Fin LDAP pour l'instant
TODO Réorganiser partie, intégrer LDUP
This commit is contained in:
parent
bd4300eba8
commit
f851fcc132
3
README
3
README
|
@ -1 +1,4 @@
|
|||
Sujet de stage : "État de l'art des systèmes d'approvisionnement et de synchronisation des bases d'identités numériques et mise en œuvre de démonstrateurs."
|
||||
|
||||
Page du projet RedMine:
|
||||
https://dev.entrouvert.org/projects/nouvelle-etude-sur-la-synchronisation
|
||||
|
|
29
doc.md
29
doc.md
|
@ -13,6 +13,7 @@ Compilation :
|
|||
* Scripts création markdown temporaire avec encodage html correct ?? (accents et caractères spéciaux)
|
||||
|
||||
# Acronymes
|
||||
* ACL : *Access Control List*
|
||||
* AS : *Authentication Server*
|
||||
* CAS : *Central Authentication Service*
|
||||
* CCTP : Cahier des Clauses Techniques Particulières
|
||||
|
@ -24,12 +25,14 @@ Compilation :
|
|||
* OID : *Object IDentifier*
|
||||
* SAML : *Security Assertion Markup Language*
|
||||
* SASL : Simple Authentication and Security Layer
|
||||
* SSHA : *Salted SHA*
|
||||
* SOAP : Simple Object Access Protocol
|
||||
[//]: <> (Nécessaire de revoir l'architecture SOAP ? Est-ce vraiment encore utilisé ?)
|
||||
* SP : *Service Provider*
|
||||
* SSO/SLO : *Single Sign-on / Single Log-Out*
|
||||
* SVE : Saisie par voie électronique
|
||||
* SVA : Silence vaut acceptation
|
||||
* TTLS : *Tunnelled Transport Layer Security*
|
||||
* UID : *Universak IDentifier*
|
||||
|
||||
|
||||
|
@ -76,7 +79,30 @@ objectClass : structural, auxiliary, abstract
|
|||
Schémas, attributeType et et OIDs
|
||||
|
||||
#### Modèle de sécurité
|
||||
ACLs
|
||||
On peut aussi choisir de mettre en place une authentification anonyme (en général ce mode d'authentification présente des droits d'accès moindres par rapport à une authentification identifiée).
|
||||
|
||||
Deux protocoles principaux pour assurer la sécurité par chiffrement des échanges client-annuaire :
|
||||
- LADPS a recours a SSL // obsolète, non ?
|
||||
- StartTLS, qui utilise TLS (successeur de SSL)
|
||||
|
||||
Utilisation ACLs après authentification d'un client.
|
||||
cf man slapd.conf(5), fichier de configuration du serveur OpenLDAP.
|
||||
Gestion de droits de façon déclarative, sous la forme :
|
||||
`access to <what> [ by <who> <access> <control> ]+`
|
||||
|
||||
Finalement, l'authentification peut-être laissée à un mécanisme d'authentification forte ou du moins renforcée, à l'aide du protocole SASL.
|
||||
|
||||
#### Fonctionnnalités annexes
|
||||
##### Réplication
|
||||
// cf plus bas LDUP -> TODO reorganiser, expliquer les différentes raisons pour instaurer une redondance de l'annuaire sur plusieurs serveurs
|
||||
|
||||
##### Distribution
|
||||
Cette fois-ci pas de redondance, mais éclatement de l'annuaire en plusieurs parties sur différents serveurs.
|
||||
On parle de *referrals* (càd de référencement)
|
||||
|
||||
##### Liens symboliques
|
||||
Permet au contraire d'éviter la redondance des données par la mise en place d'alias au sein d'un même annuaire.
|
||||
Cf *aliasedObjectName* (RFC4512LDAP Directory Information Models - Section 2.6 : Alias Entries)
|
||||
|
||||
### Schémas
|
||||
#### Présentation
|
||||
|
@ -332,3 +358,4 @@ https://openclassrooms.com/courses/presentation-du-concept-d-annuaire-ldap
|
|||
https://confluence.atlassian.com/kb/how-to-write-ldap-search-filters-792496933.html
|
||||
## A lire
|
||||
http://www.journaldunet.com/developpeur/xml/analyse/la-federation-d-identite-au-travers-de-saml.shtml
|
||||
https://www.ietf.org/rfc/rfc4512.txt
|
||||
|
|
Reference in New Issue