Informations d'accessibilité| Page d'accueil| Aller au contenu| Plan du site| Moteur de recherche| Contact

Association Francophone des Utilisateurs de Logiciels Libres

French speaking Libre Software Users' Association

Promouvoir les logiciels libres ainsi que l'utilisation de standards ouverts.

ActiveDirectory

Voici un document pour mieux cerner les tenants et aboutissants d'une migration de Security Accounts Manager (SAM sous Windows NT4) à Active Directory (AD sou Windows2000/2003) au lieu de migrer à OpenLDAP samba3 .

1. L'aspect technique

1.2 La migration de l'annuaire

La base de données des utilisateurs sous Windows NT 4 s'appelle SAM (Security Accounts Manager). Tout d'abord, il faut installer et configurer le serveur OpenLDAP et Samba (voir SambaTools).

Ensuite, des outils commerciaux et libres existent pour la dumper les données de l'annuaire:

  • net rpc vampire, inclus dans Samba 3, pour aspirer la SAM NT4 dans la SAM de Samba (quelle soit LDAP ou TDB, le format de base de données de Samba) ;
  • net rpc samdump, toujours dans Samba 3. Plus d'informations sur http://www.samba.org/samba/docs/man/net.8.html

1.3 La migration du serveur

1.3.1 Migration de SAM PDC NT4 à SAM (PDC) sous NT4

Il est possible de faire une réplication des comptes en utilisant Windows NT4 en BDC (Backup Domain Controller). Débrancher le PDC, le retirer du domaine et promouvoir le BDC en nouveau PDC.

1.3.2 Migration de SAM PDC NT4 à AD sous Windows2000/2003

Microsoft vient de publier ce guide au format Word, qui fournit des instructions étape par étape pour planifier efficacement une migration de serveurs Windows NT 4.0 vers Windows Server 2003.Il est plus spécifiquement destiné aux administrateurs d'infrastructure de taille petite à moyenne (jusqu'à 1.000 postes de travail), et contient des conseils détaillés pour migrer des serveurs Windows NT 4.0 en fonction de leur rôle : contrôleur de domaine, serveurs DHCP/WINS, serveurs de fichiers et d'impression, serveurs d'accès distant, et serveurs Web. Télécharger le guide de migration NT 4.0 / 2003 (1,35 Mo) http://www.microsoft.com/downloads/details.aspx?FamilyID=e92cf6a0-76f0-4e25-8de0-19544062a6e6=en

1.3.3 Migration de SAM PDC NT4 à OpenLDAP sous Linux (ou autre)

Cela est faisable en montant un Samba PDC, basé sur LDAP ou TDB, et en utilisant la fonction vampire de la commande net rpc. Plus d'informations sur http://www.samba.org/samba/docs/man/NT4Migration.html et sur http://contribs.martymac.org/sambaMigration/Migration-NT-Samba3-Howto.pdf Note: pour utiliser les ACL, il faut que le système de fichiers des volumes partagés soit en XFS.

1.3.4 Migration de SAM PDC NT4 à eDirectory de Novell

Outils avec Nterprise sous Linux. A détailler

2. L'aspect stratégique

2.1 Respect des standards

ActiveDirectory respecte-t'il les standards ?

ActiveDirectory offre une interface LDAP mais possède aussi un protocole de communication propre qui lui permet de dialoguer et d'effectuer certaines opérations non documentées sur les annuaires ActiveDirectory ou machines Windows 2000/XP/2003. La documentation sur les interfaces FIXME.

Les communications en réseau (serveurs de fichiers et d'impression) permettent le protocole SMB signé par défaut. Les protocoles d'authentification au domaine Kerberos 5 et NTLM2 sont par défaut.

2.2 Connexion à l'annuaire AD

Comment fonctionne la synchronisation entre les serveurs : protocole propriétaire.

2.3 Gestion de l'annuaire AD

Il n'est pas possible d'avoir 2 fois le même groupe (contrairement à NDS). Donc lorsqu'il y a 2 groupes de comptables dans 2 entités différentes, il faut leur donner différents. Cela peut être problématique quant on gére des profils globaux par groupes métiers.

