Page 1/7

Prsentation des annuaires LDAP

Table des matires

Le protocole LDAP..............................................................................................................................1
Pourquoi un annuaire ?.........................................................................................................................2
Avantages.........................................................................................................................................3
Inconvnients...................................................................................................................................3
Modle de nommage............................................................................................................................3
Directory Information Tree (DIT)....................................................................................................3
Le Distinguished name (DN)...........................................................................................................4
Alias et referals................................................................................................................................4
Modle de scurit LDAP....................................................................................................................4
Les ACL ..........................................................................................................................................4
Duplication / rplication.......................................................................................................................4
Format de donnes LDIF......................................................................................................................5
Exemple de fichier LDIF.................................................................................................................5
Solutions existantes..............................................................................................................................5
Microsoft Active Directory .............................................................................................................5
Avantages : .................................................................................................................................5
Inconvnients : ...........................................................................................................................5
Novell Directory Server...................................................................................................................6
OpenLDAP......................................................................................................................................6
Avantages : ................................................................................................................................6
Inconvnients..............................................................................................................................6
Annexes................................................................................................................................................7
Principaux acronymes relatif LDAP.............................................................................................7

Le protocole LDAP
Lightweight Directory Access Protocol (LDAP) est un protocole standard pour accder des services
d'annuaire.
LDAP utilise TCP/IP et est une alternative aux annuaires X.500 (DAP : Directory Access Protocol)

Le protocole LDAP est dfini par les recommandations (RFC-2251) et les Internet Draft de l'IETF
(Internet Engineering Task Force). Il existe trois versions du protocole LDAP.
Le protocole LDAP dfinit comment s'tablit la communication client-serveur.
Il fournit les commandes permettant de se connecter, se dconnecter, rechercher, comparer, crer,
modifier ou dtruire des enregistrements.
L'utilisation de mcanisme de chiffrement (Transport Security Layer/Secure Socket Layer) et
d'authentification (Simple Authentification And Security Layer SASL), coupls des mcanismes
de contrle d'accs permet de protger les transactions et l'accs au donnes.
Le protocole dfinit aussi la communication serveur-serveur autorisant la synchronisation entre
JF FERRY - 03/06/2007

Page 2/7
plusieurs serveurs, ainsi que la rfrence (le referral).

Pourquoi un annuaire ?
Un annuaire est avant tout une base de donnes. A la diffrence des bases de donnes relationnelles o les
donnes sont stocks de manire tabulaire (ligne, colonne), l'annuaire classe les informations de manire
hirarchique.
Autre diffrence, le mode d'utilisation. Un annuaire a vocation d'tre plus souvent consult que mis jour
compar aux bases de donnes relationnelles.
Par exemple, quelques utilisations de base LDAP :
Annuaire de personnes, carnet d'adresses (pages jaunes)
Base de donnes de compte utilisateur/systme
Classification de ressources

dfinir les droits utilisateur

Avantages
Unification /
centralisation
des donnes.
Fiabilit : des
mcanismes de
rplication sont
dfinis par le
protocole
LDAP. La
rpartition de
charge est aussi
fournie.
Simplification
de
l'administration
Scurit :
chiffrement des connexions, ACL
Introprabilit : bas sur des normes solides, de nombreuses applications peuvent utiliser un annuaire
LDAP (serveur messagerie, carnet d'adresses dans un client mail, etc...). Des librairies pour accder un

JF FERRY - 03/06/2007

Page 3/7
annuaire LDAP existent dans la plupart des languages (C/C++/Java/Perl/PHP/etc ...)

Inconvnients
Langage d'interrogation assez pauvre (compar d'autres langages SQL)

Modle de nommage.
Directory Information Tree (DIT)
Une arbrescence hirarchique permet de classer les donnes (comparable un systme de fichier).
Chaque noeud de l'arbre correspond une entre de l'annuaire.
Au sommet de l'arbre se trouve l'entre suffixe ou encore Base DN

Le Distinguished
name (DN)
Rfrence d'une
manire unique une
entre de l'annuaire.
Comparable aux
chemins absolus dans
une arborescence de
fichier. Reprend le
chemin jusque la
racine de l'annuaire.
Ex :

uid=martin,ou=Clients,dc=compagnie,dc=org

Alias et referals
Ce sont deux objets abstraits particuliers. Ils permettent une entre de l'annuaire de pointer vers une autre
entre du mme ou d'un autre annuaire.

Modle de scurit LDAP

Dcrit le moyen de protger les donnes des accs non autoriss.

