Le léopard ne rugit plus…

MacOS_snowleopard C’est avec un grand enthousiasme que j’ai pu tester aujourd’hui la dernière version de MAC OS X, portant le numéro de version 10.6, autrement appelé “Snow Leopard”. Malheureusement les conclusions étaient beaucoup moins excitantes que les magnifiques illustrations en couverture de la “box”.

En effet, si de nombreuses nouveautés interresseront les spécialistes de La Pomme, telles que Producer 2, la gestion des Iphone, etc… ou les entreprises utilisant Exchange Server avec un support avancé des fonctionnalité de type Groupware, la partie annuaire est le parent pauvre de cette release… En effet, aucune nouveauté digne de ce nom à l’horizon. Est ce qu’Apple a définitivement jeter l’éponge de la gestion des identités, même pour ses propres OS et utilisateurs, c’est bien possible…

Bref des nouveautés interressantes pour les graphistes, les utilisateurs d’Exchange Server…des améliorations en terme de performance et d’ergonomie (notables sur le WiFi)… des améliorations importantes pour les utilisateurs “historiques” de la marque, mais assez peu de nouveautés donnant l’envie de remplacer son annuaire d’entreprise par un léopard…même des neiges…

Vidéo: Gestion du cycle de vie des Tokens OTP depuis Forefront Identity Manager 2010

gemalto_dualdotnet Gérer le cycle des identités en prenant en compte les modules OTP, tel est le challenge de cette vidéo qui démontre comment intégrer le provisioning des modules OTP Gemalto, et comment les associer à un utilisateur physique depuis un processus Forefront Identity Manager 2010.

Depuis une dizaine d’années de nombreuses organisations ont investi dans les technologies “One Time Password” (OTP) afin de sécuriser les accès VPN ou les accès à des applications sensibles telles que Outlook Web Access par exemple. Mais la création du Token OTP et son association avec l’utilisateur physique nécessitait généralement une intégration complexe dans le système de gestion des identités de l’entreprise ou une procédure manuelle couteuse et génératrice d’erreurs. L’association de FIM 2010 et des solutions Gemalto Protiva semble pouvoir couvrir ce problème récurrent.

Novell vous offre… Active Directory !

suse_logoJ’ai assisté il y a quelques semaines à une présentation de Novell France sur le sujet des nouveautés autour de Open Entreprise Server 2.

Présentation à la fois talentueuse de la part des présentateurs et extrèmement intéressante sur le contenu lui-même.

Pendant cette présentation, la solution qui a le plus attiré mon attention est sans conteste ” Domain Services for Windows”.

Voilà comment Novell France présente ce service sur son site web:

Domain Services pour Windows rationalise la gestion des utilisateurs et des groupes, tout en simplifiant l’infrastructure des environnements hétérogènes. Grâce à cette technologie novatrice, les utilisateurs de Microsoft Windows ont accès aux services OES par le biais des protocoles Windows et Active Directory en natif. En effet, elle permet aux serveurs eDirectory exécutés sous Open Enterprise Server de se comporter comme des serveurs Active Directory. Ainsi, les entreprises peuvent déployer ces deux services Annuaire et optimiser la coexistence entre les deux plates-formes. En d’autres termes, les utilisateurs peuvent travailler dans un environnement de bureau exclusivement Windows tout en continuant à tirer parti de la technologie et des services dorsaux d’Open Enterprise Server, sans même avoir besoin d’installer un client Novell sur leur poste de travail.

La tâche des administrateurs s’en trouve également simplifiée car ils peuvent gérer les utilisateurs et les groupes avec Novell iManager ou MMC (Microsoft Management Console). En outre, les administrateurs réseau sont capables d’utiliser les outils dont chaque serveur dispose en natif pour gérer les systèmes de fichiers, et de centraliser l’administration des partages Samba sur les serveurs OES Linux/DSFW via iManager. De plus, MMC permet aux administrateurs de créer des listes d’approbation unidirectionnelles entre les domaines DSFW et Active Directory.

