Sans LDAP, la gestion des ressources de l’entreprise peut devenir un véritable cauchemar. Ce protocole réseau permet en effet d’organiser et de faire communiquer des bases d’informations contenant des données parfois très hétérogènes, mais essentielles au fonctionnement du réseau. Les annuaires gèrent toutes sortes de données : celles concernant les collaborateurs de l’entreprise, les badges et droits d’accès aux locaux, les ressources informatiques, les composants logiciels, etc. Un exemple connu d’annuaire est le DNS, serveur de noms de domaine, qui associe des noms en clair à des adresses IP de ressources Internet. Selon les estimations d’IDC, environ 4 millions d’annuaires seront en activité dans le monde en 2004 contre 2 millions en 2000. Pour les entreprises, le coût résultant de la multiplicité et de l’hétérogénéité des annuaires, qui dépend principalement du taux de renouvellement des ressources administrées, devient vite très important. LDAP a été défini par l’organisme de standardisa- tion IETF (Internet Engineering Task Force) pour pallier ce problè- me et contribuer à la réduction des dépenses.
Utilisation : disposer des bons outils d’interface
Un annuaire LDAP peut être distribué physiquement vers plusieurs serveurs. Chacun d’eux peut maintenir une version complète des données, régulièrement répliquées dans le but d’accroître les performances par une gestion efficace de la répartition des charges. La réplication permet aussi d’anticiper les éventuelles pannes système afin de préserver un bon niveau de disponibilité globale du service d’annuaire. Si de nombreux produits LDAP gèrent la réplication, une norme définitive se fait toujours attendre. L’administration d’un annuaire distribué peut vite devenir complexe et requiert des outils adaptés, dotés d’interfaces utilisateurs idoines : navigation au sein des arborescences, manipulation des données (sous réserve de disposer des droits nécessaires), contrôle des droits d’accès et définition des règles de réplication et de partitionnement des données. Ces outils doivent offrir plusieurs interfaces et modes d’accès selon le niveau d’expertise de leurs utilisateurs.
Principe de fonctionnement : une structure arborescente
LDAP définit l’ensemble des composants à fournir par le service d’annuaire et un protocole de communication entre clients et annuaires (client-serveur sur TCP/IP). La norme s’articule autour de quatre modèles. Le premier, le modèle de désignation, s’intéresse à l’organisation des informations et à la manière d’y faire référence dans un annuaire. À l’instar de X.500, les données sont organisées de manière arborescente au sein d’un arbre. Le modèle de données, pour sa part, décrit les notions de classes, d’attributs et les règles de comparaison entre valeurs d’attributs. Les entrées de l’annuaire sont définies comme des instances de classes associées à des listes d’attributs. Le troisième modèle s’applique aux services et décrit comment accéder aux données. LDAP offre de puissantes fonctions de recherche et de mise à jour des données associées à des critères de portée variable. Enfin, le modèle de sécurité décrit les stratégies de protection des données et les droits d’accès. Les données pour l’authentification des utilisateurs sont stockées dans l’annuaire.
Acteurs : un marché de 1 milliard d’euros en 2004
Selon IDC, le marché des produits LDAP représentera 1 milliard d’euros en 2004. Il existe déjà une offre importante et mature de solutions d’annuaires compatibles LDAP. Tous proposent un bon niveau d’intégration de la norme LDAPv3. Pour choisir, il faut d’étudier les fonctions complémentaires fournies : administration du service, environnement de production associé, compatibilité avec les métaannuaires… On distingue plusieurs catégories de fournisseurs d’annuaires LDAP. Les premiers, associés aux systèmes d’exploitation réseau, permettent de localiser et d’administrer de manière centralisée des ressources techniques gérées par diverses machines. Les principaux produits de ce type sont eDirectory de Novell, Directory Services intégré à Solaris de Sun et Active Directory de Microsoft. Ces annuaires spécialisés peuvent être utilisés pour gérer d’autres types de ressources, sans rapport avec les OS. Des logiciels pour groupes de travail comportent leur propre service d’annuaire, adapté à un contexte fonctionnel déterminé. C’est le cas de Microsoft Exchange et de Lotus Domino d’IBM, dont les carnets d’adresses sont accessibles par requêtes LDAP. Des éditeurs de SGBD proposent un annuaire LDAP pour faciliter l’admi-nistration centralisée des ressources nécessaires au fonctionnement des bases de données. Ces logiciels peuvent être utilisés pour gérer des ressources dépassant le cadre restreint de l’administration des serveurs de données. Des annuaires généralistes sont aussi disponibles. Conçus de manière autonome et indépendante des OS et des SGBD, ils sont pour la plupart compatibles avec LDAPv3. C’est le cas de DirX de Siemens, Global Directory Server de Critical Path et de Global Directory de Syntegra, qui gèrent tous X.500 et LDAP. Puis viennent les produits exclusivement LDAP tels iPlanet Directory Server (Sun/Netscape) et OpenLDAP, un annuaire LDAP pour Unix gratuit, livré en open source.
Alternatives : des implémentations propriétaires
Sans réels concurrents, LDAP est toujours en cours d’élaboration à l’IETF, les stratégies de partitionnement des annuaires n’étant pas encore figées. De même, la spécification relative à la gestion de l’intégrité des données n’est pas arrêtée, ni celle clarifiant la logique des droits d’accès et des privilèges. Les logiciels LDAP du marché s’appuient alors sur des technologies propriétaires ou autres standards pour combler ces lacunes. Les fournisseurs s’engagent à suivre les évolutions de la norme à mesure de ses développements. Pour les utilisateurs, le risque concerne la compatibilité entre les divers systèmes et l’intégration globale d’un annuaire hétérogène. La gestion de l’intégrité des données d’annuaire n’est pas encore spécifiée et les produits du marché proposent des implémentations propriétaires ou s’appuient sur une infrastucture à clé publique (PKI).
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