Cette limitation se retrouve aussi sur le nom d'un compte utilisateur, au sens où il ne peut y avoir que des noms de connexion (login) uniques sur une forêt AD.

Cette limitation se retrouve aussi de fait dans le cas d'une utilisation d'un annuaire LDAP pour la gestion de comptes POSIX, où l'on associe un nom de login à un DN LDAP. On fait de même avec Samba, où ce même nom de login POSIX est aussi associé à des informations pour la gestion de la SAM Samba.

3. L'aspect financier

3.1 Coût par poste client

Le coût par poste client est d'environ 30 euros. C'est le budget évalué et vérifié par les cabinets de conseil et SSI dans les grandes entreprises. Chaque poste de travail , qu'il soit Linux ou Windows doit payer une CAL si il se connecte à un serveur Windows .

A part le coût financier, il y a aussi le coût humain à prévoir pour éviter toute mauvaise surprise, comme :

  • rejet de l'authentification
  • manque de composant à l'authentification
  • etc.

3.2 Coût migration serveur

Le passage de NT4 à Windows 2000 Server ou Windows 2003 Server va impliquer l'achat d'une nouvelle machine serveur. Contrairement à Linux qui peut fonctionner sans problème sur un ancien serveur Windows NT4. Mais même si Linux peut très bien fonctionner sur un serveur un peu ancien, les coûts de maintenance peuvent vouloir faire migrer sur un serveur plus récent. De plus, le temps de la migration (aspiration de la SAM NT4 dans Samba), il faudra avoir les deux serveurs actifs en même temps.

Le dimensionnement d'un serveur pour Windows 2003 Server + ADS est conséquent. Selon les constructeurs, il faut budgéter un serveur d'une valeur de 10000 euros à 35000 euros. Le coût des licences serveurs et logiciels ne sont pas négligeables tout comme le coût du support et de la maintenance.

Tandis qu'un serveur à 4000 euros (avec RAID matériel et deux disques) peut très bien faire l'affaire, et même s'ennuyer avec OpenLDAP et Samba (avec services d'impressions, sans service de fichiers autre que NETLOGON).

3.3 Coût migration de l'annuaire

Une fois que le serveur et les licences sont achetées et que l'ensemble logiciel est installé et configuré, il ne reste plus qu'à procéder à la migration de l'annuaire WindowsNT4 server à Windows2003 server.

L'éditeur peut vous faire cadeau de ces coûts de migrations avec l'aide de ses partenaires ou de ses équipes conseils.

4. L'aspect juridique

Obliger a acheter un OS + Un annuaire pour mettre en place une évolution de messagerie c'est de la vente liée !!

5. Annexes/Documents techniques

http://manu.all-3rd.net/docs/hsc/docs/publications/ad/html/

Notes:

Infos légales: Les noms de produits, services et sociétés mentionnés sont les marques de leurs propriétaires respectifs.

Infos à complier/rajouter

Questions diverses non traitées :

  • Est ce que les postes win95, 98 , NT sont utilisables au sein de cette architecture et quelles sont les limitations ?

  • Est ce que les postes clients et serveurs d'autres OS sont pris en compte (authentification, mises à jour, etc) ? La politique de sécurité (mots de passes etc ? s'aplique t'elle aussi à d'autres OS ?

  • Comment s'intègre un annuaire !Openldap avec une architecture Active Directory ?

  • Le Chiffrement de la messagerie (Exchange 2003) -> Quelle est l'impact sur Active Directory ?

  • Peut on mixer les architectures Active Directoy et Samba/linux, si oui, quelles sont les limites ?

  • Quelle sont les risques si la console principale ou le compte administrateur est piraté, mal utilisée , le serveur principal defectueux : quelle est la conséquense sur le reste de l'architecture ? Quels sont les ports à ouvrir sur la Wan ? La bande passante utilisée pour la réplication ?