JF FERRY - 03/06/2007

Page 4/7
Plusieurs niveaux :
- authentification pour se connecter au service d'annuaire : anonymous, rootDN, mot de passe en clair,
kerberos, mot de passe + SSL, certificats, SASL
- contrle d'accs aux donnes : ACL
- chiffrement des connexions client/serveur serveur/serveur : SSL, TLS

Les ACL
peuvent tre dfinies au niveau des entres, au sommet de l'arbre ou sur un sous arbre.
Agit sur les entres ou les attributs.
Elles s'appliquent des individus ou des groupes mais aussi des adresses IP, jours/heure, nom de
domaine.
Syntaxe ACL : access to <quoi> by <qui> <comment>
Ex :
access to * by self write
by * read

Duplication / rplication
Dupliquer un annuaire en production peut pallier :
panne de l'un des serveurs
coupure rseau
surcharge du service
Garantir la qualit de service
amliorer les performances (placer les serveurs plus prs des clients)
rpartir la charge sur plusieurs serveurs (load balancing)
grer des entres localement et les diffuser sur plusieurs sites.
Le modle de duplication LDAP n'est pas encore standard mais est propos par la plupart des serveur. (un
protocole LDUP est en prparation)
Rpliquer quoi ?
l'arbre entier ou un sous arbre
une partie des entrs spcifies grce un filtre
Plusieurs mthodes pour synchroniser : mise jour totale, incrmentale.
Plusieurs stratgies : single-master, multiple master, cascading
La duplication se fait en temps rel ou heure fixe
Obligations : mme schma sur tous les serveurs les rgles d'accs doivent tre dupliques

Format de donnes LDIF

LDAP Data Interchange Format : standard de reprsentation des entrs sous forme de texte. Les fichiers
LDIF sont utiliss pour importer/modifier/exporter ls donnes.

JF FERRY - 03/06/2007

Page 5/7

Exemple de fichier LDIF

Ressources
http://www.linux-france.org/article/serveur/ldap/
...
...
...
...

Solutions existantes

Novell Directory Server

OpenLDAP
OpenLDAP est un serveur d'annuaire LDAP Open Source et issu des implmentations du protocole par
l'Universit de Michigan. Il est dvelopp selon les termes de la licence GNU GPL, ce qui signifie qu'il est
entirement gratuit et que son code source est accessible et modifiable.
OpenLDAP est souvent utilis comme socle par d'autres application ncessitant une authentification.
Les schmas permettent une grande flexibilit des annuaires. Ainsi, en couplant OpenLDAP et Samba, on
obtient un contrleur de domaine Windows, ce qui est une alternative crdible Microsoft Active Directory.
Plusieurs serveurs de messagerie utilise OpenLDAP comme base de donnes utilisateurs.

Avantages :
code ouvert = adaptable aux besoins (extensions)
Performances
Respectueux des standards (interoprabilit)
Portabilit (Unix/Linux, Window, Sun ...)
Licence non restrictive (GPL2)

Inconvnients
Peu de documentation en Franais (mais liste de diffusion trs (r)active)
Fonctionnalits d'exploitation (monitoring, suivi et optimisation des performances) rduites par rapport aux
solutions propritaires.
Peu d'outils d'administration complet.
Rfrences :
D'aprs Linagora, un des intgrateurs open source en France
* Universit Pierre et Marie Curie

JF FERRY - 03/06/2007

Page 6/7
* 41 000 agents / 350 000 entres.
* Ministre des Finances
* 55 000 personnes / 200 000 entres.
* Arme de Terre
* 150 000 personnes / 300 000 entres.
* Ministre du Travail
* tude sur la mise en place dun annuaire LDAP.
Logiciels d'administration
Gosa
http://www.gosa-project.org
dernire version : 2.5.10 released 15/05/07
Interface web trs complte qui permet la gestion des comptes utilisateurs et systmes dans une base LDAP.
Rcemment mis en production la ville de Munich pour grer 14 000 stations de travail. Le Conseil de
l'europe utilise une version customise de GOsa pour la gestion des accs son intranet / extranet.
Doc en franais : https://www.gosa-project.org/index.php?
option=com_openwiki&Itemid=27&id=french_quick_install_guide
LAT : logiciel (GNOME)
Permet de se connecter un serveur Active Directory, Fedora Directory
Screenshot : http://dev.mmgsecurity.com/projects/lat/screenshots/
ldap-account-manager
interface web
Accessible http://localhost/lam mdp defaut : lam
Plutt pour l'administration/gestion d'un controleur de domaine SAMBA / LDAP (gre utilisateurs, Groupes,
Machines et les domaines samba). L'utilisation de ldap-account-manager semble parfait pour les personnes
charges de la gestion de l'annuaire (pas forcment l'administration du serveru LDAP)
LUMA
PHPldapAdmin
Interface web complte au niveau des fonctionnalits d'administration.
http://www.openldap.org/doc/
Et aussi : Apache Directory Server, Red Hat Directory Server

Annexes
Principaux acronymes relatif LDAP
LDAP : Light Directory Access Protocol
DN : Distinguished Name
JF FERRY - 03/06/2007

Page 7/7
RDN : Relative Distinguished Name
OID : Object Identifier
NIS : Network Information Service
SASL : Simple Authentification and Security Layer

TLS : Transport Layer Security

LDIF : LDAP Data Interchange Format

JF FERRY - 03/06/2007