Annuaire LDAP, SSO-CAS, ESUP Portail - Octobre 2006

La page est créée Yannick Sanchez

Ordinateurs et technique

Français

Like
Partager
Intégrer
Plein écran
Diapositives
Télécharger HTML
Télécharger PDF
Abus

←

CONTINUER À LIRE

→

Transcription du contenu de la page

Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous

Annuaire LDAP, SSO-CAS,
                      ESUP Portail...

Patrick DECLERCQ – CRI Lille 1        Octobre 2006

Plan

Annuaire LDAP :
  - Présentation
  - Recommandations (SUPANN)
  - Architecture
  - Alimentation, mises à jour
  - Consultation
  - Services (authentification...)
  - Réglementation (CNIL...)
  - Evolutions

SSO (Single Sign On) :
  - Problématique
  - Réponses
  - CAS

ESUP Portail

Annuaire LDAP : présentation

  Un annuaire LDAP n'est pas qu'un annuaire téléphonique !

  Il contient un ensemble d'informations relatives à des personnes
  (comptes, mots de passe...), à des structures, etc...

  Contrôle d'accès : il peut donner accès à différents services en
  fonction des droits particuliers d'une personne.

  La gestion des comptes est centralisée, avec un même couple
  'compte / mot de passe' pour accéder à différents services.

  Aujourd’hui de nombreux services s'appuyent sur de l'authentification
  LDAP :
  messagerie, WiFi, VPN, SSO-CAS, ouverture de session Windows,
  cache WEB, connexion FAI...

Annuaire LDAP : recommandations

  Recommandations nationales SUPANN (juin 2003), pour que les
  annuaires de la communauté 'Education Recherche' partagent un
  modèle identique :

  •   assurer l'interopérabilité des différents annuaires (ENT),
  •   faciliter la mise en place d'un méta-annuaire national.

  Racine : dc=univ-lille1,dc=fr

      Deux unités organisationnelles : ou=people, ou=groups

      Un seul point d'entrée de l'extérieur :
         => personnels et étudiants dans le même annuaire.

  Mise en place d'une redondance d'annuaires (réplication automatique).

Annuaire LDAP : architecture

                             dc=fr
                          dc=univ-lille1

             ou=people                     ou=groups

              uid=declercq (personnel)           cn=CRI (structure)
              supannAffectation: CRI             memberUid: declercq

uid=antoine.dupont (étudiant)              cn=MASTER XXX (filière)
supannAffectation: MASTER XXX              memberUid: antoine.dupont

Annuaire LDAP : architecture

  Exemple d'entrée 'personnel' LDAP:
  dn: uid=declercq,ou=people,dc=univ-lille1,dc=fr
  objectClass: inetOrgPerson (classe d'objet par défaut qui caractérise une personne)
    objectClass: supannPerson (recommandations SUPANN)
      objectClass: posixAccount (authentification type Unix)
        objectClass: sambaAccount (ouverture de session Windows)
          objectClass: ustlPerson (interne à l'établissement)
            objectClass: radiusProfile (authentification WiFi)
  cn: Declercq Patrick
  sn: Declercq
  givenName: Patrick
  uid: declercq
  userPassword:: {CRYPT}ZZZZZZZZZZZZZ
  mail: Patrick.Declercq@univ-lille1.fr
  telephoneNumber: + 33 3 20 43 44 26
    supannCivilite: M.
    supannAffectation: CRI – Centre de Ressources Informatiques
    supannListeRouge: FALSE
      uidNumber: 6304
      gidNumber: 5000
        lmPassword: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
        ntPassword: YYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY
          ustlDepartement: CRI
          ustlRole: Correspondant annuaire de l'USTL
            radiusGroupName: personnel

Annuaire LDAP : alimentation, mises à jour

  Pour les étudiants :
  •   Par la base de scolarité Rimbaus (toutes les nuits).
  •   Validation de l'adresse électronique et de la boîte aux lettres
      par l’intermédiaire du portail universitaire.
  •   Changement de mot de passe interactif.
  •   Redirection d'adresse email.