  • Peut on faire tourner Exchange 5.5 sur un serveur Windows 2000 Membre d'un domaine ?

  • Certe Microsoft Exchange 5.5 sp4 fonctionne sur un controleur de domaine principal Samba/Linux mais l'installateur d'exchange 5.5 refuse de fonctionner en présence de Samba/Linux : ce Bug est il corrigé ?

  • Quels sont les (grands) comptes qui ont migré vers AC, Samba/Linux pour une architecture (inter)nationale ?

  • La modification de la politique de mot de passe sur le dernier patch de sécurité Microsoft était elle nécessaire ou était ce simplement histoire de compliquer la vie des développeurs de Samba/Linux et d'effrayer ceux qui hésitent à installer cette solution ?

    Pas pour les raisons que tu subodores. Supposons que les clients eux ne migrent pas (ou tout du moins, les clients Windows NT passent en 2000/XP).

En fait, en terme de sécurité, Samba+OpenLDAP serait même en dessous (question de supports des hash NTLM2). De plus, avec ADS, tu peux imposer des politiques de sécurité pas trop mal foutues (plus avancées que celles de NT4) sur tous les postes du parc géré par ADS. Plus difficile à faire avec Samba (il y a des techniques, qui fonctionnent à moitié, mais c'est crade...).

La différence se situe ailleurs :

  • le coût au déploiement est identique :
    • ADS nécessite une intervention du conseil Microsoft pour l'étude de migration (pas toujours simple)
    • Samba+OpenLDAP aussi
    • le déploiement prend sensiblement le même temps dans un cas comme dans l'autre, donc même coût si ressources externes
  • le coût du logiciel n'a plus rien à voir :
    • Samba + OpenLDAP sont libres, et gratuits
    • ADS nécessite l'acquittement d'une redevance annuelle d'environ 30€ (sur le site où je suis intervenu, c'est ce qui avait été estimé) par poste de travail dans le domaine
    • ADS coûte cher côté serveur (j'ai pas de liste de prix)

En fait, pour le prix du conseil au déploiement, on a la même chose que juste le conseil d'architecture chez Microsoft.


Une mauvaise utilisation d'Active Directory n'est elle pas la cause de la panne majeure du département britannique du travail et des retraites ( Department for Work and Pensions (DWP)) : http://news.zdnet.co.uk/software/0,39020381,39175160,00.htm http://www.weblmi.com/sections/articles/2004/11/panne_informatique_h/

>La PKI de Verisign intégrée à AD est-elle un problème et pourquoi?

une PKI gère de la confiance dématérialisée or le capital confiance de MS auprès de certains client et prospects s'érode à cause des révélations (entre autres opensourciennes, par ex depuis publication des Halloween documents (http://www.opensource.org/halloween/) ...) mais également de leur politique de gestion des tarifs et des évolutions (dictée par des impératifs financiers, lire par ex http://www.aaxnet.com/editor/edit029.html#mspath) Microsoft et Verisign ont déjà des casseroles : http://www.transfert.net/a4823

Verisign tout seul n'est pas mal non plus pour quequ'un "de confiance ": http://www.whois.sc/verisign-dns/ http://www.zdnet.fr/actualites/internet/0,39020774,39125027,00.htm http://www.asp-magazine.com/zactus/z/p6750.html http://solutions.journaldunet.com/0310/031016_sondage.shtml

pis : Verisign et MS : code source non publié ou, au mieux et pour certains segments seulement, "insuffisamment publié" car la revue des pairs s'exerce mal lorsque nul tiers ne peut espérer participer activement au projet

qui souhaite gérer de la confiance au moyen d'outils n'en inspirant guère ?

>> Comment peut-on faire pour récuperer les mots de passes sous AD? Cela semble impossible :http://www.annuairesldap.com/article.php?sid=8

>> Peut-on faire évoluer le schéma de AD >> conséquences?

