L'installation par défaut de l'annuaire ISDS ne semble pas "terminée" en ce qui concerne la gestion des mots de passe : pas de politique de mot de passe par défaut, pas d'activation non plus. Et une modification par ldapmodify stocke le mot de passe en clair (tout au moins, il ressort en clair dans un ldapsearch).

Autoriser le changement de mot de passe par l'utilisateur

Par défaut, l'utilisateur ne peut pas modifier lui-même son mot de passe. Par exemple, en utilisant la commande ldapchangepwd renvoie une erreur :

De l'importance d'utiliser un nom de serveur correspondant au CN du certificat...

Contexte

Afin de pouvoir tester la connexion d'un OpenIDM sur un serveur AD (et par la suite la mise en place du plugin de synchronisation de mot de passe) j'ai mis en place une maquette simple avec :

• un serveur OpenIDM sous CentOS
• un serveur AD sous Windows 2008R2

J'ai mis en place un certificat sur le serveur AD, qui est aussi le contrôleur de domaine principal, avec un certificat qu'il a généré.

Contexte

Dans notre environnement Sailpoint IIQ, notre intégrateur développe un ensemble de classes Java pour étendre la solution, en utilisant les nombreuses API.

Lors de la mise en place d'une nouvelle architecture d'annuaire LDAP, nous avons sécurisé les différents composants : accès (utilisation LDAPS), suppression des accès anonymes, révision des ACI, chiffrement de la base de données.

Les sauvegardes sont également chiffrées par l'outillage éditeur (Ping), et les exports LDIF également. L'export des données en mode LDIF est intéressant pour pouvoir récupérer une seule entrée, sans devoir restaurer l'ensemble de la base.

Beaucoup d'annuaires ont des ACI compatibles avec celles de l'annuaire Sun (issu des sources de Netscape) :

• Sun / Oracle DSEE
• 389DS / Red Hat Directory Server
• Oracle OUD
• Sun OpenDS / Wren DS
• Forgerock OpenDJ
• Ping Directory.

Dans ces annuaires, les ACI peuvent être positionnées directement sur les objets eux-mêmes ou sur des objets plus proches de la racine.

Le mécanisme d'évaluation est globalement le suivant :

Depuis quelques temps, je trouve que le temps de démarrage de mon PC sous Ubuntu est bien long... alors que le disque principal est un SSD.

Identifier le temps total de démarrage

Sur les O.S. qui utilisent systemd, il existe une commande permettant de connaître le temps nécessaire au démarrage : systemd-analyze.

Sans option, cette commande donne juste le temps total nécessaire au démarrage, ainsi que le temps après lequel on arrive à l'écran de connexion. Exemple :

Suite au rachat (déjà ancien) de Sun par Oracle, l'annuaire LDAP Sun DSEE, devenu Oracle DSEE depuis, arrive en fin de support. Ce produit a eu ses beaux jours en entreprise, à l'époque c'était probablement l'un des meilleurs, capable de gérer des centaines de milliers d'entrées, avec une architecture assez simple.

Les annuaires LDAP sont principalement utilisés pour gérer 2 types d'objets :

• les comptes utilisateurs (qui vont permettre une authentification centralisée)
• des groupes d'utilisateurs (qui vont permettre une gestion de droits).

D'autres objets annexes sont souvent ajoutés, qui ont un rôle de "listes de valeurs".

Nous allons voir dans cet article les différents types de groupes qui peuvent être utilisés, sachant que selon les RFC LDAP 4519, seuls les premiers sont vraiment standardisés.