Articles avec le tag ‘Active Directory’

Webinar sur la sécurité et l’intégrité des données dans Active Directory

Dimanche 18 septembre 2011

NetIQ a organisé avec l’aide de Darren Mar-Elia un webinar sur la sécurité et l’intégrité des données dans Active Directory. Pour ceux qui ne connaissent pas encore Darren, et bien disons que c’est le genre de personnage qui illumine les soirées par son intelligence et son agilité d’esprit. Je croise Darren tous les ans au MVP Summit, car il est lu aussi MVP sur les GPOs, et c’est franchement un réel plaisir d’échanger avec lui sur sa vision de l’IT et sur l’avenir de notre métier. En tant que ex-concepteur de Vintela, ex-CTO de Quest et actuel CEO de SDM Software, autant dire que ce sont des conversations ouvertes et intéressantes.

Vous retrouverez dans ce webinar gratuit toute la passion et intelligence de Darren, il est à voir si vous travaillez de près ou de loin avec Active Directory et la sécurité. Le webinar est accessible [ ici ]

 

Tags :,
Publié dans Webinar | Aucun commentaire »

Lion & Active Directory: Trucs et astuces

Mercredi 10 août 2011

MacWindows.com est un des sites de référence en terme de gestion de l’interopérabilité entre le monde Apple et Microsoft. L’arrivée de Lion apporte un nombre de bugs et de facteurs d’instabilité très important en ce qui concerne la connexion à des serveurs NAS ou la connexion à Active Directory. C’est pourquoi le blog MacWindows consacre une part très importante des derniers posts sur les différents trucs et astuces pour corriger ou contourner ces problèmes de connexion survenus depuis la sortie du dernier OS d’Apple. En effet, de nombreuses organisations utilisant le plug-in d’authentification à Active Directory découvrent des problèmes récurrents alors inconnus avec les versions précédentes. Les causes réelles de ces dysfonctionnements ne sont pas clairement expliquées par Apple, qui préfère annoncer pour l’instant des patchs pour les semaines à venir, sans garantir le support du fonctionnement tel que connu avant Lion. Si vous administrez du Lion sur votre réseau, je vous invite donc à regarder sur MacWindows.com si il n’y a pas quelques réponses à vos questions existentielles.

Tags :, , , ,
Publié dans interopérabilité | Aucun commentaire »

Etude comparative des solutions d’intégration gratuites à Active Directory pour les systèmes Unix et Linux

Samedi 16 juillet 2011

Une étude extrêmement intéressante a été réalisée par Rodney Ruddock, consultant au sein de la société Interop Systems, qui est un cabinet d’expertise Américain spécialisé dans les études de marché techniques en ce concerne les problématiques d’interopérabilité.

Cette excellente étude compare les différentes solutions logicielles gratuites permettant d’intégrer les systèmes Unix, Linux et Mac dans Active Directory, et qui permettent aux organisations d’utiliser Active Directory comme annuaire centralisant pour les authentifications des utilisateurs quel que soit le système utilisé. cette approche apportant de nombreux avantages tels que: unicité du nom utilisateur et du mot passe utilisateur sur l’ensemble des systèmes, centralisation des logs d’authentification sur les contrôleurs de domaine AD, stratégie de politique et de complexité de mot de passe unifiée sur l’ensemble des systèmes, etc.

En substance, voila les conclusions de Rodney Ruddock dans le tableau suivant, les cases en jaune indiquant les éléments significatifs et importants selon Rodney Ruddock:

Rodney Ruddock préconisant donc Centrify Express comme la solution idéale pour l’intégration gratuite des environnements hétérogènes dans Active Directory.

L’étude complète est accessible [ ICI ]

 

Tags :, , , , ,
Publié dans interopérabilité, Stratégie, Technique | Aucun commentaire »

Active Directory 2008 R2: Backup et DRP

Jeudi 16 juin 2011

Peter Van Keymeulen est un consultant infrastructure de haut niveau travaillant pour une société de consulting belge spécialisée dans le domaine des infrastructures Microsoft. Il a créé il y a peu un document vraiment complet concernant les méthodes de sauvegarde et de restauration pour un Active Directory sous Windows 2008 R2. La partie restauration traite de façon précise les éléments nécessaire à un DRP (genre, c’est vraiment la misère de la misère noire…car pour faire un vrai DRP Active Directory, il faut quand même être motivé… ou ne pas avoir le choix…) J’ai vraiment été très impressionné par la qualité et l’exhaustivité du document, je me devais de vous le faire partager.

