Novell Documentation: Novell eDirectory 8.7.3 - Conception de l'arborescence eDirectory

Conception de l'arborescence eDirectory

La conception de l'arborescence eDirectory est la procédure la plus importante lorsqu'il s'agit de créer et de mettre en place un réseau. Cette conception est composée des tâches suivantes :

Création d'un document relatif aux standards de dénomination

L'utilisation de noms standard, tels que des noms d'objet, rend l'utilisation du réseau plus intuitive, aussi bien pour les utilisateurs que pour les administrateurs. Des normes écrites peuvent également indiquer la façon dont les administrateurs doivent définir les autres valeurs de propriété, telles que les adresses et les numéros de téléphone.

Les recherches et la navigation dans l'annuaire reposent principalement sur la cohérence des valeurs de dénomination et de propriété.

L'utilisation de noms standard permet également à DirXML^TM de transférer plus facilement les données entre eDirectory et les autres applications. Pour plus d'informations sur DirXML, reportez-vous au manuel DirXML Administration Guide (Guide d'administration de DirXML).

Conventions de dénomination

Objets

Le nom doit être unique dans le conteneur. Par exemple, Sylvie Jouanel et Simon Jouanel ne peuvent pas être tous les deux appelés SJOUANEL s'ils se trouvent dans le même conteneur.
Les caractères spéciaux sont autorisés. Cependant, les signes plus (+) et égal (=), et le point (.) doivent toujours être précédés d'une barre oblique inverse (\). D'autres conventions de dénomination sont appliquées aux objets Serveur et Pays, ainsi qu'aux services de Bindery et aux environnements multilingues.
Les lettres majuscules et minuscules, de même que les caractères de soulignement et les espaces, sont affichés tels que vous les avez saisis, mais sans distinction. Par exemple, Manager_Profile et MANAGER PROFILE sont considérés comme identiques.
Si vous utilisez des espaces, vous devez mettre le nom entre guillemets lorsque vous l'entrez sur la ligne de commande ou dans les scripts de login.

Objets Serveur

Les objets Serveur sont automatiquement créés lorsque vous installez de nouveaux serveurs.
Vous pouvez créer d'autres objets Serveur pour les serveurs NetWare^® et NT existants, ainsi que pour les serveurs eDirectory se trouvant dans d'autres arborescences. Toutefois, ils sont tous traités comme des objets de Bindery.
Lors de la création d'un objet Serveur, le nom doit correspondre au nom du serveur physique, qui :
- est unique sur l'ensemble du réseau ;
- comporte de 2 à 47 caractères ;
- ne contient que des lettres (A-Z), des chiffres (0-9), des traits d'union, des points et des traits de soulignement ;
- ne peut avoir un point pour premier caractère.
Une fois l'objet Serveur nommé, il ne peut pas être renommé sous Novell iManager. Si vous le renommez à partir du serveur, son nouveau nom apparaît automatiquement dans iManager.

Objets Pays

Les objets Pays doivent respecter le code ISO normalisé pour les pays (deux lettres).

Pour plus d'informations, reportez-vous à la liste des codes ISO 3166.

Objets de Bindery

Si vous accédez à l'objet sur un poste de travail NetWare 2 ou NetWare 3 via les services de Bindery, les restrictions suivantes s'appliquent :

Les espaces du nom sont remplacés par des caractères de soulignement.
Les noms sont tronqués à 47 caractères.
Les caractères suivants ne sont pas autorisés : barre oblique (/), barre oblique inverse (\), deux-points (:), virgule (,), astérisque (*) et point d'interrogation (?).

IMPORTANT : l'émulation de Bindery n'est pas prise en charge sur les plates-formes Linux, Solaris, AIX ou HP-UX.

Questions relatives aux langues

Si vous utilisez des postes de travail configurés dans diverses langues, vous voudrez sans doute limiter les noms d'objet à des caractères qui soient affichables sur tous les postes. Il peut arriver, par exemple, qu'un nom entré en japonais contienne des caractères qui ne puissent pas être affichés dans les langues occidentales.

HP-UX ne prend en charge que l'anglais.

IMPORTANT : le nom de l'arborescence doit toujours être indiqué en anglais.

Exemple de document relatif aux standards

Le document suivant contient un exemple de standards pour certaines des propriétés les plus fréquemment utilisées. Vous avez uniquement besoin des standards correspondant aux propriétés que vous utilisez. Distribuez ce document à tous les administrateurs chargés de la création et de la modification des objets.

