Identity Cosmos » Active Directory

Webinar sur la sécurité et l’intégrité des données dans Active Directory

Sylvain — Sun, 18 Sep 2011 10:34:23 +0000

NetIQ a organisé avec l’aide de Darren Mar-Elia un webinar sur la sécurité et l’intégrité des données dans Active Directory. Pour ceux qui ne connaissent pas encore Darren, et bien disons que c’est le genre de personnage qui illumine les soirées par son intelligence et son agilité d’esprit. Je croise Darren tous les ans au MVP Summit, car il est lu aussi MVP sur les GPOs, et c’est franchement un réel plaisir d’échanger avec lui sur sa vision de l’IT et sur l’avenir de notre métier. En tant que ex-concepteur de Vintela, ex-CTO de Quest et actuel CEO de SDM Software, autant dire que ce sont des conversations ouvertes et intéressantes.

Vous retrouverez dans ce webinar gratuit toute la passion et intelligence de Darren, il est à voir si vous travaillez de près ou de loin avec Active Directory et la sécurité. Le webinar est accessible [ ici ]

Lion & Active Directory: Trucs et astuces

Sylvain — Wed, 10 Aug 2011 09:57:58 +0000

MacWindows.com est un des sites de référence en terme de gestion de l’interopérabilité entre le monde Apple et Microsoft. L’arrivée de Lion apporte un nombre de bugs et de facteurs d’instabilité très important en ce qui concerne la connexion à des serveurs NAS ou la connexion à Active Directory. C’est pourquoi le blog MacWindows consacre une part très importante des derniers posts sur les différents trucs et astuces pour corriger ou contourner ces problèmes de connexion survenus depuis la sortie du dernier OS d’Apple. En effet, de nombreuses organisations utilisant le plug-in d’authentification à Active Directory découvrent des problèmes récurrents alors inconnus avec les versions précédentes. Les causes réelles de ces dysfonctionnements ne sont pas clairement expliquées par Apple, qui préfère annoncer pour l’instant des patchs pour les semaines à venir, sans garantir le support du fonctionnement tel que connu avant Lion. Si vous administrez du Lion sur votre réseau, je vous invite donc à regarder sur MacWindows.com si il n’y a pas quelques réponses à vos questions existentielles.

Etude comparative des solutions d’intégration gratuites à Active Directory pour les systèmes Unix et Linux

Sylvain — Sat, 16 Jul 2011 15:30:25 +0000

Une étude extrêmement intéressante a été réalisée par Rodney Ruddock, consultant au sein de la société Interop Systems, qui est un cabinet d’expertise Américain spécialisé dans les études de marché techniques en ce concerne les problématiques d’interopérabilité.

Cette excellente étude compare les différentes solutions logicielles gratuites permettant d’intégrer les systèmes Unix, Linux et Mac dans Active Directory, et qui permettent aux organisations d’utiliser Active Directory comme annuaire centralisant pour les authentifications des utilisateurs quel que soit le système utilisé. cette approche apportant de nombreux avantages tels que: unicité du nom utilisateur et du mot passe utilisateur sur l’ensemble des systèmes, centralisation des logs d’authentification sur les contrôleurs de domaine AD, stratégie de politique et de complexité de mot de passe unifiée sur l’ensemble des systèmes, etc.

En substance, voila les conclusions de Rodney Ruddock dans le tableau suivant, les cases en jaune indiquant les éléments significatifs et importants selon Rodney Ruddock:

Rodney Ruddock préconisant donc Centrify Express comme la solution idéale pour l’intégration gratuite des environnements hétérogènes dans Active Directory.

L’étude complète est accessible [ ICI ]

Active Directory 2008 R2: Backup et DRP

Sylvain — Thu, 16 Jun 2011 16:47:53 +0000

Peter Van Keymeulen est un consultant infrastructure de haut niveau travaillant pour une société de consulting belge spécialisée dans le domaine des infrastructures Microsoft. Il a créé il y a peu un document vraiment complet concernant les méthodes de sauvegarde et de restauration pour un Active Directory sous Windows 2008 R2. La partie restauration traite de façon précise les éléments nécessaire à un DRP (genre, c’est vraiment la misère de la misère noire…car pour faire un vrai DRP Active Directory, il faut quand même être motivé… ou ne pas avoir le choix…) J’ai vraiment été très impressionné par la qualité et l’exhaustivité du document, je me devais de vous le faire partager.

Bon d’accord, le document est en Anglais et non en Français, mais c’est pour en faire profiter le plus grand nombre car il faut bien reconnaitre que les articles du Microsoft Technet ne sont pas toujours très précis. Et puis, cela pourrait être pire… en Néerlandais !

Bonne lecture de ce [ très bon document ]

Centrify DirectExpress: Intégrer gratuitement les machines Mac, Linux et Unix dans Active Directory !!!

Sylvain — Tue, 31 May 2011 10:49:59 +0000

Centrify propose maintenant une version gratuite permettant de déployer et gérer l’intégration des environnement Mac, Linux et Unix dans Active Directory.

Bien sur, certaines fonctions ne sont pas présentes, donc pas de possibilité ici de gérer plusieurs UIDs/GIDs, de supporter les SmartCard ou de faire des GPOs sur les systèmes (fonctions intégrées dans la version payante) – néanmoins, il est possible ici de gratuitement intégrer les systèmes hétérogènes dans Active Directory.

Il donc possible de réaliser une intégration transparente dans l’annuaire Microsoft et donc de permettre aux utilisateur d’utiliser le même mot de passe sur tous les systèmes et de profiter d’un SSO utilisateur basé sur kerberos. Cela est déjà génial !

