Migration SUN/Oracle vers OpenLDAP : évitez les pièges !
0 j'aime1,116 vues
Ce document traite des défis liés à la migration des annuaires LDAP de Sun/Oracle vers OpenLDAP, en soulignant les différences de standards et de pratiques. Il recommande une approche méthodique pour la migration, incluant l'analyse des schémas existants et l'importance d'éviter une bascule rapide. La phase d'étude est essentielle pour assurer une transition réussie, tout en permettant une opération simultanée des deux systèmes durant la migration.
![Droits d'accès
● SUN/Oracle DS utilise des ACI (droits définis directement dans les
entrées LDAP)
● OpenLDAP supporte les ACI, mais de manière expérimentale, il faut
donc convertir les ACI en ACL :
● aci: (target)(version 3.0;acl "name";permission bindRules;)
● access to <what> [ by <who> [ <access> ] [ <control> ] ]+
● SUN/Oracle DS permet d'utiliser « accept » ou « deny », ce qui doit
être traduit avec les bons droits dans OpenLDAP (lecture, écriture,
etc.)
● Attention également :
● Aux relations parent (gestion de la hiérarchie)
● Au dé-référencement d'attribut
9](https://image.slidesharecdn.com/sl2011miniconflinidmigrationsunoracleopenldap-110523103831-phpapp02/85/Migration-SUN-Oracle-vers-OpenLDAP-evitez-les-pieges-9-320.jpg)
Migration SUN/Oracle vers OpenLDAP : évitez les pièges !
- 1. Migration SUN/Oracle vers OpenLDAP : évitez les pièges ! Clément OUDOT Architecte LinID coudot@linagora.com WWW.LINAGORA.COM
- 2. Sommaire ● Les annuaires LDAP, une histoire de famille ● SUN/Oracle DS, du LDAP pas tout à fait standard ● Organiser son projet de migration 2
- 3. Les annuaires LDAP, une histoire de famille 3
- 4. Propriétaires Université du Libres Novell Michigan eDirectory Microsoft Active Directory OpenLDAP IBM CriticalPath Netscape Directory Server ApacheDS RedHat Directory Server SUN Directory OpenDS Server Fedora Directory Server Oracle Directory Server OpenDJ Port 389 4
- 5. SUN/Oracle DS, du LDAP pas tout à fait standard 5
- 6. Libertés prises avec le schéma ● Non respect de contraintes sur les classes d'objet structurelles : ● Plusieurs classes structurelles de hiérarchie différente peuvent cohabiter ● Une entrée peut n'avoir aucune classe structurelle ● Encodages différents de UTF-8 autorisés ● Règles de comparaison incohérentes avec les syntaxes (cf. par exemple l'attribut icsDomainNames) ● Divergences par rapport aux schémas standards des RFC, par exemple : ● l'attribut « membre d'un groupe » est facultatif dans SUN/Oracle DS ● SUN/Oracle DS autorise la recherche partielle sur les DN 6
- 7. Libertés prises avec les données ● Attributs vides autorisés ● Certaines valeurs sont incompatibles avec la syntaxe de l'attribut (cf. par exemple l'attribut manager) ● Aucun contrôle sur les données binaires 7
- 8. Politique des mots de passe ● La politique des mots de passe n'est pas une RFC mais un draft ● SUN/Oracle DS implémente la politique avec des attributs différents de ceux d'OpenLDAP ● Les contraintes sur les majuscules/minuscules doivent être gérées dans OpenLDAP à l'aide d'une extension (pwdChecker) 8
- 9. Droits d'accès ● SUN/Oracle DS utilise des ACI (droits définis directement dans les entrées LDAP) ● OpenLDAP supporte les ACI, mais de manière expérimentale, il faut donc convertir les ACI en ACL : ● aci: (target)(version 3.0;acl "name";permission bindRules;) ● access to <what> [ by <who> [ <access> ] [ <control> ] ]+ ● SUN/Oracle DS permet d'utiliser « accept » ou « deny », ce qui doit être traduit avec les bons droits dans OpenLDAP (lecture, écriture, etc.) ● Attention également : ● Aux relations parent (gestion de la hiérarchie) ● Au dé-référencement d'attribut 9
- 10. Organiser son projet de migration 10
- 11. Les grandes étapes ● Analyse de l'existant : ● Schéma, données ● Applications clientes (avec les extensions LDAP utilisées) ● ACI ● Modules activés ● Installation d'une plate-forme cible ● Conversion des données, des schémas, des ACI en ACL ● Activation des overlays correspondant aux modules activés ● Import des données ● Bascule des applications 11
- 12. La théorie du big bang ● Une bascule en mode big bang est très risquée et donc fortement déconseillée ● Il est possible de faire vivre les deux systèmes en parallèle le temps de ma migration : ● Première phase : plate-forme SUN/Oracle maître avec synchronisation des données vers OpenLDAP ● Deuxième phase : plate-forme OpenLDAP maître avec synchronisation des données vers SUN/Oracle ● Troisième phase : fin de la bascule de toutes les applications, suppression de la plate-forme SUN/Oracle 12
- 13. Pour conclure ● Phase d'étude incontournable ● Plate-forme de qualification ● Remplacement possible de la console SUN/Oracle par LinID OpenLDAP Manager 13
- 14. Questions ? 14
- 15. Merci de votre attention Contact : LINAGORA – Siège social 80, rue Roque de Fillol 92800 PUTEAUX FRANCE Tél. : 0 810 251 251 (tarif local) Fax : +33 (0)1 46 96 63 64 Mail : info@linagora.com Web : www.linagora.com Photos de la présentation tirées de Flickr (Creative Commons) WWW.LINAGORA.COM