Bon d’accord, le document est en Anglais et non en Français, mais c’est pour en faire profiter le plus grand nombre car il faut bien reconnaitre que les articles du Microsoft Technet ne sont pas toujours très précis. Et puis, cela pourrait être pire… en Néerlandais !

Bonne lecture de ce [ très bon document ]

Tags :,
Publié dans Microsoft, Technique | Aucun commentaire »

Centrify DirectExpress: Intégrer gratuitement les machines Mac, Linux et Unix dans Active Directory !!!

Mardi 31 mai 2011

Centrify propose maintenant une version gratuite permettant de déployer et gérer l’intégration des environnement Mac, Linux et Unix dans Active Directory.

Bien sur, certaines fonctions ne sont pas présentes, donc pas de possibilité ici de gérer plusieurs UIDs/GIDs, de supporter les SmartCard ou de faire des GPOs sur les systèmes (fonctions intégrées dans la version payante) – néanmoins, il est possible ici de gratuitement intégrer les systèmes hétérogènes dans Active Directory.

Il donc possible de réaliser une intégration transparente dans l’annuaire Microsoft et donc de permettre aux utilisateur d’utiliser le même mot de passe sur tous les systèmes et de profiter d’un SSO utilisateur basé sur kerberos. Cela est déjà génial !

Centrify DirectExpress est téléchargeable [ ICI ]

Si vous voulez en savoir plus sur Centrify DirectExpress avant le déploiement, vous pouvez regarder la vidéo suivante:

Tags :, , , , , , ,
Publié dans interopérabilité, Microsoft | 3 commentaires »

Les limites techniques d’Active Directory

Mercredi 18 mai 2011

Un post rapide pour signaler un article que j’ai trouvé par hasard sur le blog de la société Nelite expliquant les limites techniques d’Active Directory en ce qui concerne le nombres d’objets, le nombre de GPOs applicables, etc…

C’est très intéressant: http://blogs.nelite.com/blogs/identitysolutions/archive/2011/02/04/les-limites-d-active-directory.aspx et à garder sous le coude pour certains projets grands comptes…

De plus, je vous invite à conseiller vos client internes ou externes à mettre une vraie politique de sauvegarde Active Directory avec des outils dédiés et performants.

 

Tags :,
Publié dans Microsoft, Technique | Aucun commentaire »

Est ce que freeIPA est l’Active Directory de RedHat ?

Vendredi 18 février 2011

redhat_freeIPA Apparu il y a quelques mois en version 1.0, la suite freeIPA est passée totalement inaperçue dans le monde de la gestion des identités et des accès. Et pourtant, la version 2.0 (pour l’instant en beta) propose une liste de fonctions qui rappelle fortement ce que propose Microsoft au travers d’Active Directory:

  • Service LDAP (anciennement Fedora Directory Server)
  • Service MIT Kerberos
  • Service NTP
  • Service DNS
  • Service d’autorité de certification
  • Interface d’administration en mode web ou en ligne de commandes
  • Gestion des comptes utilisateurs et des groupes

HighLevelArchV2

Avouez que la ressemblance est troublante…

J’ai pour habitude de dire qu’Active Directory, c’est trois éléments: [1] Un service LDAP [2] Un service Kerberos [3] Un ensemble d’autres choses…  Le tout proposé avec des outils d’administration et de gestion intégrés.

freeIPA 2.0 proposera en Mars 2011 des outils de synchronisation avec Active Directory, à voir la comparaison avec un méta-annuaire.

Mais, le véritable chalenge sera comme souvent l’intégration des clients… Active Directory possède pour l’instant la plus grande couverture fonctionnelle de clients qui puisse exister: Windows, Mac, Unix, Linux, tout est possible ! Il sera donc très important de tester l’intégration des clients lors du test éventuel de freeIPA en version 2.0.

Sortie de la version 2.1 pendant l’été 2011.