Centrify DirectExpress est téléchargeable [ ICI ]

Si vous voulez en savoir plus sur Centrify DirectExpress avant le déploiement, vous pouvez regarder la vidéo suivante:

Les limites techniques d’Active Directory

Sylvain — Wed, 18 May 2011 10:23:59 +0000

Un post rapide pour signaler un article que j’ai trouvé par hasard sur le blog de la société Nelite expliquant les limites techniques d’Active Directory en ce qui concerne le nombres d’objets, le nombre de GPOs applicables, etc…

C’est très intéressant: http://blogs.nelite.com/blogs/identitysolutions/archive/2011/02/04/les-limites-d-active-directory.aspx et à garder sous le coude pour certains projets grands comptes…

De plus, je vous invite à conseiller vos client internes ou externes à mettre une vraie politique de sauvegarde Active Directory avec des outils dédiés et performants.

Est ce que freeIPA est l’Active Directory de RedHat ?

Sylvain — Thu, 17 Feb 2011 23:00:40 +0000

Apparu il y a quelques mois en version 1.0, la suite freeIPA est passée totalement inaperçue dans le monde de la gestion des identités et des accès. Et pourtant, la version 2.0 (pour l’instant en beta) propose une liste de fonctions qui rappelle fortement ce que propose Microsoft au travers d’Active Directory:

Service LDAP (anciennement Fedora Directory Server)
Service MIT Kerberos
Service NTP
Service DNS
Service d’autorité de certification
Interface d’administration en mode web ou en ligne de commandes
Gestion des comptes utilisateurs et des groupes

Avouez que la ressemblance est troublante…

J’ai pour habitude de dire qu’Active Directory, c’est trois éléments: [1] Un service LDAP [2] Un service Kerberos [3] Un ensemble d’autres choses… Le tout proposé avec des outils d’administration et de gestion intégrés.

freeIPA 2.0 proposera en Mars 2011 des outils de synchronisation avec Active Directory, à voir la comparaison avec un méta-annuaire.

Mais, le véritable chalenge sera comme souvent l’intégration des clients… Active Directory possède pour l’instant la plus grande couverture fonctionnelle de clients qui puisse exister: Windows, Mac, Unix, Linux, tout est possible ! Il sera donc très important de tester l’intégration des clients lors du test éventuel de freeIPA en version 2.0.

Sortie de la version 2.1 pendant l’été 2011.

Charte de nommage pour les objets publiés dans l’annuaire Active Directory

Sylvain — Fri, 29 Oct 2010 17:13:33 +0000

Microsoft fournit un article très intéressant sur la taxonomie à utiliser lorsque l’on publie des objets dans Active Directory. Cet article est accessible [ ici ] et présente dans les grandes lignes les chartes de nommages en fonction des différents objets, Nom Netbios Ordinateur, Nom FQDN Ordinateur, Nom Netbios de domaine, Nom de domain DNS, Nom des sites Active Directory, nom des OUs, et tout cela en relation avec les règles d’usage liées à Active Directory ou aux différentes RFCs officielles.

En oubliant pas qu’il existe une liste de noms interdits pour les nouveaux objets car déjà utilisés par le système:

Mots réservés pour les noms	Windows NT 4.0	Windows 2000	Windows Server 2003
ANONYMOUS	X	X	X
AUTHENTICATED USER		X	X
BATCH	X	X	X
BUILTIN	X	X	X
CREATOR GROUP	X	X	X
CREATOR GROUP SERVER	X	X	X
CREATOR OWNER	X	X	X
CREATOR OWNER SERVER	X	X	X
DIALUP	X	X	X
DIGEST AUTH			X
INTERACTIVE	X	X	X
INTERNET		X	X
LOCAL	X	X	X
LOCAL SYSTEM			X
NETWORK	X	X	X
NETWORK SERVICE			X
NT AUTHORITY	X	X	X
NT DOMAIN	X	X	X
NTLM AUTH			X
NULL	X	X	X
PROXY		X	X
REMOTE INTERACTIVE			X
RESTRICTED		X	X
SCHANNEL AUTH			X
SELF		X	X
SERVER		X	X
SERVICE	X	X	X
SYSTEM	X	X	X
TERMINAL SERVER		X	X
THIS ORGANIZATION			X
USERS			X
WORLD	X	X	X

En direct de MacWorld 2010 – Comment intégrer un Mac dans Active Directory !?!

Sylvain — Tue, 30 Mar 2010 20:31:15 +0000

Voici une vidéo tournée en direct sur MacWorld 2010, en février dernier. Elle montre en quelques minutes comment intégrer un Mac dans un annuaire Active Directory et donc comment avoir GPO, kerberos, SSO, controle d’accès, etc… comme pour un PC sous Windows !

Active Directory a 10 ans !!!

Sylvain — Thu, 25 Mar 2010 08:43:28 +0000

Active Directory a maintenant 10 ans !!!

Cette date est passée inaperçue, doucement, comme si cela était normal… N’oublions pas qu’il y a donc un peu plus de 10 ans, Microsoft ne proposait « que » la base SAM NT 4.0 comme annuaire de comptes. Le véritable annuaire étant en fait à l’époque l’annuaire proposé par Exchange Server 5.5. La pression exercée par Novell sur les NOS fut alors totalement retournée contre Novell, et il faut bien reconnaitre que Microsoft a largement réussi son OPA sur les NOS… Quel est maintenant l’avenir d’Active Directory ? in the cloud ? ou pas ? Geneva sera t-il le prochain Active Directory ? j’ai personnellement du mal a y croire… Est ce que votre entreprise veut mettre son creuset identitaire chez un tiers ? « in the cloud » ? sans aucun contrôle technique et éthique ? cela semble plutôt improbable… ou suicidaire… au choix.

A suivre….