Il arrive souvent que les déploiements importants nécessitent une arborescence Annuaire utilisant des logiciels serveurs LDAP de différents éditeurs. On désigne alors celle-ci sous le nom d'arborescence fédérée globale. Les services LDAP pour eDirectory 8.7.1 ont la capacité de retourner les renvois à un DSA supérieur de l'arborescence fédérée.
Luc est responsable des réseaux de Digital Airlines. Un serveur OpenLDAP est utilisé pour gérer la racine d'une arborescence Annuaire de Digital Airlines (de la racine de l'arborescence à O=Digital Airlines). Une organisation (OU=Ventes) est gérée par un serveur eDirectory, et une autre (OU=Dev), réside sur un serveur iPlanet.
La figure suivante illustre cette arborescence :
eDirectory ne gère que les données de la partition de OU=Ventes. Les données des autres zones sont gérées sur des DSA non-eDirectory. Luc configure les services LDAP de telle sorte qu'ils retournent des renvois supérieurs à chaque fois qu'une opération prend racine sur O=Digital Airlines ou au-dessus, ou à n'importe quel point sous O=Digital Airlines qui ne fasse pas partie de la hiérarchie OU=Ventes.
Une opération est envoyée au serveur LDAP eDirectory, avec le DN de base OU=Dev,O=Digital Airlines,C=US. Le renvoi retourné pointe sur les serveurs qui contiennent cette entrée ou sur ceux qui ont connaissance des serveurs qui la contiennent.
De même, une recherche de sous-arborescence prenant racine sous O=Digital Airlines,C=US débouche sur un renvoi au DSA racine. Ce dernier retourne à son tour des renvois vers les DSA qui gèrent OU=Ventes et OU=Dev.
Pour que le serveur eDirectory puisse participer à cette arborescence, les services LDAP permettent à eDirectory de disposer des données hiérarchiques supérieures dans une partition marquée " non experte ". Les objets de la zone non experte sont seulement les entrées nécessaires pour construire la hiérarchie DN correcte. Ces entrées sont analogues aux entrées d'association X.500.
Dans ce scénario, les objets Racine, C=US et O=Digital Airlines résident sur le serveur eDirectory dans une zone non experte.
eDirectory permet de placer les informations de connaissance (données de renvoi) à l'intérieur de zones non expertes. Ces informations servent à retourner les renvois au client LDAP.
Lorsqu'une opération LDAP s'effectue dans une zone non experte de l'arborescence eDirectory, le serveur LDAP localise les données de référence correctes et retourne un renvoi au client.
La figure suivante illustre les données présentes sur le serveur eDirectory de l'arborescence fédérée présentée à la section Scénario : Renvois supérieurs dans une arborescence fédérée .
Notez que les entrées sont situées au-dessus de OU=Ventes, même si ces entrées sont gérées par un autre DSA. Ce placement est nécessaire pour fournir les DN corrects aux entrées gérées par le serveur eDirectory.
Pour créer une zone non experte :
Séparez les données non expertes des données expertes.
Créez une limite de partition au sommet de la zone experte. Un serveur eDirectory se considère expert pour toutes les données qu'il contient, sauf indication contraire.
Marquez la partition racine comme étant non experte.
Tracez une limite dans le bas de la zone non experte.
Créez des racines de partition dans les zones de la sous-arborescence pour lesquelles ce serveur doit être expert. Par exemple, dans la figure ci-dessus, il existe une racine de partition sur l'entrée OU=Ventes. Dans les nouvelles partitions, l'attribut expert n'est pas défini sur zéro. Par conséquent, le serveur sera expert pour les partitions.
Rafraîchissez le serveur LDAP.
Le serveur LDAP met en cache les limites des zones experte et non experte à chaque rafraîchissement de sa configuration. Si vous ne rafraîchissez pas manuellement la configuration du serveur, celui-ci le fait automatiquement au cours d'une tâche de fond de trente minutes.
Plusieurs partitions peuvent être empilées en une chaîne de zones non expertes. Toutefois, les services LDAP pour eDirectory 8.7.1 nécessitent que toutes les partitions non expertes soient contiguës et présentes dans des répliques locales.
Quand le serveur LDAP détermine qu'une opération s'effectue dans une zone non experte, il recherche les informations qu'il peut utiliser pour retourner un renvoi au client. Ces informations de renvoi peuvent être à l'un des emplacements suivants :
Les informations de renvoi présentes dans les entrées dans la zone non experte constituent une référence supérieure immédiate. Ces informations de renvoi consistent en un attribut ref à valeurs multiples. (Pour obtenir la description de cet attribut, reportez-vous à RFC 3296. Les informations de renvoi présentes dans le paramètre de configuration Renvoi par défaut constituent une référence supérieure et ne contiennent qu'une seule valeur. (Voir les types de DSE immSupr et supr DSE dans X.501.)
