14.9 Configuration des renvois supérieurs

Il arrive souvent que les déploiements importants nécessitent une arborescence Annuaire utilisant des logiciels Serveur LDAP de différents fournisseurs. Elle est alors appelée arborescence fédérée globale. Les services LDAP pour eDirectory ont la capacité de retourner des renvois à un DSA supérieur de l'arborescence fédérée.

14.9.1 Scénario : renvois supérieurs dans une arborescence fédérée

Luc est responsable des réseaux de Digital Airlines. Un serveur OpenLDAP est utilisé pour gérer la racine d'une arborescence Annuaire de Digital Airlines (de la racine de l'arborescence à O=Digital Airlines). Une organisation (OU=Ventes) est gérée par un serveur eDirectory, et une autre (OU=Dev), réside sur un serveur iPlanet.

La figure suivante illustre cette arborescence :

Données LDAP de plusieurs fournisseurs

eDirectory ne gère que les données de la partition pour OU=Ventes. Les données des autres zones sont gérées sur des DSA non-eDirectory. Luc configure les services LDAP de telle sorte qu'ils retournent des renvois supérieurs à chaque fois qu'une opération prend racine sur O=Digital Airlines ou au-dessus, ou à n'importe quel point sous O=Digital Airlines qui ne fait pas partie de la hiérarchie OU=Ventes.

Une opération est envoyée au serveur LDAP eDirectory, avec le DN de base OU=Dev,O=Digital Airlines,C=US. Le renvoi retourné pointe vers les serveurs qui contiennent cette entrée ou vers ceux qui savent quels serveurs la contiennent.

De même, lors d'une recherche dans la sous-arborescence ayant comme racine O=Digital Airlines, C=US débouche sur un renvoi au DSA racine. Ce dernier retourne à son tour des renvois vers les DSA qui gèrent OU=Ventes et OU=Dev.

Pour que le serveur eDirectory puisse intégrer cette arborescence, les services LDAP permettent à eDirectory de disposer des données hiérarchiques supérieures dans une partition marquée comme non experte. Les objets de la zone non experte sont seulement les entrées nécessaires à l'élaboration d'une hiérarchie DN correcte. Ces entrées sont analogues aux entrées d'association X.500.

Dans ce scénario, les objets Racine, C=US et O=Digital Airlines résident sur le serveur eDirectory dans une zone non experte.

eDirectory permet de placer des informations de connaissance (données de renvoi) à l'intérieur de zones non expertes. Ces informations servent à retourner les renvois au client LDAP.

Lorsqu'une opération LDAP est effectuée dans une zone non autorisée de l'arborescence eDirectory, le serveur LDAP recherche les données de référence correspondantes et transmet un renvoi au client.

14.9.2 Création d'une zone non experte

La figure suivante illustre les données présentes sur le serveur eDirectory de l'arborescence fédérée présentée à la section Scénario : renvois supérieurs dans une arborescence fédérée.

Données sur le serveur eDirectory

Notez que des entrées sont situées au-dessus de OU=Ventes, même si elles sont gérées par un autre DSA. Ce placement est nécessaire pour fournir les DN corrects aux entrées gérées par le serveur eDirectory.

Pour créer une zone non experte :

  1. Séparez les données non expertes des données expertes.

    Créez une limite de partition au sommet de la zone experte. Un serveur eDirectory se considère expert pour toutes les données qu'il contient, sauf indication contraire.

  2. Marquez la partition racine comme non experte.

    1. Ajoutez l'attribut expert à l'entrée la plus proche de la racine dans la partition.

    2. Attribuez la valeur zéro à l'attribut expert.

  3. Tracez une limite au bas de la zone non experte.

    Créez des racines de partition dans les zones de la sous-arborescence pour lesquelles ce serveur doit être expert. Par exemple, sur la figure ci-dessus, l'entrée OU=Ventes est une racine de partition. Dans les nouvelles partitions, l'attribut expert n'est pas défini sur zéro. Par conséquent, le serveur sera expert pour les partitions.

  4. Rafraîchissez le serveur LDAP.

    Le serveur LDAP met en cache les limites des zones experte et non experte à chaque rafraîchissement de sa configuration. Si vous ne rafraîchissez pas manuellement la configuration du serveur, celui-ci le fait automatiquement lors d'une tâche en arrière-plan de 30 minutes.

    Plusieurs partitions peuvent être empilées en une chaîne de zones non expertes. Toutefois, les services LDAP pour eDirectory nécessitent que toutes les partitions non expertes soient contiguës et présentes dans des répliques locales.

14.9.3 Spécification des données de référence

Quand le serveur LDAP détermine qu'une opération s'effectue dans une zone non experte, il recherche les informations qu'il peut utiliser pour retourner un renvoi au client. Ces informations de renvoi peuvent figurer aux emplacements suivants :

  • sur n'importe quelle entrée de la zone non experte ou sur toutes ces entrées ;

  • sur l'objet Serveur LDAP ou Groupe LDAP qui contient les données de configuration du serveur, sous forme de renvoi par défaut.

Les informations de renvoi présentes dans les entrées de la zone non experte constituent une référence supérieure immédiate. Ces informations de renvoi consistent en un attribut ref à valeurs multiples. Pour obtenir la description de cet attribut, reportez-vous au fichier RFC 3296.

