Présentation donnée lors du salon Solutions Linux 2011. Animée par Clément OUDOT, Architecte LinID

1. Migration SUN/Oracle vers OpenLDAP :
évitez les pièges !
Clément OUDOT
Architecte LinID
coudot@linagora.com
WWW.LINAGORA.COM

2. Sommaire
● Les annuaires LDAP, une histoire de famille
● SUN/Oracle DS, du LDAP pas tout à fait standard
● Organiser son projet de migration
2

3. Les annuaires LDAP, une histoire de famille
3

4. Propriétaires Université du Libres
Novell Michigan
eDirectory Microsoft
Active
Directory OpenLDAP
IBM
CriticalPath Netscape
Directory
Server ApacheDS
RedHat
Directory
Server
SUN Directory
OpenDS
Server
Fedora
Directory
Server
Oracle
Directory
Server OpenDJ
Port 389
4

5. SUN/Oracle DS, du LDAP pas tout à fait standard
5

6. Libertés prises avec le schéma
● Non respect de contraintes sur les classes d'objet structurelles :
● Plusieurs classes structurelles de hiérarchie différente peuvent cohabiter
● Une entrée peut n'avoir aucune classe structurelle
● Encodages différents de UTF-8 autorisés
● Règles de comparaison incohérentes avec les syntaxes (cf. par exemple
l'attribut icsDomainNames)
● Divergences par rapport aux schémas standards des RFC, par exemple :
● l'attribut « membre d'un groupe » est facultatif dans SUN/Oracle DS
● SUN/Oracle DS autorise la recherche partielle sur les DN
6

7. Libertés prises avec les données
● Attributs vides autorisés
● Certaines valeurs sont incompatibles avec la syntaxe de l'attribut (cf.
par exemple l'attribut manager)
● Aucun contrôle sur les données binaires
7

8. Politique des mots de passe
● La politique des mots de passe n'est pas une RFC mais un draft
● SUN/Oracle DS implémente la politique avec des attributs différents de
ceux d'OpenLDAP
● Les contraintes sur les majuscules/minuscules doivent être gérées dans
OpenLDAP à l'aide d'une extension (pwdChecker)
8

9. Droits d'accès
● SUN/Oracle DS utilise des ACI (droits définis directement dans les
entrées LDAP)
● OpenLDAP supporte les ACI, mais de manière expérimentale, il faut
donc convertir les ACI en ACL :
● aci: (target)(version 3.0;acl "name";permission bindRules;)
● access to <what> [ by <who> [ <access> ] [ <control> ] ]+
● SUN/Oracle DS permet d'utiliser « accept » ou « deny », ce qui doit
être traduit avec les bons droits dans OpenLDAP (lecture, écriture,
etc.)
● Attention également :
● Aux relations parent (gestion de la hiérarchie)
● Au dé-référencement d'attribut
9

10. Organiser son projet de migration
10

11. Les grandes étapes
● Analyse de l'existant :
● Schéma, données
● Applications clientes (avec les extensions LDAP utilisées)
● ACI
● Modules activés
● Installation d'une plate-forme cible
● Conversion des données, des schémas, des ACI en ACL
● Activation des overlays correspondant aux modules activés
● Import des données
● Bascule des applications
11

12. La théorie du big bang
● Une bascule en mode big bang est très risquée et donc fortement
déconseillée
● Il est possible de faire vivre les deux systèmes en parallèle le temps de
ma migration :
● Première phase : plate-forme SUN/Oracle maître avec synchronisation des
données vers OpenLDAP
● Deuxième phase : plate-forme OpenLDAP maître avec synchronisation des
données vers SUN/Oracle
● Troisième phase : fin de la bascule de toutes les applications, suppression
de la plate-forme SUN/Oracle
12

13. Pour conclure
● Phase d'étude incontournable
● Plate-forme de qualification
● Remplacement possible de la
console SUN/Oracle par LinID
OpenLDAP Manager
13

14. Questions ?
14

15. Merci de votre attention
Contact :
LINAGORA – Siège social
80, rue Roque de Fillol
92800 PUTEAUX
FRANCE
Tél. : 0 810 251 251 (tarif local)
Fax : +33 (0)1 46 96 63 64
Mail : info@linagora.com
Web : www.linagora.com
Photos de la présentation tirées de Flickr (Creative Commons)
WWW.LINAGORA.COM