Annuaire ouvert Apple - Apple Open Directory

Apple Open Directory est l' implémentation du modèle de service d'annuaire LDAP d' Apple Inc. Un service d'annuaire est un logiciel qui stocke et organise les informations sur les utilisateurs et les ressources réseau d' un réseau informatique et qui permet aux administrateurs réseau de gérer l'accès des utilisateurs aux ressources.

Dans le contexte de macOS Server , Open Directory décrit un domaine d'annuaire LDAPv3 partagé et un modèle d'authentification correspondant composé d'Apple Password Server et de Kerberos 5 liés ensemble à l'aide d'un système de services d'annuaire modulaire. Apple Open Directory est un fork d' OpenLDAP .

Le terme Open Directory peut également être utilisé pour décrire l'ensemble du cadre des services d'annuaire utilisé par macOS et macOS Server. Dans ce contexte, il décrit le rôle d'un système macOS ou macOS Server lorsqu'il est connecté à un domaine de répertoire existant, contexte dans lequel il est parfois appelé Services de répertoire .

Apple, Inc. publie également une API appelée le framework OpenDirectory , permettant aux applications macOS d'interroger et de modifier les données Open Directory.

Avec la sortie de Mac OS X Leopard (10.5), Apple a choisi de s'éloigner du service d'annuaire NetInfo (à l'origine trouvé dans NeXTSTEP et OPENSTEP ), qui avait été utilisé par défaut pour tous les comptes et groupes locaux dans chaque version de Mac OS X de 10,0 à 10,4. Mac OS X 10.5 utilise désormais Directory Services et ses plugins pour toutes les informations de répertoire. Les comptes locaux sont désormais enregistrés dans le plug-in local, qui utilise des fichiers de liste de propriétés XML (plist) stockés /var/db/dslocal/nodes/Default/comme stockage de sauvegarde.

Implémentation dans macOS Server

macOS Server peut héberger un domaine Open Directory lorsqu'il est configuré en tant que maître Open Directory . En plus de son annuaire local, ce domaine LDAPv3 basé sur OpenLDAP est conçu pour stocker des données de gestion centralisées, des comptes d'utilisateur, de groupe et d'ordinateur, auxquels d'autres systèmes peuvent accéder. Le domaine de répertoire est associé au serveur de mots de passe Open Directory et, éventuellement, à un domaine Kerberos. Soit fournit un modèle d'authentification et stocke les informations de mot de passe en dehors du domaine de répertoire lui-même.

Pour l'authentification Kerberos, le domaine Kerberos peut être hébergé par un centre de distribution de clés Kerberos (KDC) exécuté sur le système serveur, ou le serveur peut participer à un domaine Kerberos existant.

Pour les services qui ne sont pas kerberisés, le serveur de mots de passe fournit les méthodes d'authentification basées sur l'authentification simple et la couche de sécurité suivantes :

• APOP
• CRAM-MD5
• Échange de clés Diffie–Hellman
• Condensé-MD5
• MS-CHAPv2
• NTLM v1 et v2
• Gestionnaire de réseau
• WebDAV-Digest

Tout système Mac OS X Server antérieur à 10.7 (Lion) configuré en tant que maître Active Directory peut agir en tant que contrôleur de domaine principal (PDC) Windows, fournissant des services d'authentification de domaine aux clients Microsoft Windows .

Cadre des services d'annuaire

Dans un sens plus général, Open Directory peut décrire le modèle de plug-ins utilisé par Directory Utility et le framework des services d'annuaire dans macOS et macOS Server. Cela pourrait être considéré comme analogue aux systèmes de commutation de service de noms de certains autres systèmes d' exploitation de type Unix . Lorsqu'il est connecté à un système d'annuaire , un client ou un serveur macOS peut authentifier les utilisateurs, rechercher des contacts, effectuer la découverte de services et la résolution de noms avec les types d'annuaires suivants :

• Authentification et contacts
  • Annuaire actif de Microsoft
  • LDAPv3 , y compris un domaine Open Directory ou un système conforme à la RFC 2307
  • Domaines Apple/NeXT NetInfo
  • Fichiers plats BSD et NIS
• Découverte de service et résolution de noms
  • AppleTalk
  • Windows (NetBIOS et WINS )
  • Protocole de localisation de service (SLP)
  • DNS multidiffusion (Bonjour/Zéroconf)

Histoire

Open Directory a commencé avec Mac OS X Server 10.2. Dans cette forme initiale, Open Directory se composait d'un domaine de répertoire NetInfo visible sur le réseau et d'un service Authentication Manager correspondant pour stocker les mots de passe en dehors du répertoire. La version 10.2 incluait également la prise en charge de Kerberos. Les versions 10.1 et 10.0 de Mac OS X stockaient les informations de mot de passe utilisateur dans le domaine de répertoire à l'aide d'autorités d'authentification par mot de passe crypté, mais la version 10.2 a ouvert la voie aux mécanismes actuels de Shadow Hash et de Password Server.

Password Server est le successeur d'Authentication Manager et a été introduit dans Open Directory 2 dans Mac OS X Server 10.3. Open Directory 2 a également été la première version à utiliser LDAPv3 comme domaine de répertoire.

Mac OS X Server 10.4 inclut Open Directory 3, qui a introduit la prise en charge des membres de domaine Active Directory, la liaison de répertoire de confiance et une robustesse accrue.

Mac OS X Server 10.5 comprend Open Directory 4 avec prise en charge de l'autorisation inter-domaines et un serveur RADIUS intégré pour la gestion des bornes d' accès AirPort . Open Directory 4 n'inclut plus les éléments de NetInfo.

Voir plus

• Liste des logiciels LDAP
• Active Directory
• GratuitIPA
• NetInfo

Les références