je doit mettre en place les outils d’authentification sur le réseau, en Open Source. Pour cela, je me suis donc tourné vers la solution Open LDAP + Samba en tant que contrôleur de domaine (PDC). Or il y a déja un contrôleur de domaine sur le réseau, qui est un Active Directory servant uniquement au fonctionnement d’un logiciel de comptabilité : Sage.

Je me pose donc la question de savoir s’il est possible d’installer 2 contrôleurs de domaine sur un même réseau, sachant que le controleur servant a l’authentification sera l’OpenLDAP.

Je tourne en rond a ce sujet depuis plusieurs semaine, et la c’est la galère car mon stage avance …

Merci d’avance,

Salut

il est tout à fait possible d’installer deux contrôleurs de domaines dans un même réseau s’il y a bien un maître et un autre esclave mais le faire avec 2 annuaires différents ça va être tendu :s

bon courage

Oula

C’est une tres mauvaise idee de faire ca. Bien que ce soit possible techniquement, tu te lances dans un sacre montage foireux.
Deja, oublie le couple OpenLDAP+Samba pour faire DC. Actuellement, c’est a 1 millions de km de faire le boulot d’un AD.
Pour ca, faut attendre la v4 de samba qui n’est pas encore prete de sortir.
(Par contre, samba fait un excellent serveur de fichiers pour info.)

Je sais pas comment est monté votre reseau mais je pense que le plus sage serait deja d’utiliser AD correctement. C’est a dire integrer toutes les stations et centraliser l’authentification comme ca.
Ensuite, si eventuellement, tu veux utilise OpenLDAP, tu peux toujours bidouiller AD pour faire pointer sa base sur OpenLDAP.

De toute facon, tu pourras pas integrer une station dans 2 domaines. C’est pas possible. MS l’a voulu, les clients l’ont dans le cul.

D’apres ce que tu racontes, il me semble y avoir pas mal de bazar dans la boite ou tu te trouves. Et les technos ne semblent pas utilisees correctement. Faudrait deja corriger ca avant de vouloir rajouter des trucs n’importe comment…
Edité le 20/04/2010 à 19:09

Merci de vos réponse, cela m’aide déja un peu.

Donc la solution de mettre les 2 controleur de domaine comme je l’avais dit semble a écarter.

En fait ce que vous me conseillez c’est d’utiliser l’AD qui est deja en place ?
Sinon est-ce qu’il serait possible de rajouter un second AD ?

J’avoue c’est un peu le bordel, c’est pour ca que je suis la :stuck_out_tongue:

Et sinon comme solution Open Source est-ce que vous voyez quelque chose de possible ?

Merci

En fait, la t’es en train de nous poser des questions d’architecture sans nous expliquer tes besoins et l’architecture en place… C’est impossible de repondre pour moi… :neutre:

Bah en faite je dois mettre en place un système Open Source (si possible) permettant aux utilisateurs de s’authentifier sur les postes informatiques (Linux et Windows) du réseau.

Pour l’architecture en place est très simple, il n’y a quasiment rien. Il y a un serveur de fichier (Samba) dont les accès aux ressources se font via les adresses IP des postes. Avec la mise en place de l’authentification, ces accès se feront via les utilisateurs ou les groupes.

Sinon bah il y a un AD pour la simplification des accès a SAGE.

C’est a peu près tout.

Merci

Y’a combien de postes windows, combien de linux ? combien d’utilisateurs ?
Quel est l’usage des postes ? bureautique ? production ? compta ? postes de gestion de machines ?
Les fichiers sont de quel types ? bureautique ? images ? fichiers specifiques ?

Y’a un directeur technique ?
Quelle est la politique de la boite ? “pas de sous donc on vise open source” ? “des sous mais on vise open source par fanatisme” ? “des sous mais on reste pragmatiques” ?
Edité le 21/04/2010 à 10:22

Alors il y a une 50aine d’utilisateur donc bah autant de postes. 40 sous Windows 10 sous Linux a peu pret.
L’usage des postes est différent en fonction des différent services de la boite, mais pour la plupart, les postes sont utilisé pour de la bureautique et de la compta.

Oui il y a un directeur technique qui est très peu présent dans la boite.
Je dirais que la boite a plutot des sous, mais elle prèfere utiliser de l’OpenSource.

Sinon j’ai fait des recherches un peu sur la synchronisation OpenLDAP avec l’AD. Je pense que ca pourrait m’intéresser. Après a savoir si la mise en place est possible dans mon cas

Je pense qu’il faudrait deja brancher tous les postes windows sur l’AD et autant de postes linux que possibles.
Integre le serveur de fichiers aussi tant qu’a faire.

Le probleme est que vouloir de l’opensource c’est bien mais faut pas coller ca n’importe ou. Et comme je te le disais, Samba est encore tres loin de pouvoir remplacer AD pour l’instant. Faut vraiment oublier cette option.
Par contre, tu peux utiliser linux et des projets libres pour monter une passerelle internet, un proxy, un serveur web, serveur dhcp, etc Tout ce qui touche a l’infra.
Oublie pas que AD est tres lié a DNS donc ne bidouille pas trop a ce niveau si tu ne sais pas EXACTEMENT ce que tu fais. D’ailleurs, le serveur DNS de windows est pas trop mal pour de l’interne donc autant l’utiliser.

En bref, a part centraliser l’authentification sur l’AD, je vois pas grand chose d’autre a faire. Les petites boites de ce genre ont rarement des besoins tres specifiques et je pense que ca sert a rien de complexifier leur architecture car ca leur pose plus de probleme a terme que ca n’apporte de solutions.
Un principe cher a Unix et Linux s’appelle le KISS (Keep It Simple Stupid) et il est applicable a tout… meme a windows malgre que ce soit difficile parfois.

Merci de ta réponse.
J’ai d’ailleurs pensé a intégré le serveur de fichier a l’AD.

Je pense donc que je vais me porter vers la solution suivante :

  • le controleur de domaine AD avec toutes les machines d’intégré, contenant les utilisateurs groupes, etc…
  • un serveur sous linux contenant l’open LDAP, ce dernier étant synchronisé a l’AD, ce qui en fera en quelque sorte une petite base de donné.
  • un serveur de fichier intégré a l’AD (utilisation de celui existant).

Ensuite pour les autres outils je verais une fois que j’aurais fait tous cela …

Est-ce que ca te semble correct ?

En tout cas merci beaucoup, cela ma beaucoup éclairé.

Et il servira a quoi ?
Si ca n’a pas d’utilite ne le fait pas…

Bah pour synchroniser des applications dessus, comme pour jouer par exemple le role de carnet d’adresse en le synchronisant a des clients de messagerie. Ou alors pour le synchroniser avec GLPI. Enfin je sais pas …

Mais pour intégrer des postes Linux dans le domaine il faut utiliser quoi ? j’ai entendu parler de Winbind, ou alors SFU, qu’elle est la différence ?

Merci

Tu peux faire ca avec AD directement. AD est deja un annuaire LDAP (ou presque).
A mon avis, ton openldap te servira a rien.

Faut utiliser kerberos, winbind et samba-client

D’accord merci, je vais faire des recherche la dessus alors.

Merci Beaucoup de ton aide

as tu avancer ? car je suis aussi dans le même cas :slight_smile:

merci de ton feedback