Voici une vidéo tournée en direct sur MacWorld 2010, en février dernier. Elle montre en quelques minutes comment intégrer un Mac dans un annuaire Active Directory et donc comment avoir GPO, kerberos, SSO, controle d’accès, etc… comme pour un PC sous Windows !
Active Directory
Active Directory a 10 ans !!!
Active Directory a m
aintenant 10 ans !!!
Cette date est passée inaperçue, doucement, comme si cela était normal… N’oublions pas qu’il y a donc un peu plus de 10 ans, Microsoft ne proposait « que » la base SAM NT 4.0 comme annuaire de comptes. Le véritable annuaire étant en fait à l’époque l’annuaire proposé par Exchange Server 5.5. La pression exercée par Novell sur les NOS fut alors totalement retournée contre Novell, et il faut bien reconnaitre que Microsoft a largement réussi son OPA sur les NOS… Quel est maintenant l’avenir d’Active Directory ? in the cloud ? ou pas ? Geneva sera t-il le prochain Active Directory ? j’ai personnellement du mal a y croire… Est ce que votre entreprise veut mettre son creuset identitaire chez un tiers ? « in the cloud » ? sans aucun contrôle technique et éthique ? cela semble plutôt improbable… ou suicidaire… au choix.
A suivre….
Un nouveau blog dédié au « group management »
Un nouveau blog vient d’apparaitre dans la blogosphère de la gestion de l’identité et des accès. Il s’agit du get-group blog [ http://blog.imanami.com/] – La particularité de ce blog est de réaliser un focus sur la méthode du Group Based Access Control (GBAC), méthode dérivée du RBAC qui permet de construire une méthode de contrôle d’accès basée sur les groupes et non pas sur les rôles. Cette méthode à l’avantage de la simplicité comparée à une méthode classique de RBAC, mais doit être complétée par une méthode d’audit des groupes pour être efficace en terme de reporting. Néanmoins, il s’agit d’une méthode tout à fait adaptée aux entreprise qui ne souhaitent pas investir dans le RBAC. Ce Blog est donc une initiative interressante pour tout consultant travaillant dans le monde des annuaires ou de l’IAM.
Microsoft ILM 2007 supporte maintenant Exchange Server 2010
Microsoft met à disposition le SP1 pour ILM 2007 FP1 – il s’agit donc de ILM 2007 FP1 SP1… Le service pack est téléchargeable ici [ Téléchargement de ILM 2007 FP1 SP1 ] – Au delà de fournir un package reprenant l’ensemble des correctifs sortis depuis le FP1, ce service pack permet surtout d’utiliser GALSync Management Agent ou un agent Active Directory personnalisé pour réaliser le provisioning vers Exchange Server 2010.
Pour utiliser cette fonctionnalité, les conditions suivantes doivent être remplies :
- Le compte de service d’ILM 2007 synchronisation doit être un compte de domaine.
- Le serveur ILM 2007 synchronisation doit être associé à un domaine. Toutefois, le serveur est connecté au domaine dans lequel la mise en service se produit.
- PowerShell 2.0 doit être installé sur le serveur ILM. En outre, PowerShell 2.0 doivent être installés et configuré pour l’accès à distance sur Exchange Server 2010 Client Access Server (CAS)
Pour effectuer le provisionnement de boîtes aux lettres pour Exchange Server 2010, il faut utiliser le code qui appelle la méthode ExchangeUtils.CreateMailbox ou un autre code personnalisé. Il faut veiller à ajouter l’attribut msExchHomeServerName dans le code de mise en service pour créer une boîte aux lettres.
Utilisation des SmartCard en environnement mixte Macintosh-Microsoft
Cette vidéo illustre la possibilité d’utiliser Active Directory et l’autorité de certification de Microsoft en tant que briques d’infrastructure centralisatrices pour l’utilisation des carte à puces de type Gemalto .NET dans des environnements mixtes de type Macintosh ou Microsoft. Cette possibilité est fournit grâce à l’utilisation combinée des drivers PKCS#11 et de la solution Centrify DirectControl:
Novell vous offre… Active Directory !
J’ai assisté il y a quelques semaines à une présentation de Novell France sur le sujet des nouveautés autour de Open Entreprise Server 2.
Présentation à la fois talentueuse de la part des présentateurs et extrèmement intéressante sur le contenu lui-même.
Pendant cette présentation, la solution qui a le plus attiré mon attention est sans conteste » Domain Services for Windows ».
Voilà comment Novell France présente ce service sur son site web:
Domain Services pour Windows rationalise la gestion des utilisateurs et des groupes, tout en simplifiant l’infrastructure des environnements hétérogènes. Grâce à cette technologie novatrice, les utilisateurs de Microsoft Windows ont accès aux services OES par le biais des protocoles Windows et Active Directory en natif. En effet, elle permet aux serveurs eDirectory exécutés sous Open Enterprise Server de se comporter comme des serveurs Active Directory. Ainsi, les entreprises peuvent déployer ces deux services Annuaire et optimiser la coexistence entre les deux plates-formes. En d’autres termes, les utilisateurs peuvent travailler dans un environnement de bureau exclusivement Windows tout en continuant à tirer parti de la technologie et des services dorsaux d’Open Enterprise Server, sans même avoir besoin d’installer un client Novell sur leur poste de travail.