Domain Services pour Windows prend en charge le verrouillage multi-protocoles lorsqu’il est déployé dans un environnement exploitant le protocole NCP (NetWare Core Protocol). Que les clients choisissent d’utiliser des clients Windows, NCP ou les deux, les fichiers sont soumis aux droits d’accès du Novell Storage Services (NSS).

Domain Services pour Windows n’est ni un méta-annuaire ni un connecteur de synchronisation entre eDirectory et Active Directory. Il ne s’agit pas non plus d’un émulateur de bureau. Domain Services pour Windows est uniquement exploitable sur les déploiements d’Open Enterprise Server 2 SP1 sous SUSE Linux Enterprise.

Le principe est assez étonnant, il s’agit d’une émulation du service Active Directory sur un serveur SUSE. Mais là où SAMBA s’arrete à une émulation de type NT.4, le service de Novell permet une véritable intégration Active Directory, gérable par la MMC Microsoft comme si il s’agissait d’un véritable Active Directory. D’après Novell, il est tout a fait possible de mixer des DCs Windows avec des DCs émulés par ce service au sein de la même forêt.

Des tests ont été réalisés avec SharePoint, qui serait une application compatible avec ce service, mais à priori, certaines applications comme Exchange Server ne sont pas encore supportée. Donc méfiance… Des tests s’imposent. Quoi qu’il en soit, la démonstration été bluffante et l’idée de Novell tout à fait novatrice, du moins dans l’implémentation.

Je testerai personnellement ce service très prochainement et posterai les résultats sur ce blog.

ILM est mort…Vive FIM !!!

fim2010 Exit ILM V2, c’est sous le nom de Forefront Identity Manager 2010 (FIM 2010) que Microsoft lancera très prochainement (Q1 2010 ?) la nouvelle mouture de sa suite de gestion des identités et des accès.

Ce changement de nom retranscrit il un virage “sécuritaire” de la vision de Microsoft sur le segment de la gestion des identités ? Ce qui est certain, c’est que la sortie de FIM 2010 coïncide avec un besoin croissant de la part des entreprises à gérer de façon efficace le cycle de vie des utilisateurs ainsi que les habilitations de chaque utilisateur au sein des processus métier: L’intégration de FIM avec .NET et WS-* permettra de réaliser des portails web utilisateurs et des workflow d’approbation de façon extrêmement simple pour la plupart des administrateurs et des gestionnaires de “provisioning”dans l’ensemble des organisations.

Migrer vos domaines NIS vers Active Directory

nis-migrationcom La migration NIS est une des problématiques majeures de l’ensemble des grands groupes que j’ai pu rencontrer. En effet, les domaines NIS ou NIS+ ne sont plus supportés par SUN, l’inventaire du protocole. De plus, le protocole d’authentification NIS n’étant pas sécurisé (en fait, vraiment pas sécurisé…), il est important de migrer pour des raisons sécuritaires ou pour des besoins de compatibilité SOX ou PCI.

Classiquement, le premier réflexe est d’imaginer migrer les informations contenues dans les domaines NIS ou NIS+ vers un annuaire LDAP. Après ce premier réflexe, les ennuis commencent… La première problématique étant bien évidemment la collision des UIDs. En effet, dans le monde réel (et pas celui de PowerPoint) un utilisateur physique unique possède plusieurs profils Unix en fonction du système sur lequel il doit se connecter, il est alors très compliqué de consolider potentiellement des dizaines d’UIDs vers un seul attribut UID stocké dans un annuaire LDAP.

C’est ici qu’Active Directory peut venir à l’aide des administrateurs ou architectes Unix !!! En effet, selon certaines conditions, il sera possible de migrer et conserver plusieurs UIDs dans l’annuaire Active Directory et ainsi conserver les accès aux ressources Unix sans modifier les UIDs sur l’ensemble des systèmes migrés.

Un site extrêmement bien construit www.nis-migration.com explique (en anglais) l’ensemble de la problématique et des possibilités techniques de la migration NIS -> Active Directory – Je reviendrais plus tard sur cette problématique très répandue dans les grands entreprises utilisant Unix ou Linux.