Les données de référence sont présentes sous la forme d'une URL LDAP, mais n'indiquent que l'hôte et (de façon facultative) le port des DSA faisant l'objet de la référence. L'exemple suivant illustre ces données de référence :
ldap://ldap.digital_airlines.com:389
Le serveur LDAP observe le DN de base de l'opération (ou, s'il est introuvable, le DN concordant). Si le DN de base contient des informations de référence, le serveur LDAP renvoie celles-ci sous la forme d'un renvoi.
Si aucune information de référence n'est trouvée, le serveur LDAP parcourt l'arborescence vers le haut, à la recherche d'informations de référence. Si aucune information de référence n'est trouvée après que toutes les entrées ont été épuisées, le serveur LDAP renvoie la référence supérieure. (Cette référence est fournie dans le paramètre Renvoi par défaut de l'objet Groupe ou Serveur LDAP.)
Vous pouvez ajouter une classe d'objet auxiliaire dénommée immeditateSuperiorReference (référence supérieure immédiate) à une entrée de la zone non experte. Cette classe auxiliaire ajoute un attribut ref, rempli avec une ou plusieurs URL LDAP. Chaque URL pointe sur le nom d'hôte et (facultatif) le port d'un DSA.
Historiquement, l'objet Groupe LDAP disposait d'un attribut ldapReferral. Cet attribut contenait une référence par défaut qui était utilisée pour diverses situations de reprise après erreur lors du retour de renvois à d'autres serveurs eDirectory d'une arborescence eDirectory. Dans les services LDAP pour eDirectory 8.7.1, cet attribut est utilisé pour contenir un seul renvoi par défaut vers un DSA supérieur au sein d'une arborescence fédérée.
Par ailleurs, l'attribut ldapReferral a été ajouté à l'objet Serveur LDAP. Si l'attribut ldapReferral contient une valeur de l'objet Serveur LDAP, ce paramètre prend la priorité sur la valeur contenue dans le même attribut de l'objet Groupe LDAP. Ce comportement vous permet de configurer tous les serveurs LDAP qui participent à un groupe sur un renvoi par défaut en particulier, en ne laissant qu'un ou deux serveurs remplacer cette valeur par un autre renvoi par défaut.
La valeur de l'attribut ldapReferral est une URL LDAP. Cette URL contient l'hôte et le port facultatif du DSA auquel il est fait référence.
Si vous avez suivi les procédures ci-dessus dans l'ordre et utilisé LDAP pour exécuter les tâches, vous vous êtes probablement heurté à une barrière lorsque vous avez essayé d'ajouter une référence supérieure immédiate. En effet, comme la partition racine a déjà été marquée comme non experte, LDAP émet des renvois pour n'importe quelle opération agissant sur les données de cette partition.
Pour mettre à jour ou interroger les informations d'une zone non experte, le contrôle ManageDsaIT doit accompagner la requête LDAP. Pour plus d'informations sur ce contrôle, reportez-vous à RFC 3296. Ce contrôle pousse effectivement le serveur LDAP à considérer l'ensemble de la zone non experte comme si elle était experte.
REMARQUE : la fonction de référence supérieure est seulement accessible par LDAP. Les autres protocoles (par exemple NDAP) ne sont pas modifiés par la présence de l'attribut expert. Par conséquent, rien ne vient entraver le fonctionnement de ConsoleOne ou de Novell iManager lors de l'interrogation ou de la mise à jour de données dans la zone non experte.
Les zones non expertes et les renvois supérieurs agissent sur les opérations LDAP suivantes :
Les valeurs des attributs de syntaxe du DN ne sont pas vérifiées. Par conséquent, un attribut membre du groupe peut contenir des DN qui pointent sur les entrées d'une zone non experte.
Si le DN parent se situe dans une zone non experte, un affectsMultipleDSAs erroné doit être renvoyé.
Seuls les services LDAP pour eDirectory 8.7 et les versions ultérieures prennent en charge les renvois supérieurs. Pour découvrir si un serveur eDirectory prend en charge cette fonctionnalité, vous pouvez lire l'attribut supportedFeatures sur le DSE racine. Si l'attribut supportedFeatures liste d'OID 2.16.840.1.113719.1.27.99.1, ces fonctions sont disponibles. Les autres modifications de l'objet DSE racine liées à la découverte sont notamment les suivantes :
Cet attribut ne liste que les racines de la partition figurant sur le DSA local sur lequel le serveur a autorité. Les racines des partitions non expertes sont listées.
Cet attribut ne liste pas les autres serveurs eDirectory qui partagent seulement des partitions non expertes avec le serveur local.
Cet attribut annonce le renvoi supérieur pour le DSA. Cette valeur est administrée par la mise à jour de l'attribut ldapReferral sur l'objet Serveur LDAP ou Groupe LDAP.