  Pour les personnels :
  •   En partie par le fichier Harpège du service des personnels
      (titulaires, contractuels).
  •   Pas d'alimentation automatique pour les personnels non encore
      présents dans Harpège (CNRS, hébergés...).
  •   Bouton 'Mise à jour' de la page annuaire du site de l'Université.

  Les doctorants ont droit à certains attributs 'personnel' (téléphone,
  localisation, photo...).

Annuaire LDAP : consultation

  •   Par la page annuaire du site de l'Université :
              http://annuaire.univ-lille1.fr

  •   Par votre outil de messagerie :

             host : ldap.univ-lille1.fr

             base : ou=people,dc=univ-lille1,dc=fr

             filtres possibles :
             (&(supannAffectation=*UFR de Physique)(eduPersonAffiliation=faculty))

Annuaire LDAP : services

  Pour les étudiants :

  • authentification messagerie (Webmail IMP/Horde),
  • authentification Linux (6 salles de TP, aux bâtiments M5 et SUP),
  • authentification Windows par Samba (centre de ressources MASTER),
  • authentification WiFi,
  • authentification VPN (que pour les doctorants),
  • authentification au portail (site WEB d'ouverture de boîte aux lettres...),
  • listes de messagerie SYMPA.

  • récupération des attributs d'authentification par le SEMM pour
    la connexion au portail USTEL,
  • récupération des attributs d'authentification pour ouverture de
    sessions Windows au Centre de Doc de Sciences Eco.

Annuaire LDAP : services

  Pour les personnels :

  • authentification WiFi,
  • authentification VPN,
  • authentification au portail de l'Université,
  • listes de messagerie SYMPA.

  Prochainement : messagerie POP, IMAP,
  authentification WebMail (IMP/Horde).

Annuaire LDAP : réglementation

  Personnels :

  partie annuaire déclarée à la CNIL, publication de données nominatives
  avec l'accord de la personne.

  Etudiants:

  pas de déclarartion CNIL mais le fichier source Rimbaus l’est.
  Les étudiants (hors doctorants) ne sont vus que de l'Intranet.

Annuaire LDAP : réglementation

  Données nominatives :
  •   publiées avec l’accord de la personne,
  •   utilisées dans le cadre d ’un objectif précis,
  •   durée de conservation raisonnable,
  •   sécurité physique et logique des données,
  •   accessibles qu’aux seules personnes autorisées.

  http://www.cnil.fr
  http://www.educnet.education.fr/legamedia

Annuaire LDAP : évolutions

  Pour les personnels :

  Mise en place d'un guichet unique :

  •   attribution d'un couple 'compte / mot de passe' à chaque nouvel
      arrivant, après passage par le service des personnels (enregistrement
      automatique dans l'annuaire),

  •   connexion au portail pour valider l'ouverture d'une boîte aux lettres au CRI,
      l’accès au réseau Wifi...

  Mise à jour automatisée des numéros de téléphone et des attributs de
  localisation (bâtiment, étage, bureau) par le nouvel autocommutateur.

SSO-CAS (Single Sign On)

  Problématique :
  • authentification unique (une seule authentification pour accéder à
    différents services),
  • assurer la sécurité,
  • assurer la connexion inter-établissement.

  Réponses apportées :
  • un seul système d'authentification,
  • rédirections https,
  • passage d'informations sous forme de cookies, entre le serveur
    d'authentification et les applications.

  Pourquoi ?
  => en vue de la mise en place d'un environnement de travail numérique.

  Produit SSO : CAS (Central Authentication Service)
  S'appuie sur une authentification LDAP.

Esup-Portail

  Les ENT instaurent un mode de relation nouveau pour l'étudiant,
  l'enseignant, les services de l'établissement.

  Applications dans le domaine administratif, pédagogique, recherche,
  documentaire :
  Bureau numérique, Web TV, WebMail (IMP/Horde),
  gestionnaire de listes de diffusion (Sympa), campus virtuel, E-learning,
  accès à l'offre de formations, services pédagogiques, documentaires...

  Esup-Portail s'appuie sur U-portal, SSO-CAS, les annuaires SUPANN,
  le Projet Open Source...

  Fédérations d'identités (Shibboleth) :
  délégation d'authentification, propagation d'attributs...

Vous pouvez aussi lire