IAM

Identity and Access Management

IBM ITIM : lancer une réconciliation sans bloquer le service

On a parfois besoin de lancer une réconciliation en mode "mark" sur ITIM afin d'avoir une idée des modifications qui seraient apportées aux comptes sur un service, surtout si celui-ci n'a pas été réconcilié depuis un certain temps.

Le souci lorsqu'on lance une réconciliation via l'IHM est que le service est bloqué pendant ce temps, et que les modifications sont mises en attente ou tombent en échec.

Une manière de contourner le souci est de créer une réconciliation programmée, qui permet de ne pas bloquer le service.

Compacter ou supprimer un suffixe cn=changelog sur DSEE

Contexte

Sur un annuaire Sun/Oracle DSEE (ancien annuaire, encore pas mal répandu), nous avons activé le retroChangelog, afin de pouvoir identifier quelles opérations de modifications sont faites.

Pour rappel, ceci est fait via une commande dsconf :

dsconf set-server-prop -h localhost -p 389 retro-cl-enabled:on

Le paramétrage a été fait en sorte de ne garder que 30 jours de modifications :

Tags

Sun DSEE

Classe d'objet glue dans un annuaire LDAP

J'ai observé un comportement curieux sur un annuaire OpenLDAP, suite à la mise en place de nouveaux serveurs dans une topologie de réplication.

En parcourant l'annuaire avec un browser LDAP, le container / OU qui contient les comptes de services n'est plus visible... Alors qu'on peut toujours faire une requête LDAP pour trouver les comptes de services situés dans ce container.

Au départ, je pensais à une ACI, mais je n'arrivais pas à l'identifier. Et même en utilisant le compte administrateur (qui ne prend pas en compte les ACI), l'objet est toujours invisible.

Installer 389ds sur almalinux8 ou Red Hat

Cet article traite en parallèle de 2 problématiques :

Synchronisation d'annuaires avec LSC

Contexte

Dans le cadre d'une migration d'annuaire, si on ne veut pas procéder au changement de produit en mode "big bang", il est généralement obligatoire de mettre en place un mécanisme de synchronisation entre l'ancienne et la nouvelle infrastructure.

Sachant que la réplication est propre à chaque produit, il est fort probable qu'il ne soit pas possible d'utiliser la réplication native des annuaires en tant que telle.

Tags

ldap

synchronisation

En savoir plus sur Synchronisation d'annuaires avec LSC

Problème de connexion ldapsearch sur un AD LDS

J'ai été confronté à un problème curieux d'accès à un serveur AD LDS à partir d'un container de type Forgerock DS.

Côté réseau, tout était OK, les ports ouverts d'un côté comme de l'autre.

Par contre une commande ldapsearch tombait en erreur :

/opt/opendj/bin/ldapsearch  --hostname 10.1.2.3 --port 389 -D "CN=admin,CN=Admin-Users,dc=example,dc=fr" -w admin2003 \
-b "CN=Applications,DC=example,DC=fr" "(objectclass=exApplications)"
Unable to connect to the server: 91 (Connect Error)
Additional Information:  Remote close

Pas très parlant.

Pass-Through Authentication et migration des mots de passe

Contexte

Dans un projet de migration d'un annuaire AD LDS vers un Forgerock DS, le principal problème est de pouvoir récupérer les mots de passe.

En effet, AD LDS (et AD DS) ne permettent pas d'exporter le hash du mot de passe en LDIF, et il n'est pas possible non plus simplement de les récupérer, même en passant par des outils tels que creddump , ntdsextract ou autre.

Utilisation d'attributs Json dans Forgerock DS

Problématique

Il arrive des cas où l'utilisation des attributs "simples", qu'ils soient mono ou multi-valués, n'est pas satisfaisante par rapport aux besoins des utilisateurs.

Prenons le cas suivant : on veut gérer des délégations pour X types de profils et chacun avec des rôles spécifiques.

Soit :

SailPoint IdentityIQ vs SailPoint IdentityNow

J'ai eu l'occasion ces derniers temps de travailler sur les deux produits phares de Sailpoint : Identity IQ (IIQ), la version "on premise" et IdentityNow (IDN), la version SaaS = Software As A Service.

L'éditeur semble mettre en avant la solution SaaS, mais même si celle-ci évolue rapidement (sans doute beaucoup plus vite que IdentityIQ), il y a encore quelques limitations.

Tags

Sailpoint

OpenLDAP - LastBind Overlay

La question qui se pose est : pourquoi mémoriser la date de dernière authentification ?

Le principal intérêt est de mettre en place un premier niveau de gouvernance : cette date permet d'identifier les comptes qui sont obsolètes dans l'annuaire, par exemple qui n'ont pas été utilisés pour s'authentifier depuis plusieurs mois.

Par défaut, cette information n'est pas disponible sur OpenLDAP (comme cela peut l'être dans un AD).

On peut analyser les logs systèmes (avec un niveau de log OpenLDAP à 256), mais ce n'est pas optimal.

Tags

openldap

En savoir plus sur OpenLDAP - LastBind Overlay

S'abonner à IAM