Emulation d’un service NIS: SFU ou extension RFC2307

etc/passwd, et de permettre à un même individu d'utiliser son couple username/password sur des systèmes Unix différents sans être défini localement sur ces même systèmes Unix – les systèmes Unix sont alors paramétrés pour utiliser des informations d'authentification depuis l'annuaire NIS.

Le besoin de centraliser des informations concernant les systèmes Unix au sein d'un annuaire unique est apparu très rapidement dans les organisations possédant des systèmes Windows et des systèmes Unix pour les mêmes utilisateurs. Afin d'utiliser Active Directory comme annuaire centralisant tout type de système, Microsoft proposa le support de NIS directement au sein de l'annuaire Active Directory afin de gérer les informations pour l'authentification des clients Unix utilisant le protocole NIS.

Il suffit pour cela de réaliser une extension de schéma pour rajouter les attributs nécessaires au support des attributs Unix utilisés notamment par NIS au sein de l'annuaire. La première version de ce support des attributs Unix a été réalisée avec SFU 3.0 (Services For Unix 3.0), puis avec SFU 3.5, puis enfin avec l'implémentation "réelle" de la RFC2307 décrivant la gestion des attributs Unix au sein d'un annuaire LDAP.

Il existe une différence très importante entre l'implémentation SFU et l'implémentation de la RFC 2307. En effet, les extensions SFU correspondent à une vision "Microsoft" de la "norme" RFC 2307. Pour démonstration, les attributs SFU dans Active Directory possèdent un préfixe du type "mssfu-" ce qui démontre bien qu'il ne s'agit pas du suivi strict de la RFC2307, mais d'une implémentation Microsoft de la gestion des identités Unix au sein d'Active Directory.

Il est donc fortement recommander d'utiliser la "vraie" norme RFC2307, que l'on peut utiliser à partir du schéma Windows 2003 R2. L'implémentation des attributs RFC2307 au sein de l'annuaire se réalisant en ajoutant un Rôle fonctionnel à partir de Windows 2008 et Windows 2008 R2. D'un point de vue administrateur, il est alors possible de renseigner les attributs RFC2307 d'un utilisateur directement au niveau de ses propriétés, en utilisant l'outil d'administration "Utilisateurs et ordinateurs Active Directory » ou bien évidement en utilisant tout outil de provisionnement.

Moyennent l'installation d'une dll spécifique sur les contrôleurs de domaine Active Directory, il est également possible de synchroniser le mot de passe utilisé dans l'environnement Windows et le mot de passe utilisé dans l'environnement Unix, afin que les utilisateurs n'aient qu'un seul mot de passe à retenir.

Attention, dans une configuration mixte avec des serveurs NIS Windows et des serveurs NIS Unix, le NIS Master est obligatoirement un serveur Windows. Dans la deuxième partie de cet article, nous aborderons en détail l'intégration des systèmes Unix, Linux et Macintosh au sein d'Active Directory en utilisant les protocoles natifs que sont Kerberos et LDAP.