Identity Cosmos

MVP Summit & MVP Nation were great !

4 mars 201212 septembre 2012SylvainLeave a comment

Le MVP Summit et la conférence MVP Nation touchent à leur fin. Ce fut extrêmement intéressant, certaines nouveautés autour de Windows 8 Server sont tout simplement impressionnantes (mais je ne peux pas vous en parler…NDA for ever…) – Vous pouvez dès maintenant évaluer Windows 8 Server en téléchargeant la béta, et franchement, si vous êtes un » IT Pro », ne perdez pas de temps, il y a bcp de choses à voir…

Nous organiserons bientôt avec la www.cadim.org un évènement autour de la nouvelle version d’Active Directory et ferons des démonstrations en LIVE !

D’ici là, quelques photos du MVP Summit côté Frenchies: http://www.flickr.com/photos/mtoo/sets/72157629491660511/show/

Active Directory dans le nuage, est ce bien raisonnable ?

17 février 2012Sylvain1 Comment

Le service d’authentification rattaché à l’offre de Cloud Public de Microsoft, dont Office365, vient de changer de nom: il s’appelle dorénavant Windows Azure Active Directory (WAAD), et oui, carrément !

Attention, pas de confusion, pour l’instant il s’agit toujours d’un annuaire différent de l’annuaire « On premise » – En clair, il faut implémenter le service de synchronisation fournit par Microsoft afin de faire du push des comptes Utilisateurs et Groupes depuis l’Active Directory On Premise vers « l’annuaire » WAAD dans le nuage de Microsoft, et les fonctions ne sont pas les même.

Vous trouvez cela nuageux ? vous n’avez encore rien vu !

pour le push des objets, vous utiliserez le composant DirSync V2, qui est en fait un packaging spécifique du moteur de synchronisation d’ILM (oui, j’ai bien dit ILM, pas FIM, donc 32bits only) réalisé par l’équipe Cloud de Microsoft US. Cette synchronisation vous permettra alors de provisionner « automatiquement » une partie de vos objets dans l’annuaire en ligne utilisé par vos applications hébergées sur le service en ligne de Microsoft (ah, oui, j’oubliai, on ne dit plus ASP ou service en ligne, on dit Cloud…)

Pour un certain nombre de raisons techniques, cette synchronisation est actuellement obligatoire pour faire ensuite de la fédération d’identité et donc du SSO basé sur un scénario de fédération entre l’annuaire Active Directory local et le service d’annuaire dans le « cloud » de Microsoft.

Depuis quelques mois, une nouvelle brique à fait son apparition, il s’agit de ACS 2.0, pour être tout à fait honnête, je n’ai pas encore totalement intégré les subtilités fonctionnelles additionnelles de ce composant (d’ailleurs si certains veulent laisser des commentaires sur ce post…) à part le fait que je devrais être en théorie capable de fédérer des fournisseurs des services tel que Google ou Facebook, ce que je n’ai pas réussi à faire… et on ne peut pas dire que la documentation sur ce sujet me brule les yeux…

Bref, cela avance à petit pas, mais cela avance.

Le changement de nom du service d’authentification en Windows Azure Active Directory semble vouloir démontrer un futur « véritable » Active Directory dans le cloud de Microsoft. Pourquoi ne pas imaginer avoir des contrôleurs de domaine répliquant directement les informations « On premise » vers le cloud de Microsoft, au delà de la Fédération qui reste compliqué à implémenter pour beaucoup d’entreprises; pourquoi ne pas imaginer une abolition des frontières classique en terme de couverture d’annuaire ?

Pourquoi ne pas l’imaginer, oui, mais… est ce souhaitable ? c’est là pour moi la vraie question… j’avoue être assez émerveillé (ou horrifié, cela dépend…) par le peu de précaution que prennent les organisations avec ce type de sujet. Je vous laisse seul juge, mais voulez vous vraiment mettre votre Active Directory dans le nuage ???

Webinar sur la sécurité et l’intégrité des données dans Active Directory

18 septembre 201112 septembre 2012SylvainLeave a comment

NetIQ a organisé avec l’aide de Darren Mar-Elia un webinar sur la sécurité et l’intégrité des données dans Active Directory. Pour ceux qui ne connaissent pas encore Darren, et bien disons que c’est le genre de personnage qui illumine les soirées par son intelligence et son agilité d’esprit. Je croise Darren tous les ans au MVP Summit, car il est lu aussi MVP sur les GPOs, et c’est franchement un réel plaisir d’échanger avec lui sur sa vision de l’IT et sur l’avenir de notre métier. En tant que ex-concepteur de Vintela, ex-CTO de Quest et actuel CEO de SDM Software, autant dire que ce sont des conversations ouvertes et intéressantes.

