JDNet
Solutions. La version Windows 2000 d'Active Directory
reste largement incomplète, notamment autour
des commandes LDAP ?
Jérôme Chagnoux.
L'implémentation LDAP proposée par la
précédente édition d'Active Directory
présente effectivement plusieurs manques, notamment
sur le terrain des services de réplication en
cascade et de modification de mots de passe. Ces carences
rendaient difficile la mise au point de connexions avec
des systèmes de gestion d'accès tiers,
un portail développé en Java par exemple.
Mais également l'interfaçage avec d'autres
annuaires, comme OpenLDAP notamment.
Ce n'est pas tout. Les extensions de schémas d'annuaire,
qui se révèlent nécessaires en vue d'étendre les spécifications
fournies par l'IETF (Internet Ingeniering Task Force),
peuvent être assez fastidieuses à réaliser avec Active
Directory 2000. En cas d'erreurs de classes d'objets
lors de cette opération, ce produit implique une réinstallation
complète du domaine [NDLR: c'est-à-dire de l'application
d'annuaire].
Enfin, Microsoft affichait jusqu'ici encore assez peu
de références autour de projets mettant en oeuvre d'importante
volumétrie, à la différence de Sun et de Novell notamment.
Ce déficit de retours d'expérience ne favorise pas son
développement sur ce marché. Malgré tout, les
choses évoluent. Certaines grandes entreprises, y compris
en France, commencent à faire le choix d'Active Directory
comme annuaire d'entreprise centralisé.
Les
contraintes que vous évoquez sont en partie dépassées
avec Windows Server 2003 ?
Les premiers tests que nous avons effectués
mettent en valeur une meilleur compatibilité
du produit avec LDAP. Dès lors, il semble que
l'on puisse qualifier Active Directory d'annuaire LDAP
à part entière. Les avancées en
question améliorent les possibilités d'intégration
avec l'environnement (annuaire, etc.). Côté
gestion des extensions, la suppression d'une classe
d'objets est toujours aussi contraignante. En revanche,
il est envisageable de
désactiver une classe en cas de besoin - ce qui
simplifie la phase de développement.
Active Directory 2003 inclut beaucoup d'autres nouveautés
intéressantes, une méthode de réplication
plus subtile ou encore la capacité de renommer
un domaine. Il est également doté d'un
outil de migration amélioré (Windows NT/2000/2003)
qui devrait faciliter la reprise de données à
l'occasion des montées de version.
Microsoft
tente de repositionner son offre en la matière ?
La sortie de cette édition 2003
s'inscrit effectivement dans une redéfinition du positionnement
de Microsoft sur le segment de la gestion d'identité.
Et pour preuve : Active Directory propose désormais
une version en mode application (Active Directory Application
Mode) indépendante du système d'administration
réseau avec lequel il était habituellement
livré. On note en outre l'apparition de divers
modules connexes : un outil de gestion des politiques
de groupes, ainsi qu'un meta-annuaire - dont la commercialisation
est attendue d'ici la fin de l'année. Enfin,
Active Directory 2003 intègre un système
de SSO globalisé (par le biais de Passport).
L'ensemble de ces briques et leur intégration
à un tel annuaire indépendant devrait
permettre à Microsoft de concurrencer plus efficacement
les grands fournisseurs de solutions d'annuaires d'entreprise,
tels que Sun ou Novell.
Quels
sont les pièges à éviter lors de
la mise en place d'un
annuaire tel qu'Active Directory ?
En amont de tout projet, il est important
d'analyser la topologie d'un réseau d'entreprise,
c'est-à-dire la façon dont il est distribué.
Le déploiement d'un annuaire passe en effet par
la mise en place d'un contrôleur de domaine par
implantation géographique. Cette politique d'accès
décentralisée contribue à optimiser
la performance d'exécution des opérations
d'authentification. Parallèlement, il est recommandé
d'exploiter des mécanismes de réplication
en vue d'assurer une administration centralisée
de l'ensemble.
Cette architecture n'empêche
pas les projets d'annuaires
de faire face à des problématiques de
montée en charge. Options de dimensionnement
et fonctions de gestion de pics (équilibrage
de charge, etc.) doivent être étudiées
avec soin. L'indisponibilité d'une telle brique,
même momentanée, peut être catastrophique
pour l'entreprise... car elle engendre un blocage des
accès vers l'ensemble des applications sous-jacentes.
Dans ce contexte, il est nécessaire de revoir
le dimensionnement des plates-formes au grès
de l'évolution du système d'information,
notamment lors du lancement d'une application cliente
horizontale comme un portail.
|