migration sun/oracle vers openldap : évitez les pièges !
DESCRIPTION
Présentation donnée lors du salon Solutions Linux 2011.Animée par Clément OUDOT, Architecte LinIDTRANSCRIPT
![Page 1: Migration SUN/Oracle vers OpenLDAP : évitez les pièges !](https://reader033.vdocuments.fr/reader033/viewer/2022050904/5478d6c45906b580048b45f1/html5/thumbnails/1.jpg)
WWW.LINAGORA.COMWWW.LINAGORA.COM
Migration SUN/Oracle vers OpenLDAP : évitez les pièges !
Clément OUDOTArchitecte LinID
![Page 2: Migration SUN/Oracle vers OpenLDAP : évitez les pièges !](https://reader033.vdocuments.fr/reader033/viewer/2022050904/5478d6c45906b580048b45f1/html5/thumbnails/2.jpg)
2
Sommaire
● Les annuaires LDAP, une histoire de famille
● SUN/Oracle DS, du LDAP pas tout à fait standard
● Organiser son projet de migration
![Page 3: Migration SUN/Oracle vers OpenLDAP : évitez les pièges !](https://reader033.vdocuments.fr/reader033/viewer/2022050904/5478d6c45906b580048b45f1/html5/thumbnails/3.jpg)
3
Les annuaires LDAP, une histoire de famille
![Page 4: Migration SUN/Oracle vers OpenLDAP : évitez les pièges !](https://reader033.vdocuments.fr/reader033/viewer/2022050904/5478d6c45906b580048b45f1/html5/thumbnails/4.jpg)
4
Université du Michigan
Netscape Directory
Server
OpenLDAP
Novell eDirectory Microsoft
Active Directory
IBMCriticalPath
Propriétaires Libres
SUN Directory Server
Oracle Directory
Server
OpenDS
ApacheDS
OpenDJ
RedHat Directory
Server
Fedora Directory
Server
Port 389
![Page 5: Migration SUN/Oracle vers OpenLDAP : évitez les pièges !](https://reader033.vdocuments.fr/reader033/viewer/2022050904/5478d6c45906b580048b45f1/html5/thumbnails/5.jpg)
5
SUN/Oracle DS, du LDAP pas tout à fait standard
![Page 6: Migration SUN/Oracle vers OpenLDAP : évitez les pièges !](https://reader033.vdocuments.fr/reader033/viewer/2022050904/5478d6c45906b580048b45f1/html5/thumbnails/6.jpg)
6
Libertés prises avec le schéma
● Non respect de contraintes sur les classes d'objet structurelles :
● Plusieurs classes structurelles de hiérarchie différente peuvent cohabiter
● Une entrée peut n'avoir aucune classe structurelle
● Encodages différents de UTF-8 autorisés
● Règles de comparaison incohérentes avec les syntaxes (cf. par exemple l'attribut icsDomainNames)
● Divergences par rapport aux schémas standards des RFC, par exemple :
● l'attribut « membre d'un groupe » est facultatif dans SUN/Oracle DS
● SUN/Oracle DS autorise la recherche partielle sur les DN
![Page 7: Migration SUN/Oracle vers OpenLDAP : évitez les pièges !](https://reader033.vdocuments.fr/reader033/viewer/2022050904/5478d6c45906b580048b45f1/html5/thumbnails/7.jpg)
7
Libertés prises avec les données
● Attributs vides autorisés
● Certaines valeurs sont incompatibles avec la syntaxe de l'attribut (cf. par exemple l'attribut manager)
● Aucun contrôle sur les données binaires
![Page 8: Migration SUN/Oracle vers OpenLDAP : évitez les pièges !](https://reader033.vdocuments.fr/reader033/viewer/2022050904/5478d6c45906b580048b45f1/html5/thumbnails/8.jpg)
8
Politique des mots de passe
● La politique des mots de passe n'est pas une RFC mais un draft
● SUN/Oracle DS implémente la politique avec des attributs différents de ceux d'OpenLDAP
● Les contraintes sur les majuscules/minuscules doivent être gérées dans OpenLDAP à l'aide d'une extension (pwdChecker)
![Page 9: Migration SUN/Oracle vers OpenLDAP : évitez les pièges !](https://reader033.vdocuments.fr/reader033/viewer/2022050904/5478d6c45906b580048b45f1/html5/thumbnails/9.jpg)
9
Droits d'accès
● SUN/Oracle DS utilise des ACI (droits définis directement dans les entrées LDAP)
● OpenLDAP supporte les ACI, mais de manière expérimentale, il faut donc convertir les ACI en ACL :
● aci: (target)(version 3.0;acl "name";permission bindRules;)
● access to <what> [ by <who> [ <access> ] [ <control> ] ]+
● SUN/Oracle DS permet d'utiliser « accept » ou « deny », ce qui doit être traduit avec les bons droits dans OpenLDAP (lecture, écriture, etc.)