Tags :, , , , ,
Publié dans interopérabilité, Technique | 1 commentaire »

Charte de nommage pour les objets publiés dans l’annuaire Active Directory

Vendredi 29 octobre 2010

Alphabet Microsoft fournit un article très intéressant sur la taxonomie à utiliser lorsque l’on publie des objets dans Active Directory. Cet article est accessible [ ici ] et présente dans les grandes lignes les chartes de nommages en fonction des différents objets, Nom Netbios Ordinateur, Nom FQDN Ordinateur, Nom Netbios de domaine, Nom de domain DNS, Nom des sites Active Directory, nom des OUs,  et tout cela en relation avec les règles d’usage liées à Active Directory ou aux différentes RFCs officielles.

En oubliant pas qu’il existe une liste de noms interdits pour les nouveaux objets car déjà utilisés par le système:

Mots réservés pour les noms Windows NT 4.0 Windows 2000 Windows Server 2003
ANONYMOUS X X X
AUTHENTICATED USER X X
BATCH X X X
BUILTIN X X X
CREATOR GROUP X X X
CREATOR GROUP SERVER X X X
CREATOR OWNER X X X
CREATOR OWNER SERVER X X X
DIALUP X X X
DIGEST AUTH X
INTERACTIVE X X X
INTERNET X X
LOCAL X X X
LOCAL SYSTEM X
NETWORK X X X
NETWORK SERVICE X
NT AUTHORITY X X X
NT DOMAIN X X X
NTLM AUTH X
NULL X X X
PROXY X X
REMOTE INTERACTIVE X
RESTRICTED X X
SCHANNEL AUTH X
SELF X X
SERVER X X
SERVICE X X X
SYSTEM X X X
TERMINAL SERVER X X
THIS ORGANIZATION X
USERS X
WORLD X X X

Tags :, , ,
Publié dans Non classé, Technique | Aucun commentaire »

En direct de MacWorld 2010 – Comment intégrer un Mac dans Active Directory !?!

Mardi 30 mars 2010

macworld Voici une vidéo tournée en direct sur MacWorld 2010, en février dernier. Elle montre en quelques minutes comment intégrer un Mac dans un annuaire Active Directory et donc comment avoir GPO, kerberos, SSO, controle d’accès, etc… comme pour un PC sous Windows !

Tags :,
Publié dans interopérabilité, Non classé | Aucun commentaire »

Active Directory a 10 ans !!!

Jeudi 25 mars 2010

Active Directory a mhappy_birthday_cakeaintenant 10 ans !!!

Cette date est passée inaperçue, doucement, comme si cela était normal… N’oublions pas qu’il y a donc un peu plus de 10 ans, Microsoft ne proposait « que » la base SAM NT 4.0 comme annuaire de comptes. Le véritable annuaire étant en fait à l’époque l’annuaire proposé par Exchange Server 5.5. La pression exercée par Novell sur les NOS fut alors totalement retournée contre Novell, et il faut bien reconnaitre que Microsoft a largement réussi son OPA sur les NOS… Quel est maintenant l’avenir d’Active Directory ? in the cloud ? ou pas ?  Geneva sera t-il le prochain Active Directory ? j’ai personnellement du mal a y croire… Est ce que votre entreprise veut mettre son creuset identitaire chez un tiers ? « in the cloud » ? sans aucun contrôle technique et éthique ? cela semble plutôt improbable… ou suicidaire… au choix.

A suivre….

Tags :, , ,
Publié dans Microsoft, Stratégie | 1 commentaire »

Un nouveau blog dédié au « group management »

Samedi 27 février 2010

getgroupblog Un nouveau blog vient d’apparaitre dans la blogosphère de la gestion de l’identité et des accès. Il s’agit du get-group blog [ http://blog.imanami.com/] – La particularité de ce blog est de réaliser un focus sur la méthode du Group Based Access Control (GBAC), méthode dérivée du RBAC qui permet de construire une méthode de contrôle d’accès basée sur les groupes et non pas sur les rôles. Cette méthode à l’avantage de la simplicité comparée à une méthode classique de RBAC, mais doit être complétée par une méthode d’audit des groupes pour être efficace en terme de reporting. Néanmoins, il s’agit d’une méthode tout à fait adaptée aux entreprise qui ne souhaitent pas investir dans le RBAC. Ce Blog est donc une initiative interressante pour tout consultant travaillant dans le monde des annuaires ou de l’IAM.