Vous retrouverez dans ce webinar gratuit toute la passion et intelligence de Darren, il est à voir si vous travaillez de près ou de loin avec Active Directory et la sécurité. Le webinar est accessible [ ici ]

Lion & Active Directory: Trucs et astuces

10 août 2011SylvainLeave a comment

MacWindows.com est un des sites de référence en terme de gestion de l’interopérabilité entre le monde Apple et Microsoft. L’arrivée de Lion apporte un nombre de bugs et de facteurs d’instabilité très important en ce qui concerne la connexion à des serveurs NAS ou la connexion à Active Directory. C’est pourquoi le blog MacWindows consacre une part très importante des derniers posts sur les différents trucs et astuces pour corriger ou contourner ces problèmes de connexion survenus depuis la sortie du dernier OS d’Apple. En effet, de nombreuses organisations utilisant le plug-in d’authentification à Active Directory découvrent des problèmes récurrents alors inconnus avec les versions précédentes. Les causes réelles de ces dysfonctionnements ne sont pas clairement expliquées par Apple, qui préfère annoncer pour l’instant des patchs pour les semaines à venir, sans garantir le support du fonctionnement tel que connu avant Lion. Si vous administrez du Lion sur votre réseau, je vous invite donc à regarder sur MacWindows.com si il n’y a pas quelques réponses à vos questions existentielles.

Etude comparative des solutions d’intégration gratuites à Active Directory pour les systèmes Unix et Linux

16 juillet 201116 juillet 2011SylvainLeave a comment

Une étude extrêmement intéressante a été réalisée par Rodney Ruddock, consultant au sein de la société Interop Systems, qui est un cabinet d’expertise Américain spécialisé dans les études de marché techniques en ce concerne les problématiques d’interopérabilité.

Cette excellente étude compare les différentes solutions logicielles gratuites permettant d’intégrer les systèmes Unix, Linux et Mac dans Active Directory, et qui permettent aux organisations d’utiliser Active Directory comme annuaire centralisant pour les authentifications des utilisateurs quel que soit le système utilisé. cette approche apportant de nombreux avantages tels que: unicité du nom utilisateur et du mot passe utilisateur sur l’ensemble des systèmes, centralisation des logs d’authentification sur les contrôleurs de domaine AD, stratégie de politique et de complexité de mot de passe unifiée sur l’ensemble des systèmes, etc.

En substance, voila les conclusions de Rodney Ruddock dans le tableau suivant, les cases en jaune indiquant les éléments significatifs et importants selon Rodney Ruddock:

Rodney Ruddock préconisant donc Centrify Express comme la solution idéale pour l’intégration gratuite des environnements hétérogènes dans Active Directory.

L’étude complète est accessible [ ICI ]

Active Directory 2008 R2: Backup et DRP

16 juin 201116 juin 2011SylvainLeave a comment

Peter Van Keymeulen est un consultant infrastructure de haut niveau travaillant pour une société de consulting belge spécialisée dans le domaine des infrastructures Microsoft. Il a créé il y a peu un document vraiment complet concernant les méthodes de sauvegarde et de restauration pour un Active Directory sous Windows 2008 R2. La partie restauration traite de façon précise les éléments nécessaire à un DRP (genre, c’est vraiment la misère de la misère noire…car pour faire un vrai DRP Active Directory, il faut quand même être motivé… ou ne pas avoir le choix…) J’ai vraiment été très impressionné par la qualité et l’exhaustivité du document, je me devais de vous le faire partager.

Bon d’accord, le document est en Anglais et non en Français, mais c’est pour en faire profiter le plus grand nombre car il faut bien reconnaitre que les articles du Microsoft Technet ne sont pas toujours très précis. Et puis, cela pourrait être pire… en Néerlandais !

Bonne lecture de ce [ très bon document ]

Centrify DirectExpress: Intégrer gratuitement les machines Mac, Linux et Unix dans Active Directory !!!

31 mai 20116 juin 2011Sylvain3 Comments

Centrify propose maintenant une version gratuite permettant de déployer et gérer l’intégration des environnement Mac, Linux et Unix dans Active Directory.

Bien sur, certaines fonctions ne sont pas présentes, donc pas de possibilité ici de gérer plusieurs UIDs/GIDs, de supporter les SmartCard ou de faire des GPOs sur les systèmes (fonctions intégrées dans la version payante) – néanmoins, il est possible ici de gratuitement intégrer les systèmes hétérogènes dans Active Directory.