  • s'agit-il d'une évolution spécifique (par ex au site) ? pour ce que j'en sais elle rendra difficile/impossible de fusionner simplement des domaines distincts en préservant partout l'extension
  • s'agit-il d'une évol du substrat (par ex d'un ajout d'attribut partout disponible) ? pour ce que j'en sais c'est impossible car seul MS décide de ce que tous emploient (contenus des schémas de base). en résumé MS n'est pas l'IANA

>> Qu'est-ce qui m'empêche de passer à AD à part les standards et les coûts?

Rien si tu souhaites tout animer à terme sous un système vendu par MS

Sinon : AD n'offre pas tous les services aux mondes non MS et centralise certaines ressources sur au moins une machine animée par MS-Windows, donc il te faudra en préserver une dans les parages

Cet effet de diffusion aujourd'hui patent pour l'authentification sourd depuis longtemps et gagne rapidement les autres services infostructurels => pour tes postes clients sous MS-Windows il te faudra également confier divers services d'infostructure à des programmes MS

Selon MS tous les programmes, édités par eux ou non, sont bien entendu interopérables mais sur le terrain les experts recommandent d'épauler les clients MS grâce à des serveurs de même type afin de ne pas réduire les fonctions disponibles. Par exemple : noms (chercher dns aging scavenging, dns gss extensions tsig ...) et DDNS, DHCP, annuaire, gestion des tickets d'authentification ...

Ces éléments techniques bloquants ne le demeurent pas tous longtemps mais sont sans cesse renouvelés.

Bref, si tu n'emploies pas les services spécifiques à MS AD (et uniquement fournis aux logiciels MS ...) l'intérêt de maintenir un service AD semble maigre (par ex en matière d'auth : Kerberos ou un SSO bâti sur une PKI constitueraient une solution plus transparente+interopérable+souple+rassie+... et (à service équivalent) moins onéreuse)

L'examen de ces effets sur la couche applicative semble plus révélateur. l'utilisateur d'une fonction spécifique à MS exigera d'en disposer également sur tous les autres postes clients (non MS) afin d'échanger librement des docs. dans le meilleur des cas tu pourras les implémenter ms en ce cas tu ne feras jamais que suivre MS (par ex : tout document produit sur une machine animée par de l'opensource sera parfaitement traitable (sans déperdition) sur un poste MS ... mais la réciproque ne sera pas toujours vraie)

Là encore tout relève de la confiance dont tu les honores. si tu juges qu'ils ne profiteront jamais abusivement de ces verrous afin de satisfaire leurs attentes économiques (financières) voire politiques (donc militaires ?) cela ne pose aucun problème.


A travers MUTUALINFO, EDF R travaille sur cette problématique.


From unknown Mon Apr 5 12:00:21 GMT+2 2004
From:
Date: Mon, 05 Apr 2004 12:00:21 GMT+2
Subject: openldap
Nos développeurs ne peuvent utiliser AD pour certaines fonctiones standard de ldap (je ne sais pas lesquelles), de fait, on a monté un serveur openldap pour eux.
Mais on migrera tout de même vers windows 2000 avec AD !! On aura donc deux ldap qui tourneront en parallèle.

From unknown Mon Apr 5 17:31:12 GMT+2 2004
From:
Date: Mon, 05 Apr 2004 17:31:12 GMT+2
Subject: openldap / Fonctions OpenLDAP
Il faudrait que j'ai plus de détails sur ces fonctions qui manquent

From unknown Tue Apr 13 16:43:27 GMT+2 2004
From:
Date: Tue, 13 Apr 2004 16:43:27 GMT+2
Subject: Mutual Info et Samba

Je lis "Dans MUTUALINFO, EDF R travaille là-dessus."
Il serait plus juste de trouver "EDF et Gaz de France continuent à envisager Samba comme alternative."

G. Ronval (EDF - Gaz de France)

From unknown Thu Apr 15 17:57:09 GMT+2 2004
From:
Date: Thu, 15 Apr 2004 17:57:09 GMT+2
Subject: Mutual Info et Samba

Je n'ai qu'une partie des infos. :(
Merci d'avoir préciser,
Antoine N.