Identity and Access Management
L'ajout d'un Root Suffix (racine d'un arbre LDAP) peut se faire via la console graphique, mais aussi en ligne de commande.
On peut vouloir ajouter un backend spécifique, ce qui permettra de gérer la réplication différemment pour ce suffixe, ou ajouter le suffixe dans un backend existant.
On va utiliser la commande dsconfig, qui gère la configuration de l'annuaire.
L'annuaire LDAP OpenDJ est développé par Forgerock, sur la base de l'annuaire OpenDS, développé en son temps par Sun. On peut le télécharger sur le site de Forgerock. Il est disponible sous plusieurs formats :
Sur cette page, on trouve également des choses intéressantes :
La mise en place d'une réplication de type miroir entre deux annuaires OpenLDAP est assez simple.
Une fois la mise en place effectuée, il s'agit de vérifier que la réplication se fait de manière satisfaisante. Car parfois, en cas de charge élevée sur l'un des annuaires, certaines transactions peuvent ne pas être propagées. Il est alors intéressant de savoir si les instances d'annuaires sont bien synchronisées, et comment les remettre d'aplomb si ce n'est pas le cas.
OpenDJ est la solution d'annuaire LDAP proposée par Forgerock.
Depuis la version 5.5, le produit est maintenant appelé Forgerock DS.
Issu de l'ancien OpenDS de Sun Microsystems, il s'agit d'un annuaire LDAP V3, écrit en java, et donc "installable" sur un grand nombre de plates-formes (Linux, Unix, Windows, MacOS).
Par rapport à un OpenLDAP, il propose des fonctionnalités intéressantes :
Une nouvelle série d'articles sur les produits de Forgerock.
Forgerock est un éditeur de solutions de gestions d'identités et d'accès (IAM), qui propose des produits de type "Commercial Open-Source". c'est à dire que les produits sont en open-source (le code est librement consultable, modifiable), mais que Forgerock offre un service de support payant pour les solutions mises en production.
Dans la série sur ISIM6, j'avance sur la mise en place via un processus de migration en 2 étapes (sur une machine différente).
La migration elle-même s'est correctement passée, et je voulais passer le dernier Fix Pack ISIM, histoire d'avoir la dernière version.
Autant dire que ça ne s'est pas passé tout seul. Mais au final ça fonctionne, après quelques réglages. Le fait que l'on lance les FixPack en mode silencieux / scriptés nécessite également des adaptations.
Les problèmes rencontrés sont de plusieurs types :
Récemment nous avons eu des soucis curieux sur un annuaire OpenLDAP.
Lors de la création d'une entrée, le message d'erreur était :
adding new entry "uid=GFR6285008,ou=users,dc=example,dc=com"
ldap_add: Constraint violation (19)
additional info: attribute 'pwdChangedTime' cannot have multiple valuesL'overlay ppolicy est en place, et une politique par défaut existe. Le message n'apparaît pas lorsque l'on modifie une entrée.
Dans IBM Tivoli Identity Manager (ITIM), si une réconciliation est interrompue en cours (plantage du service ou de WebSphere), le service reste marqué comme étant en cours, et "locké". Il n'est plus possible alors de faire des mises à jour sur ce service.
OpenIDM, la solution de gestion des identités de Forgerock, va bientôt sortir en version 3.1, avec un grand changement par rapport aux versions précédentes : une interface d'administration / configuration.
Jusqu'ici, la configuration se faisait uniquement via des fichiers Json, ce qui avait l'avantage de pouvoir être facilement versionné, mais plaçait le produit loin de ses compétiteurs quant à l'aspect "interface d'admin".
Dorénavant, il est possible d'avoir une visu des ressources, en se connectant à http://localhost:8080/admin
La mise en place de SSL pour OpenLDAP permet de sécuriser les échanges, que ce soit en utilisant LDAPS ou START/TLS (dans ce dernier cas, la connexion démarre sur le port LDAP et passe ensuite en mode sécurisé).
En préalable, on aura généré une clé privée, récupéré un certificat, ainsi que celui de l'autorité de certification. (voir un article précédent sur le mémento OpenSSL ).
Les étapes pour la sécurisation sont :