La tâche des administrateurs s’en trouve également simplifiée car ils peuvent gérer les utilisateurs et les groupes avec Novell iManager ou MMC (Microsoft Management Console). En outre, les administrateurs réseau sont capables d’utiliser les outils dont chaque serveur dispose en natif pour gérer les systèmes de fichiers, et de centraliser l’administration des partages Samba sur les serveurs OES Linux/DSFW via iManager. De plus, MMC permet aux administrateurs de créer des listes d’approbation unidirectionnelles entre les domaines DSFW et Active Directory.
Domain Services pour Windows prend en charge le verrouillage multi-protocoles lorsqu’il est déployé dans un environnement exploitant le protocole NCP (NetWare Core Protocol). Que les clients choisissent d’utiliser des clients Windows, NCP ou les deux, les fichiers sont soumis aux droits d’accès du Novell Storage Services (NSS).
Domain Services pour Windows n’est ni un méta-annuaire ni un connecteur de synchronisation entre eDirectory et Active Directory. Il ne s’agit pas non plus d’un émulateur de bureau. Domain Services pour Windows est uniquement exploitable sur les déploiements d’Open Enterprise Server 2 SP1 sous SUSE Linux Enterprise.
Le principe est assez étonnant, il s’agit d’une émulation du service Active Directory sur un serveur SUSE. Mais là où SAMBA s’arrete à une émulation de type NT.4, le service de Novell permet une véritable intégration Active Directory, gérable par la MMC Microsoft comme si il s’agissait d’un véritable Active Directory. D’après Novell, il est tout a fait possible de mixer des DCs Windows avec des DCs émulés par ce service au sein de la même forêt.
Des tests ont été réalisés avec SharePoint, qui serait une application compatible avec ce service, mais à priori, certaines applications comme Exchange Server ne sont pas encore supportée. Donc méfiance… Des tests s’imposent. Quoi qu’il en soit, la démonstration été bluffante et l’idée de Novell tout à fait novatrice, du moins dans l’implémentation.
Je testerai personnellement ce service très prochainement et posterai les résultats sur ce blog.
Se connecter sur Active Directory ou un annuaire LDAP avec WinDev
Migrer vos domaines NIS vers Active Directory
La migration NIS est une des problématiques majeures de l’ensemble des grands groupes que j’ai pu rencontrer. En effet, les domaines NIS ou NIS+ ne sont plus supportés par SUN, l’inventaire du protocole. De plus, le protocole d’authentification NIS n’étant pas sécurisé (en fait, vraiment pas sécurisé…), il est important de migrer pour des raisons sécuritaires ou pour des besoins de compatibilité SOX ou PCI.
Classiquement, le premier réflexe est d’imaginer migrer les informations contenues dans les domaines NIS ou NIS+ vers un annuaire LDAP. Après ce premier réflexe, les ennuis commencent… La première problématique étant bien évidemment la collision des UIDs. En effet, dans le monde réel (et pas celui de PowerPoint) un utilisateur physique unique possède plusieurs profils Unix en fonction du système sur lequel il doit se connecter, il est alors très compliqué de consolider potentiellement des dizaines d’UIDs vers un seul attribut UID stocké dans un annuaire LDAP.
C’est ici qu’Active Directory peut venir à l’aide des administrateurs ou architectes Unix !!! En effet, selon certaines conditions, il sera possible de migrer et conserver plusieurs UIDs dans l’annuaire Active Directory et ainsi conserver les accès aux ressources Unix sans modifier les UIDs sur l’ensemble des systèmes migrés.
Un site extrêmement bien construit www.nis-migration.com explique (en anglais) l’ensemble de la problématique et des possibilités techniques de la migration NIS -> Active Directory – Je reviendrais plus tard sur cette problématique très répandue dans les grands entreprises utilisant Unix ou Linux.
Vidéo: Découvrez comment réaliser un SSO basé sur kerberos entre SAP et Active Directory
WebTV intéropabilité des systèmes Unix, Linux et Mac avec Active Directory
Les Groupes Utilisateurs font leur show ! -La Communauté Active Directory et Identity Management -Interopérabilité Windows-Linux-Unix-Mac
L’intéropérabilité ! C’est ce thème d’actualité que traîte la Communauté Active Directory et Identity Management lors de cette web TV dédiée au Groupes Utilisateurs,les experts Sylvain Cortes ( Président de la CADIM ) et Christophe Dubos (Microsoft) en font un tour d’horizon des solutions pour gérer les authentifications et les autorisations des systèmes Unix, Linux et Mac dans Active Directory, tout cela en 17 min ! Profitez de l’expertise de ces deux intervenants !
Pour visualiser la WebTV c’est ici: http://www.microsoft.com/france/vision/Technet-tv/Webcast.aspx?eid=2ae18d77-d4a9-40e6-9402-24fabf8339be