● Attention également :
● Aux relations parent (gestion de la hiérarchie)
● Au dé-référencement d'attribut
![Page 10: Migration SUN/Oracle vers OpenLDAP : évitez les pièges !](https://reader033.vdocuments.fr/reader033/viewer/2022050904/5478d6c45906b580048b45f1/html5/thumbnails/10.jpg)
10
Organiser son projet de migration
![Page 11: Migration SUN/Oracle vers OpenLDAP : évitez les pièges !](https://reader033.vdocuments.fr/reader033/viewer/2022050904/5478d6c45906b580048b45f1/html5/thumbnails/11.jpg)
11
Les grandes étapes
● Analyse de l'existant :
● Schéma, données
● Applications clientes (avec les extensions LDAP utilisées)
● ACI
● Modules activés
● Installation d'une plate-forme cible
● Conversion des données, des schémas, des ACI en ACL
● Activation des overlays correspondant aux modules activés
● Import des données
● Bascule des applications
![Page 12: Migration SUN/Oracle vers OpenLDAP : évitez les pièges !](https://reader033.vdocuments.fr/reader033/viewer/2022050904/5478d6c45906b580048b45f1/html5/thumbnails/12.jpg)
12
La théorie du big bang
● Une bascule en mode big bang est très risquée et donc fortement déconseillée
● Il est possible de faire vivre les deux systèmes en parallèle le temps de ma migration :
● Première phase : plate-forme SUN/Oracle maître avec synchronisation des données vers OpenLDAP
● Deuxième phase : plate-forme OpenLDAP maître avec synchronisation des données vers SUN/Oracle
● Troisième phase : fin de la bascule de toutes les applications, suppression de la plate-forme SUN/Oracle
![Page 13: Migration SUN/Oracle vers OpenLDAP : évitez les pièges !](https://reader033.vdocuments.fr/reader033/viewer/2022050904/5478d6c45906b580048b45f1/html5/thumbnails/13.jpg)
13
Pour conclure
● Phase d'étude incontournable
● Plate-forme de qualification
● Remplacement possible de la console SUN/Oracle par LinID OpenLDAP Manager
![Page 14: Migration SUN/Oracle vers OpenLDAP : évitez les pièges !](https://reader033.vdocuments.fr/reader033/viewer/2022050904/5478d6c45906b580048b45f1/html5/thumbnails/14.jpg)
14
Questions ?
![Page 15: Migration SUN/Oracle vers OpenLDAP : évitez les pièges !](https://reader033.vdocuments.fr/reader033/viewer/2022050904/5478d6c45906b580048b45f1/html5/thumbnails/15.jpg)
WWW.LINAGORA.COMWWW.LINAGORA.COM
Merci de votre attention
Contact : LINAGORA – Siège social80, rue Roque de Fillol
92800 PUTEAUXFRANCE
Tél. : 0 810 251 251 (tarif local)Fax : +33 (0)1 46 96 63 64Mail : [email protected]
Web : www.linagora.com
Photos de la présentation tirées de Flickr (Creative Commons)