Objectifs et contraintes
Au CNRS de Grenoble, tous les utilisateurs sont enregistrés dans un annuaire LDAP1. Cet annuaire comporte aussi les mots de passe cryptés et non réversibles des utilisateurs, ainsi que les champs RadiusGroupName. Ce dernier contient les réseaux dans lequel chaque utilisateur sera placé par 802.1x en cas d'authentification correcte. Il est défini par l'administrateur de chaque laboratoire. En effet, un utilisateur peut être considéré comme interne dans un laboratoire et invité dans un autre.
Principe
L'annuaire LDAP du CNRS de Grenoble est structuré de façon à pouvoir sélectionner les utilisateurs au travers de branches représentant les laboratoires, comme illustré figure 15.
Chaque fiche utilisateur contient les données nécessaires à l'authentification, ainsi que celles utilisées dans le service d'annuaire.
Authentification
Si un utilisateur souhaite s'authentifier sur l'annuaire LDAP, il se connecte en fournissant le champ Distinguished Name (DN) et son mot de passe en clair. LDAP va alors vérifier cette authentification avant de fournir les données autorisées disponibles. Si le compte n'existe pas ou que le mot de passe est invalide, aucune donnée n'est retournée et un message d'erreur apparaît.
Discussion
Le protocole LDAP étant d'un fonctionnement très simple et très souple, il est de plus en plus utilisé. Le CNRS est en train de baser toute sa gestion des mails, toute l'authentification des différents sites Web, toute la gestion des utilisateurs sur LDAP.
Il est souhaitable d'utiliser le protocole LDAPS, le protocole LDAP Securisé dans un tunnel SSL, si on doit faire l'authentification des utilisateurs pour que les mots de passe ne circulent pas en clair sur le réseau.
CNRS / Centre Réseau et Informatique Commun (CRIC) - Dernière modification : 26/06/2019.
Mail : CRIC @ grenoble.cnrs.fr (sans les espaces)