Les informations de renvoi présentes dans le paramètre de configuration Renvoi par défaut constituent une référence supérieure et ne contiennent qu'une seule valeur. Reportez-vous aux types de DSE immSupr et supr dans X.501.

Les données de référence sont consignées sous la forme d'une URL LDAP, mais n'indiquent que l'hôte et (de façon facultative) le port des DSA faisant l'objet de la référence. L'exemple suivant illustre ces données de référence :

ldap://ldap.digital_airlines.com:389

Le serveur LDAP observe le DN de base de l'opération (ou s'il est introuvable, le DN correspondant). Si le DN de base contient des informations de référence, le serveur LDAP renvoie celles-ci sous la forme d'un renvoi.

Si aucune information de référence n'est trouvée, le serveur LDAP parcourt l'arborescence vers le haut à la recherche d'informations de référence. S'il n'en trouve aucune après avoir essayé toutes les entrées, le serveur LDAP renvoie la référence supérieure. Cette référence figure dans le paramètre de renvoi par défaut de l'objet Groupe LDAP ou Serveur LDAP.

Ajout d'une référence supérieure immédiate

Vous pouvez ajouter une classe d'objet auxiliaire dénommée immeditateSuperiorReference (référence supérieure immédiate) à une entrée de la zone non experte. Cette classe auxiliaire ajoute un attribut ref indiqué avec une ou plusieurs URL LDAP. Chaque URL pointe sur le nom d'hôte et (facultatif) le port d'un DSA.

Ajout d'une référence supérieure

À l'origine, l'objet Groupe LDAP comportait un attribut ldapReferral. Cet attribut contenait une référence par défaut qui était utilisée pour diverses situations de reprise après erreur lors du retour de renvois à d'autres serveurs eDirectory d'une arborescence eDirectory. Dans les services LDAP pour eDirectory, cet attribut est utilisé pour contenir un seul renvoi par défaut vers un DSA supérieur au sein d'une arborescence fédérée.

Par ailleurs, l'attribut ldapReferral a été ajouté à l'objet Serveur LDAP. Si l'attribut ldapReferral contient une valeur pour l'objet Serveur LDAP, ce paramètre est prioritaire sur la valeur contenue dans le même attribut pour l'objet Groupe LDAP. Ce comportement vous permet de configurer tous les serveurs LDAP d'un groupe pour qu'ils aient un renvoi donné par défaut, en ne laissant qu'un ou deux serveurs remplacer cette valeur par un autre renvoi par défaut.

La valeur de l'attribut ldapReferral est une URL LDAP. Cette URL contient l'hôte et le port facultatif du DSA auquel il est fait référence.

14.9.4 Mise à jour des informations de références par l'intermédiaire de LDAP

Si vous avez suivi les procédures ci-dessus dans l'ordre et utilisé LDAP pour exécuter les tâches, vous n'avez probablement pas pu ajouter une référence supérieure immédiate. En effet, comme la partition racine a déjà été marquée comme non experte, LDAP émet des renvois pour toute opération agissant sur les données de cette partition.

Pour permettre la mise à jour ou l'interrogation des informations d'une zone non experte, la commande Gérer DSA IT doit accompagner la requête LDAP. Pour plus d'informations sur ce contrôle, reportez-vous au fichier RFC 3296. Ce contrôle pousse effectivement le serveur LDAP à considérer l'ensemble de la zone non experte comme si elle l'était.

REMARQUE :la fonction de référence supérieure est seulement accessible via LDAP. Les autres protocoles (par exemple, NDAP) ne sont pas influencés par la présence de l'attribut expert. Par conséquent, rien ne vient entraver l'utilisation de NetIQ iManager lors de l'interrogation et de la mise à jour de données dans la zone non experte.

14.9.5 Opérations touchées

Les zones non expertes et les renvois supérieurs agissent sur les opérations LDAP suivantes :

  • Rechercher et comparer

  • Modifier et ajouter

    Les valeurs des attributs de syntaxe du DN ne sont pas vérifiées. Par conséquent, un attribut membre du groupe peut contenir des DN qui pointent vers des entrées d'une zone non experte.

  • Supprimer

  • Renommer (moddn)

  • Déplacer (moddn)

    Si le DN parent se situe dans une zone non experte, une erreur affectsMultipleDSAs doit être renvoyée.

  • Opérations étendues

14.9.6 Prise en charge des références supérieures

Seuls les services LDAP pour eDirectory 8.7 et versions ultérieures prennent en charge les renvois supérieurs. Pour savoir si un serveur eDirectory prend en charge cette fonctionnalité, consultez l'attribut supportedFeatures sur le DSE racine. Si l'attribut supportedFeatures liste l'OID 2.16.840.1.113719.1.27.99.1, ces fonctions sont disponibles. Les autres modifications de l'objet DSE racine liées à la découverte sont notamment les suivantes :

  • namingContexts

    Cet attribut ne liste que les racines de la partition figurant sur le DSA local sur lequel le serveur a autorité. Les racines des partitions non expertes sont listées.

  • altServer

    Cet attribut ne répertorie pas les autres serveurs eDirectory qui partagent seulement des partitions non expertes avec le serveur local.

  • superiorReference

    Cet attribut annonce le renvoi supérieur pour le DSA. Cette valeur est administrée par la mise à jour de l'attribut ldapReferral sur l'objet Serveur LDAP ou Groupe LDAP.