JDNet Solutions. La
version Windows 2000 d'Active Directory reste largement incomplète,
notamment autour des commandes LDAP ?
Jérôme Chagnoux.
L'implémentation LDAP proposée par la précédente
édition d'Active Directory présente effectivement plusieurs
manques, notamment sur le terrain des services de réplication en
cascade et de modification de mots de passe. Ces carences rendaient difficile
la mise au point de connexions avec des systèmes de gestion d'accès
tiers, un portail développé en Java par exemple. Mais également
l'interfaçage avec d'autres annuaires, comme OpenLDAP notamment.
Ce n'est pas tout. Les extensions de schémas d'annuaire, qui se révèlent
nécessaires en vue d'étendre les spécifications fournies par l'IETF (Internet
Ingeniering Task Force), peuvent être assez fastidieuses à réaliser avec
Active Directory 2000. En cas d'erreurs de classes d'objets lors de cette
opération, ce produit implique une réinstallation complète du domaine
[NDLR: c'est-à-dire de l'application d'annuaire].
Enfin, Microsoft affichait jusqu'ici encore assez peu de références autour
de projets mettant en oeuvre d'importante volumétrie, à la différence
de Sun et de Novell notamment. Ce déficit de retours d'expérience ne favorise
pas son développement sur ce marché. Malgré tout, les choses évoluent.
Certaines grandes entreprises, y compris en France, commencent à faire
le choix d'Active Directory comme annuaire d'entreprise centralisé.
Les
contraintes que vous évoquez sont en partie dépassées
avec Windows Server 2003 ?
Les premiers tests que nous avons effectués mettent en
valeur une meilleur compatibilité du produit avec LDAP. Dès
lors, il semble que l'on puisse qualifier Active Directory d'annuaire
LDAP à part entière. Les avancées en question améliorent
les possibilités d'intégration avec l'environnement (annuaire,
etc.). Côté gestion des extensions, la suppression d'une
classe d'objets est toujours aussi contraignante. En revanche, il est
envisageable de désactiver une classe
en cas de besoin - ce qui simplifie la phase de développement.
Active Directory 2003 inclut beaucoup d'autres nouveautés intéressantes,
une méthode de réplication plus subtile ou encore la capacité
de renommer un domaine. Il est également doté d'un outil
de migration amélioré (Windows NT/2000/2003) qui devrait
faciliter la reprise de données à l'occasion des montées
de version.
Microsoft tente de
repositionner son offre en la matière ?
La sortie de cette édition 2003 s'inscrit effectivement
dans une redéfinition du positionnement de Microsoft sur le segment de
la gestion d'identité. Et pour preuve : Active Directory propose
désormais une version en mode application (Active Directory Application
Mode) indépendante du système d'administration réseau
avec lequel il était habituellement livré. On note en outre
l'apparition de divers modules connexes : un outil de gestion des
politiques de groupes, ainsi qu'un meta-annuaire - dont la commercialisation
est attendue d'ici la fin de l'année. Enfin, Active Directory 2003
intègre un système de SSO globalisé (par le biais
de Passport).
L'ensemble de ces briques et leur intégration à un tel annuaire
indépendant devrait permettre à Microsoft de concurrencer
plus efficacement les grands fournisseurs de solutions d'annuaires d'entreprise,
tels que Sun ou Novell.
Quels sont les pièges
à éviter lors de la mise en place d'un
annuaire tel qu'Active Directory ?
En amont de tout projet, il est important d'analyser la
topologie d'un réseau d'entreprise, c'est-à-dire la façon
dont il est distribué. Le déploiement d'un annuaire passe
en effet par la mise en place d'un contrôleur de domaine par implantation
géographique. Cette politique d'accès décentralisée
contribue à optimiser la performance d'exécution des opérations
d'authentification. Parallèlement, il est recommandé d'exploiter
des mécanismes de réplication en vue d'assurer une administration
centralisée de l'ensemble.
Cette architecture n'empêche pas les
projets d'annuaires de faire face à des problématiques de
montée en charge. Options de dimensionnement et fonctions de gestion
de pics (équilibrage de charge, etc.) doivent être étudiées
avec soin. L'indisponibilité d'une telle brique, même momentanée,
peut être catastrophique pour l'entreprise... car elle engendre
un blocage des accès vers l'ensemble des applications sous-jacentes.
Dans ce contexte, il est nécessaire de revoir le dimensionnement
des plates-formes au grès de l'évolution du système
d'information, notamment lors du lancement d'une application cliente horizontale
comme un portail.