Tags :, , , ,
Publié dans Stratégie | Aucun commentaire »

Microsoft ILM 2007 supporte maintenant Exchange Server 2010

Jeudi 28 janvier 2010

logo-ilm2007Microsoft met à disposition le SP1 pour ILM 2007 FP1 – il s’agit donc de ILM 2007 FP1 SP1… Le service pack est téléchargeable ici [ Téléchargement de ILM 2007 FP1 SP1 ] – Au delà de fournir un package reprenant l’ensemble des correctifs sortis depuis le FP1, ce service pack permet surtout d’utiliser GALSync Management Agent ou un agent Active Directory personnalisé pour réaliser le provisioning vers Exchange Server 2010.

Pour utiliser cette fonctionnalité, les conditions suivantes doivent être remplies :

  • Le compte de service d’ILM 2007 synchronisation doit être un compte de domaine.
  • Le serveur ILM 2007 synchronisation doit être associé à un domaine. Toutefois, le serveur est connecté au domaine dans lequel la mise en service se produit.
  • PowerShell 2.0 doit être installé sur le serveur ILM. En outre, PowerShell 2.0 doivent être installés et configuré pour l’accès à distance sur Exchange Server 2010 Client Access Server (CAS)

Pour effectuer le provisionnement de boîtes aux lettres pour Exchange Server 2010, il faut utiliser le code qui appelle la méthode ExchangeUtils.CreateMailbox ou un autre code personnalisé. Il faut veiller à ajouter l’attribut msExchHomeServerName dans le code de mise en service pour créer une boîte aux lettres.

Tags :, , ,
Publié dans Microsoft | Aucun commentaire »

Utilisation des SmartCard en environnement mixte Macintosh-Microsoft

Dimanche 15 novembre 2009

Cette vidéo illustre la possibilité d’utiliser Active Directory et l’autorité de certification de Microsoft en tant que briques d’infrastructure centralisatrices pour l’utilisation des carte à puces de type Gemalto .NET dans des environnements mixtes de type Macintosh ou Microsoft. Cette possibilité est fournit grâce à l’utilisation combinée des drivers PKCS#11 et de la solution Centrify DirectControl:

Tags :, , , ,
Publié dans interopérabilité, Microsoft | Aucun commentaire »

Novell vous offre… Active Directory !

Jeudi 6 août 2009

suse_logoJ’ai assisté il y a quelques semaines à une présentation de Novell France sur le sujet des nouveautés autour de Open Entreprise Server 2.

Présentation à la fois talentueuse de la part des présentateurs et extrèmement intéressante sur le contenu lui-même.

Pendant cette présentation, la solution qui a le plus attiré mon attention est sans conteste  » Domain Services for Windows ».

Voilà comment Novell France présente ce service sur son site web:

Domain Services pour Windows rationalise la gestion des utilisateurs et des groupes, tout en simplifiant l’infrastructure des environnements hétérogènes. Grâce à cette technologie novatrice, les utilisateurs de Microsoft Windows ont accès aux services OES par le biais des protocoles Windows et Active Directory en natif. En effet, elle permet aux serveurs eDirectory exécutés sous Open Enterprise Server de se comporter comme des serveurs Active Directory. Ainsi, les entreprises peuvent déployer ces deux services Annuaire et optimiser la coexistence entre les deux plates-formes. En d’autres termes, les utilisateurs peuvent travailler dans un environnement de bureau exclusivement Windows tout en continuant à tirer parti de la technologie et des services dorsaux d’Open Enterprise Server, sans même avoir besoin d’installer un client Novell sur leur poste de travail.

La tâche des administrateurs s’en trouve également simplifiée car ils peuvent gérer les utilisateurs et les groupes avec Novell iManager ou MMC (Microsoft Management Console). En outre, les administrateurs réseau sont capables d’utiliser les outils dont chaque serveur dispose en natif pour gérer les systèmes de fichiers, et de centraliser l’administration des partages Samba sur les serveurs OES Linux/DSFW via iManager. De plus, MMC permet aux administrateurs de créer des listes d’approbation unidirectionnelles entre les domaines DSFW et Active Directory.

Domain Services pour Windows prend en charge le verrouillage multi-protocoles lorsqu’il est déployé dans un environnement exploitant le protocole NCP (NetWare Core Protocol). Que les clients choisissent d’utiliser des clients Windows, NCP ou les deux, les fichiers sont soumis aux droits d’accès du Novell Storage Services (NSS).

Domain Services pour Windows n’est ni un méta-annuaire ni un connecteur de synchronisation entre eDirectory et Active Directory. Il ne s’agit pas non plus d’un émulateur de bureau. Domain Services pour Windows est uniquement exploitable sur les déploiements d’Open Enterprise Server 2 SP1 sous SUSE Linux Enterprise.

