On Fri, 19 Jun 2015 11:06:55 +0200 Jérôme <jer...@jolimont.fr> wrote:
> Bonjour. > > J'essaye de mettre en place dans ma boîte (environnement MicroSoft) un > serveur Linux pour pouvoir faire plus facilement certaines choses : > > - mise à disposition de services de travail collaboratif (Redmine/trac, > ownCloud, git, ça reste à définir) > - peut-être utilisation du serveur pour des calculs intensifs lancés > depuis les postes individuels > - scripts de sauvegarde de données distantes accessibles en SSH, FTP,... > > Tout ça pas forcément dans la même VM. C'est surtout le premier point > qui me pose problème. Pour le deuxième, on verra. Et pour le troisième > je ferai à la main. > > Je suis en train de mettre ça en place, et je me demande quelle > stratégie choisir pour l'authentification. > > Ce serait moche de devoir dupliquer les comptes des utilisateurs, donc > je voudrais m'appuyer sur l'Active Directory (AD). S'agissant des > services de travail collaboratif, on peut aussi avoir des utilisateurs > externes (partenaires, clients). > > Je vois pour chaque service plusieurs possibilités d'authentification > (liste non exhaustive) : > > - utilisateurs systèmes > - LDAP > - BDD interne au service > > Pour les utilisateurs internes, d'après mes lectures des tutos > winbind/samba/ldap/kerberos, il y a différentes façons de faire. Je > pensais initialement créer un LDAP local qui serait synchronisé sur > celui du serveur AD. Ce LDAP serait utilisé par les applications. Mais > si je comprends bien les tutos winbind/samba, ma machine peut carrément > être intégrée au domaine et donc avoir les utilisateurs du domaine > Windows comme utilisateurs "système", avec capacité de se connecter sur > la machine, etc. > > Les utilisateurs externes pourraient être authentifiés dans la BDD > propre à chaque service, en étant créés à la main au fil des besoins. > Peut-être que c'est mieux de créer un LDAP des utilisateurs externes, de > sorte que lorsqu'un chef de projet ajout un utilisateur à Redmine, > celui-ci a un compte ownCloud avec le même mot de passe, par exemple (et > inversement ?). Si c'est trop compliqué à configurer, ça vaut pas le > coup. > > Il y a tout plein de tutoriels mais certains datent. Et j'aime pas trop > m'écarter des sentiers battus, pour ne pas faire de connerie, déjà, mais > aussi pour des raisons de maintenance (surtout si je suis pas ou plus > là). On a pas le département SI d'une grosse boîte. > > J'ai peur que la solution dépende de la capacité de chaque service à > mixer utilisateurs système et virtuels, authentification LDAP et BDD > interne, etc. Et je n'ai arrêté aucune liste des services, j'ai quelques > idées mais ce n'est que le début. > > Auriez-vous des conseils à me donner ? Bonjour, J'ai entendu dire du bien de SSO: https://fr.wikipedia.org/wiki/Authentification_unique À part cela je n'ai pas d'expérience personnelle sur ces cas de figure. _______________________________________________ Toulouse-ll mailing list Toulouse-ll@toulibre.org http://toulibre.org/cgi-bin/mailman/listinfo/toulouse-ll
