IAM

Identity and Access Management

OpenLDAP - Changer de moteur backend

Depuis la version 2.4, le moteur de stockage recommandé par défaut pour OpenLDAP est MDB ou LMDB (Lightning Memory-Mapped Database). Dans les distributions Red Hat par contre, c'est toujours le moteur BDB (Berkeley DataBase), ou son évolution HDB (Hierarchical Database) qui est recommandé et utilisable, vu la version ancienne utilisé : 2.4.23.

HDB est une variante du backend BDB. HDB utilise un modèle hiérarchique, qui supporte notamment le renommage d'un sous-arbre. Etant basé sur BDB, les mêmes options de configurations sont présentes.

En savoir plus sur OpenLDAP - Changer de moteur backend

[ITDS] Modification de la longueur d'un attribut

Modification de la longueur d'un attribut ITDS

Lors du lancement d'un traitement sur un annuaire IBM Tivoli Directory Server (ITDS), on remarque ceci dans les logs (ibmslapd.log) :

07/11/2013 03:26:23 PM GLPRDB069E Attribute IIRUSERATTRIB8 has a maximum value length of 240. Current attribute value is of length 242.

Voyons ce que dit le schéma de l'annuaire :

En savoir plus sur [ITDS] Modification de la longueur d'un attribut

Installation ISIM6

Ce post de blog explique les étapes suivies et les écueils rencontrés lors de l'installation de ISIM6 (ex ITIM) sur une plate-forme Linux RedHat 64bits.

Depuis la version 6, IBM a renommé ITIM (IBM Tivoli Identity Manager) en ISIM (IBM Security Identity Manager).

L'environnement technique est le suivant :

ERROR CTGIMO019E - LDAP Error: Unbalanced parenthesis

Symptômes

Suite à l'ajout de rôles dynamiques sur une instance ITIM, on note un comportement curieux d'ITIM à chaque modification d'un utilisateur ; la modification échoue, avec le message de retour :

CTGIMO019E The following LDAP error occurred. Error: Unbalanced parenthesis.

En regardant les logs ITIM (trace.log), on identifie une stack dump java :

En savoir plus sur ERROR CTGIMO019E - LDAP Error: Unbalanced parenthesis

Modifier la description d'un adaptateur ITIM

Lorsqu'on charge un adaptateur ITIM (via Configure system > Manage Service Types) on récupère la description de l'adaptateur.

Par défaut, celui-ci n'est pas versionné, il s'agit juste d'une description :

En savoir plus sur Modifier la description d'un adaptateur ITIM

Optimisation OpenLDAP pour la suppression d'un membre d'un groupe

La suppression d'un membre dans un groupe (uniqueMember) est très longue par défaut, sur un groupe qui contient plus de 66 000 entrées :

time ldapmodify -x D bindn -w password-f delMember.ldif 
delete uniqueMember:
	uid=USER1,ou=employees,ou=users,ou=example,o=com
modifying entry "cn=InternalUsers,ou=groups,ou=example,o=com"
modify complete


real	6m17.845s
user	0m0.088s
sys	0m0.112s

Le fichier LDIF utilisé étant le suivant :

En savoir plus sur Optimisation OpenLDAP pour la suppression d'un membre d'un groupe

Sauvegarde et Restauration OpenLDAP

Sur un serveur Linux, la configuration OpenLDAP se trouve dans /etc/openldap, et plus précisément dans /etc/openldap/slapd.d.
Les données, quant à elles, se trouvent... où on leur a dit de se mettre, puisque ceci est défini pour chaque rootSuffix.

Par exemple, si pour notre rootSuffix, nous définissons dans le fichier /etc/openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif les informations suivantes (extrait) :

En savoir plus sur Sauvegarde et Restauration OpenLDAP

Positionnement des services ITIM dans la structure de l'organisation

Dans ITIM, un service est placé dans une "Business Unit". Une fois défini, il n'est pas possible de le bouger via la console ITIM (ce serait possible en modifiant son attribut erparent dans l'annuaire, mais pas supporté ni conseillé par IBM).

Le placement d'un service ITIM permet de le positionner par rapport à des règles de provisionnement ou encore des règles de sélection de service. Si on bouge un service, est peut donc potentiellement être en dehors du périmètre de ces règles.

Problème sur un OpenLDAP - LDAP: error code 18 - no matching rule

OpenLDAP est souvent un peu chatouilleux sur le respect de la syntaxe LDAP, nous l'avons déjà vu par ailleurs (cf . http://www.vincentliefooghe.net/node/45).

J'ai eu récemment des problèmes dans le provisionnement d'un annuaire OpenLDAP par ITIM, avec dans les traces ITIM (le fichier trace.log), les lignes :

En savoir plus sur Problème sur un OpenLDAP - LDAP: error code 18 - no matching rule

ITIM : Data Synchronization

Avant de pouvoir lancer des rapports d'activité, audit et autres dans ITIM, il faut auparavant lancer une "Data Synchronization".
Cette étape peut parfois être très longue, en fonction des données à traiter. Sur notre plate-forme de production, tout récemment initialisée, l'opération a duré 47 minutes pour 70 000 personnes (et aucun compte externe à ITIM).

En savoir plus sur ITIM : Data Synchronization

S'abonner à IAM