Le principe est assez étonnant, il s’agit d’une émulation du service Active Directory sur un serveur SUSE. Mais là où SAMBA s’arrete à une émulation de type NT.4, le service de Novell permet une véritable intégration Active Directory, gérable par la MMC Microsoft comme si il s’agissait d’un véritable Active Directory. D’après Novell, il est tout a fait possible de mixer des DCs Windows avec des DCs émulés par ce service au sein de la même forêt.

Des tests ont été réalisés avec SharePoint, qui serait une application compatible avec ce service, mais à priori, certaines applications comme Exchange Server ne sont pas encore supportée. Donc méfiance… Des tests s’imposent. Quoi qu’il en soit, la démonstration été bluffante et l’idée de Novell tout à fait novatrice, du moins dans l’implémentation.

Je testerai personnellement ce service très prochainement et posterai les résultats sur ce blog.

Tags :,
Publié dans Nouvelle version, Stratégie | Aucun commentaire »

Se connecter sur Active Directory ou un annuaire LDAP avec WinDev

Lundi 3 août 2009

Tags :, ,
Publié dans Développement | Aucun commentaire »

Migrer vos domaines NIS vers Active Directory

Samedi 1 août 2009

nis-migrationcom La migration NIS est une des problématiques majeures de l’ensemble des grands groupes que j’ai pu rencontrer. En effet, les domaines NIS ou NIS+ ne sont plus supportés par SUN, l’inventaire du protocole. De plus, le protocole d’authentification NIS n’étant pas sécurisé (en fait, vraiment pas sécurisé…), il est important de migrer pour des raisons sécuritaires ou pour des besoins de compatibilité SOX ou PCI.

Classiquement, le premier réflexe est d’imaginer migrer les informations contenues dans les domaines NIS ou NIS+ vers un annuaire LDAP. Après ce premier réflexe, les ennuis commencent… La première problématique étant bien évidemment la collision des UIDs. En effet, dans le monde réel (et pas celui de PowerPoint) un utilisateur physique unique possède plusieurs profils Unix en fonction du système sur lequel il doit se connecter, il est alors très compliqué de consolider potentiellement des dizaines d’UIDs vers un seul attribut UID stocké dans un annuaire LDAP.

C’est ici qu’Active Directory peut venir à l’aide des administrateurs ou architectes Unix !!! En effet, selon certaines conditions, il sera possible de migrer et conserver plusieurs UIDs dans l’annuaire Active Directory et ainsi conserver les accès aux ressources Unix sans modifier les UIDs sur l’ensemble des systèmes migrés.

Un site extrêmement bien construit www.nis-migration.com explique (en anglais) l’ensemble de la problématique et des possibilités techniques de la migration NIS -> Active Directory – Je reviendrais plus tard sur cette problématique très répandue dans les grands entreprises utilisant Unix ou Linux.

Tags :, , , ,
Publié dans Migration | Aucun commentaire »

Vidéo: Découvrez comment réaliser un SSO basé sur kerberos entre SAP et Active Directory

Mercredi 22 juillet 2009

Tags :, , , ,
Publié dans interopérabilité, Stratégie | Aucun commentaire »

WebTV intéropabilité des systèmes Unix, Linux et Mac avec Active Directory

Mercredi 22 juillet 2009

webcast2Les Groupes Utilisateurs font leur show ! -La Communauté Active Directory et Identity Management -Interopérabilité Windows-Linux-Unix-Mac

L’intéropérabilité ! C’est ce thème d’actualité que traîte la Communauté Active Directory et Identity Management lors de cette web TV dédiée au Groupes Utilisateurs,les experts Sylvain Cortes ( Président de la CADIM ) et Christophe Dubos (Microsoft) en font un tour d’horizon des solutions pour gérer les authentifications et les autorisations des systèmes Unix, Linux et Mac dans Active Directory, tout cela en 17 min ! Profitez de l’expertise de ces deux intervenants !

Pour visualiser la WebTV c’est ici: http://www.microsoft.com/france/vision/Technet-tv/Webcast.aspx?eid=2ae18d77-d4a9-40e6-9402-24fabf8339be

Tags :, , , , ,
Publié dans interopérabilité, Stratégie | Aucun commentaire »