FLASH INFORMATIQUE FI



Open Directory


Présentation de l’annuaire Apple Open Directory @ EPFL, dédié aux Macintosh de l’EPFL.



Introducing the Apple Open Directory @ EPFL directory dedicated to Macintosh at EPFL.


François ROULET


Historique et organigramme EPFL

L’EPFL a initialement fait le choix stratégique de conserver toutes ses données institutionnelles dans un annuaire propre, afin de garantir son indépendance face aux annuaires de constructeurs. La clé de voûte de cette architecture est le CADI , unique source interne qui alimente tous les annuaires avec nos données institutionnelles, via des connecteurs spécifiques. À son tour, un annuaire générique OpenLDAP, conforme au protocole LDAP, réplique ces informations pour les mettre à disposition des ordinateurs de l’EPFL, permettant ainsi l’identification et l’authentification des utilisateurs, ainsi que l’accès aux attributs génériques essentiels tels que l’adresse électronique (Email) et le numéro de téléphone des collaborateurs. C’est par ce biais que vos lecteurs de messagerie devinent les adresses de vos destinataires internes. En revanche, cet annuaire OpenLDAP n’offre pas la possibilité de gérer les ordinateurs, c’est à dire les préférences spécifiques aux constructeurs, à savoir leurs polices de réglages propres (GPO : ou MCX).
C’est pourquoi un premier annuaire propriétaire fût introduit il y a 10 ans déjà, Microsoft Active Directory, afin de servir la plate-forme Windows et ses spécificités.
Le retour en force des Macintosh à l’EPFL nous a alors incités à déployer un annuaire qui leur soit dédié, Apple Open Directory, s’appuyant sur OpenLDAP. La phase pilote de ce dernier a débuté lors de la rentrée académique 2010, et il est maintenant à disposition des responsables de parcs de Macintosh qui le souhaitent.

Fort de l’infrastructure racine de l’EPFL, nous pouvons alors déployer autant d’annuaires propriétaires que nécessaire, à la condition qu’ils soient exclusivement renseignés par l’annuaire central CADI. Autrement dit, ces annuaires propriétaires supplémentaires ne sont habilités qu’à hériter de l’information, mais en aucun cas à la modifier (altérer la source CADI), afin de préserver la totale indépendance de nos informations institutionnelles.

Architecture de l’annuaire Apple Open Directory

L’annuaire Open Directory actuellement implémenté à l’EPFL est composé d’un maître (Master Open Directory) et d’une réplique (Replica Open Directory), afin d’assurer la redondance matérielle et logicielle nécessaire au service. Cette réplique se comporte comme un miroir, capable de seconder le maître en cas de panne de celui-ci, mais agit aussi comme répartiteur de charge, les clients pouvant indifféremment se connecter à l’un ou l’autre. Quel que soit le serveur auquel le client se raccorde, il est automatiquement renseigné sur la structure arborescente de l’annuaire, de manière à pouvoir spontanément basculer sur un serveur de substitution en cas de défectuosité de l’un d’entre-eux. L’infrastructure de l’annuaire Open Directory s’appuie sur OpenLDAP et Kerberos, des éléments reconnus et normalisés et Password Service propriétaire mais bien spécifié.

Implémentation de Open Directory @ EPFL

Si nombre d’institutions, notamment les écoles et les gymnases vaudois, ont eux aussi déployé des annuaires Open Directory, le contexte EPFL susmentionné impose que toutes les données soient automatiquement héritées et synchronisées depuis le comptoir central CADI. Autrement dit, personne n’est autorisé à directement modifier les enregistrements institutionnels de notre annuaire Open Directory (nom d’utilisateur, mot de passe, appartenance à des groupes, etc). Seuls les attributs MCX, c’est à dire les éléments de réglage spécifiques aux Macintosh, peuvent et doivent être directement modifiés dans l’annuaire. Néanmoins, les attributs institutionnels peuvent être indirectement modifiés au travers des portails de gestion centralisés, qui interagissent sur la source EPFL, à savoir le comptoir d’accès CADI.
Lorsqu’un collaborateur change son mot de passe via le portail Gaspar, cette modification est immédiatement répercutée sur tous les annuaires susmentionnés, à savoir OpenLDAP, Active Directory et Open Directory.
De la même manière, toute création d’unité (groupe explicite), ou modification de la liste de ses membres, via le portail DInfo, sera aussitôt répercutée dans tous les 3 annuaires.
Liste des portails d’accès aux données :

Synchronisation et Archivage

En respect de la topologie des informations institutionnelles à l’EPFL, trois acteurs interconnectent l’annuaire Open Directory avec le comptoir d’accès aux données institutionnelles.

  • Un processus de synchronisation permanente des enregistrements (actuellement 18000 utilisateurs et 6000 unités ou groupes implicites au sens Unix) assure la recopie des enregistrements depuis le comptoir CADI, et leur constante actualisation. Tout nouveau collaborateur est alors automatiquement recopié dans l’annuaire, et ses attributs génériques (appartenance, statut, UID, GID...) actualisés. Quant aux groupes, tant implicites (imposés par l’organigramme de notre institution), qu’explicites (librement constitués via le portail DInfo), ils sont à leur tour répliqués.
  • Un processus de modification de mot de passe assure sa recopie dans l’annuaire Open Directory à chaque demande effectuée par l’utilisateur via le portail Gaspar.
  • Un processus d’archivage assure quotidiennement la sauvegarde des bases de données de l’annuaire (LDAP, Kerberos et Password Service).