Il donc possible de réaliser une intégration transparente dans l’annuaire Microsoft et donc de permettre aux utilisateur d’utiliser le même mot de passe sur tous les systèmes et de profiter d’un SSO utilisateur basé sur kerberos. Cela est déjà génial !

Centrify DirectExpress est téléchargeable [ ICI ]

Si vous voulez en savoir plus sur Centrify DirectExpress avant le déploiement, vous pouvez regarder la vidéo suivante:

Les limites techniques d’Active Directory

18 mai 201118 mai 2011SylvainLeave a comment

Un post rapide pour signaler un article que j’ai trouvé par hasard sur le blog de la société Nelite expliquant les limites techniques d’Active Directory en ce qui concerne le nombres d’objets, le nombre de GPOs applicables, etc…

C’est très intéressant: http://blogs.nelite.com/blogs/identitysolutions/archive/2011/02/04/les-limites-d-active-directory.aspx et à garder sous le coude pour certains projets grands comptes…

De plus, je vous invite à conseiller vos client internes ou externes à mettre une vraie politique de sauvegarde Active Directory avec des outils dédiés et performants.

Est ce que freeIPA est l’Active Directory de RedHat ?

18 février 201118 février 2011Sylvain1 Comment

redhat_freeIPA Apparu il y a quelques mois en version 1.0, la suite freeIPA est passée totalement inaperçue dans le monde de la gestion des identités et des accès. Et pourtant, la version 2.0 (pour l’instant en beta) propose une liste de fonctions qui rappelle fortement ce que propose Microsoft au travers d’Active Directory:

Service LDAP (anciennement Fedora Directory Server)
Service MIT Kerberos
Service NTP
Service DNS
Service d’autorité de certification
Interface d’administration en mode web ou en ligne de commandes
Gestion des comptes utilisateurs et des groupes

HighLevelArchV2

Avouez que la ressemblance est troublante…

J’ai pour habitude de dire qu’Active Directory, c’est trois éléments: [1] Un service LDAP [2] Un service Kerberos [3] Un ensemble d’autres choses… Le tout proposé avec des outils d’administration et de gestion intégrés.

freeIPA 2.0 proposera en Mars 2011 des outils de synchronisation avec Active Directory, à voir la comparaison avec un méta-annuaire.

Mais, le véritable chalenge sera comme souvent l’intégration des clients… Active Directory possède pour l’instant la plus grande couverture fonctionnelle de clients qui puisse exister: Windows, Mac, Unix, Linux, tout est possible ! Il sera donc très important de tester l’intégration des clients lors du test éventuel de freeIPA en version 2.0.

Sortie de la version 2.1 pendant l’été 2011.

Charte de nommage pour les objets publiés dans l’annuaire Active Directory

29 octobre 201029 octobre 2010SylvainLeave a comment

Alphabet Microsoft fournit un article très intéressant sur la taxonomie à utiliser lorsque l’on publie des objets dans Active Directory. Cet article est accessible [ ici ] et présente dans les grandes lignes les chartes de nommages en fonction des différents objets, Nom Netbios Ordinateur, Nom FQDN Ordinateur, Nom Netbios de domaine, Nom de domain DNS, Nom des sites Active Directory, nom des OUs, et tout cela en relation avec les règles d’usage liées à Active Directory ou aux différentes RFCs officielles.

En oubliant pas qu’il existe une liste de noms interdits pour les nouveaux objets car déjà utilisés par le système:

Mots réservés pour les noms	Windows NT 4.0	Windows 2000	Windows Server 2003
ANONYMOUS	X	X	X
AUTHENTICATED USER		X	X
BATCH	X	X	X
BUILTIN	X	X	X
CREATOR GROUP	X	X	X
CREATOR GROUP SERVER	X	X	X
CREATOR OWNER	X	X	X
CREATOR OWNER SERVER	X	X	X
DIALUP	X	X	X
DIGEST AUTH			X
INTERACTIVE	X	X	X
INTERNET		X	X
LOCAL	X	X	X
LOCAL SYSTEM			X
NETWORK	X	X	X
NETWORK SERVICE			X
NT AUTHORITY	X	X	X
NT DOMAIN	X	X	X
NTLM AUTH			X
NULL	X	X	X
PROXY		X	X
REMOTE INTERACTIVE			X
RESTRICTED		X	X
SCHANNEL AUTH			X
SELF		X	X
SERVER		X	X
SERVICE	X	X	X
SYSTEM	X	X	X
TERMINAL SERVER		X	X
THIS ORGANIZATION			X
USERS			X
WORLD	X	X	X