Mécanismes mis en place pour l'usage combiné des annuaires OpenLDAP et Active Directory

Les deux annuaires sont en concurrence sur certaines fonctionnalités :

  • l’authentification  ;

  • la gestion des groupes.

Des mécanismes de délégation et de synchronisation sont utilisés pour limiter les sources d’incohérence entre les deux annuaires.

Compte de délégation de l’authentification

Le fonctionnement du module Scribe implique l’utilisation concomitante d’un annuaire OpenLDAP et d’un annuaire Active Directory. Pour pallier le problème de désynchronisation potentielle de mots de passe, l’authentification est effectuée en priorité sur l’annuaire Active Directory.

Le programme saslauthd[1] est chargé de transmettre les demandes d’authentification effectuées auprès de l’annuaire OpenLDAP vers l’annuaire Active Directory. Pour ce service, il doit pouvoir ouvrir une connexion sur l’annuaire Active Directory.

Dans le cas d’un annuaire Active Directory local, sur lequel il est possible d’automatiser la création d’un compte spécifique, un compte sans droits étendus est créé. Le nom de ce compte est déterminé dans la configuration par la variable Compte de connexion à l’annuaire de saslauthd. Par défaut, cette variable prend la valeur eole-sasl. Ce compte est réservé à l'usage du service et son mot de passe géré automatiquement.

Dans le cas d’un annuaire Active Directory distant, la valeur par défaut correspond au compte de l’administrateur du domaine par défaut, seul compte dont l’existence est acquise.

Compte de synchronisation des annuaires

Le fonctionnement du module Scribe implique l'utilisation concomitante d'un annuaire OpenLDAP et d'un annuaire Active Directory. La synchronisation nécessaire de ces deux annuaires est effectuée en arrière-plan par le service LSC[2].

Pour cette tâche, le service doit pouvoir se connecter et modifier le contenu de l’annuaire cible.

Dans le cas d’un annuaire Active Directory local, sur lequel il est possible d’automatiser la création d’un compte spécifique, un compte membre du groupe « Domain Admins » est créé. Le nom de ce compte est déterminé dans la configuration par la variable Compte administrateur du domaine AD. Par défaut, cette variable prend la valeur eole-synchro. Ce compte est réservé à l’usage du service et son mot de passe, géré automatiquement.

Dans le cas d'un annuaire Active Directory distant, la valeur par défaut correspond au compte de l'administrateur du domaine par défaut, seul compte dont l'existence est acquise.

Attention

Ces comptes de service[3] ne doivent en aucun cas être modifiés ou déplacés pour que les services restent fonctionnels.