Réglages MCX

Pour faciliter la configuration et la gestion des Macintosh, un riche assortiment de pré-réglages est livré avec le système d’exploitation Mac OS X et bon nombre d’applications intrinsèques ou extrinsèques au système ...
Quinze catégories de préférences sont assignées aux machines, dont treize aux personnes. Chacune de ces catégories comporte un certain nombre de réglages propres. Dans la catégorie des Applications, à lui seul, Safari, le navigateur Web intrinsèque au Mac OS, recèle pas moins de 39 réglages MCX.

Contents of New Windows
Contents of New Tabs
Home Page
History Age Limit
Downloads Location
Downloads Clearing Policy
Open Safe Downloads Automatically
Default Font
Default Fixed-width Font
Default Fixed-width Font Size
Display Images
Default Text Encoding
Special Collections in Bookmarks Bar
Bookmarks Menu Includes Bookmarks Bar
Bookmarks Menu Includes Address Book
Bookmarks Menu Includes Bonjour
Bookmarks Collections Include Address Book
Bookmarks Collections Include Bonjour
Create tabs instead of windows
Command-Click Makes Tabs
New Tabs are Selected
Confirm Closing Multiple Pages
AutoFill From Address Book
AutoFill Passwords
AutoFill Miscellaneous Forms
Plug-Ins Enabled
Java Enabled
JavaScript Enabled
Allow JavaScript to Open Windows Automatically
Ask Before Submitting Unsecure Forms
Default Space for Database Storage
Minimum Font Size
Tab to Links
Enable User Style Sheet
User Style Sheet Location
Include Develop Menu
Private Browsing
Print Backgrounds
Print Headers and Footers

Exemple de réglages MCX contenus dans le manifeste de l’application Safari

Néanmoins, cet imposant assortiment est extensible au travers de manifestes, fichiers de description des réglages propres à chaque application. Par exemple, Google Chrome propose un manifeste comportant 32 réglages, facilitant grandement la gestion et la configuration centralisée de ce navigateur.
Une autre prestation attendue que cet annuaire apporte est naturellement la gestion de répertoire de travail (home Directory), l’environnement de travail accompagnant alors son propriétaire sur chaque Macintosh connecté à l’annuaire.
Ainsi, les Macintosh clients de l’annuaire Open Directory bénéficieront de toutes les facilités que leur gestionnaire ou administrateur local (de faculté, d’unité, de groupe, ...) leur proposera, notamment les réglages de sécurité, les réglages optimisés pour l’environnement EPFL, tels que la configuration de la messagerie, ou des imprimantes.

Seuls les gestionnaires de parc de Macintosh accrédités, disposant de droits d’accès particuliers, sont habilités à modifier des attributs MCX directement sur l’annuaire Open Directory. Toutefois, ceux-ci ne peuvent en aucun cas modifier les enregistrements, utilisateurs et groupes, en revanche, ils sont libres d’accorder ou de refuser les autorisations d’accès.

Couplage d’un client à l’annuaire Open Directory

Chaque Macintosh client souhaitant être géré, doit se coupler à l’annuaire Open Directory, opération s’effectuant une seule fois pour toutes les sessions ultérieures.

System Preferences...
        Accounts
                Login Options
                        Network Account Server
                                Edit
                                        [+] "Server Name"


Préférences Système...
        Comptes
                Options
                        Compte Serveur Réseau...
                                Joindre...
                                        [+] "Nom du serveur"



L’équipe du support Open Directory se réjouit de vous accueillir dans ce service annuaire.



Glossaire

CADI :
comptoir d’Accès aux Données Institutionnelles->http://kis.epfl.ch/support-information].
cn=Open Directory @ EPFL :
implémentation de l’annuaire à l’EPFL.
GPO (Microsoft Group Policy Objects) :
fonctions de gestion centralisée de la famille Microsoft Windows. W
LDAP (Lightweight Directory Access Protocol) :
protocole permettant l’interrogation et la modification des services d’annuaire. W
MCX (Apple Managed Client X) :
gestion des postes de travail sous Mac OS X
W = tiré de Wikipédia


Cherchez ...

- dans tous les Flash informatique
(entre 1986 et 2001: seulement sur les titres et auteurs)
- par mot-clé

Avertissement

Cette page est un article d'une publication de l'EPFL.
Le contenu et certains liens ne sont peut-être plus d'actualité.

Responsabilité

Les articles n'engagent que leurs auteurs, sauf ceux qui concernent de façon évidente des prestations officielles (sous la responsabilité du DIT ou d'autres entités). Toute reproduction, même partielle, n'est autorisée qu'avec l'accord de la rédaction et des auteurs.


Archives sur clé USB

Le Flash informatique ne paraîtra plus. Le dernier numéro est daté de décembre 2013.

Taguage des articles

Depuis 2010, pour aider le lecteur, les articles sont taggués:
  •   tout public
    que vous soyiez utilisateur occasionnel du PC familial, ou bien simplement propriétaire d'un iPhone, lisez l'article marqué tout public, vous y apprendrez plein de choses qui vous permettront de mieux appréhender ces technologies qui envahissent votre quotidien
  •   public averti
    l'article parle de concepts techniques, mais à la portée de toute personne intéressée par les dessous des nouvelles technologies
  •   expert
    le sujet abordé n'intéresse que peu de lecteurs, mais ceux-là seront ravis d'approfondir un thème, d'en savoir plus sur un nouveau langage.