Classe d'objet \| Propriété	Standard	Exemples	Explication
Utilisateur \| Nom de login	Initiale du prénom, du deuxième prénom (le cas échéant) et nom (en minuscules). Huit caractères au maximum. Tous les noms communs doivent être uniques dans l'entreprise.	mdupont, bjohnson	eDirectory n'exige pas l'utilisation de noms uniques au niveau de l'entreprise, mais cette méthode permet d'éviter des conflits au sein d'un même contexte (ou d'un contexte de Bindery).
Utilisateur \| Nom	Nom de famille (utilisation normale des majuscules et des minuscules).	Dupont	Utilisé pour générer des étiquettes d'expédition.
Numéros de téléphone et de télécopie	Numéros séparés par des tirets.	États-Unis : 123-456-7890 Autres : 44-344-123456	Utilisé par le logiciel de numérotation automatique.
Classes multiples \| Emplacement	Code d'emplacement à deux lettres (majuscules), tiret, boîte aux lettres interne.	BA-C23	Utilisé par les coursiers interservices.
Organisation \| Nom	Nom de votre entreprise pour toutes les arborescences.	Société	En cas d'arborescences distinctes, choisissez un nom standard pour l'objet Organisation, afin de pouvoir fusionner ultérieurement les arborescences.
Unité organisationnelle \| Nom (localité)	Code de localité à deux ou trois lettres, toutes en majuscules.	ATL, CHI, CUP, LA, BAT, BOS, DAL	Utilisez des noms courts et standard pour effectuer une recherche efficace.
Unité organisationnelle \| Nom (service)	Nom ou abréviation du service.	Ventes, Méca	Utilisez des noms courts, standard pour faciliter l'identification du service pris en charge par le conteneur.
Groupe \| Nom	Nom descriptif.	Chefs de projet	Évitez les noms trop longs : certains utilitaires ne peuvent pas les afficher.
Assignation de répertoire \| Nom	Contenu du répertoire indiqué par l'assignation.	DOSAPPS	Utilisez des noms courts, standard pour faciliter l'identification du service pris en charge par le conteneur.
Profil \| Nom	Objet du profil.	Utilisateur mobile	Utilisez des noms courts, standard pour faciliter l'identification du service pris en charge par le conteneur.
Serveur \| Nom	SERV, tiret, service, tiret, numéro unique.	SERV-Méca-1	eDirectory nécessite que les noms de serveur soient uniques dans l'arborescence.

Conception des couches supérieures de l'arborescence

Vous devez concevoir très soigneusement les couches supérieures de l'arborescence ; en effet, si jamais vous devez par la suite apporter des modifications à ces couches, la totalité de l'arborescence en est affectée, notamment si votre entreprise est dotée de liaisons WAN. Vous devez concevoir le sommet de l'arborescence de telle sorte que peu de modifications soient nécessaires ultérieurement.

Utilisez les règles de conception suivantes pour créer l'arborescence eDirectory :

Utilisez une conception pyramidale.
Utilisez une seule arborescence eDirectory portant un nom unique.
Créez un seul objet Organisation.
Créez des unités organisationnelles de premier niveau qui représentent l'infrastructure physique du réseau.

La Figure 21 illustre les règles de conception de eDirectory.

Figure 21
Règles de conception de eDirectory

Pour créer les couches supérieures de l'arborescence, reportez-vous à Création d'un objet et à Modification des propriétés d'un objet.

Utilisation d'une conception pyramidale

Les réseaux eDirectory conçus en pyramide facilitent la gestion, la modification de grands groupes et la création de partitions logiques.

L'alternative à une conception pyramidale est une arborescence simple dans laquelle tous les objets sont placés dans les couches supérieures de l'arborescence. eDirectory prend en charge une conception d'arborescence simple. Toutefois, ce type de conception peut rendre plus difficile la gestion et le partitionnement.

Utilisation d'une seule arborescence eDirectory portant un nom unique

Une seule arborescence est la conception optimale pour la plupart des organisations. Par défaut, une seule arborescence est créée. Une arborescence unique implique une seule identité d'utilisateur sur le réseau, une administration de la sécurité plus simple et un seul point de gestion.

Ces recommandations concernant une arborescence unique pour une utilisation commerciale n'excluent pas la mise en place d'arborescences supplémentaires pour les tests et le développement.

Certaines organisations, cependant, peuvent avoir besoin de plusieurs arborescences pour des motifs juridiques, politiques ou professionnels. Par exemple, une organisation constituée de plusieurs entités autonomes peut avoir besoin de créer plusieurs arborescences. Si votre organisation requiert la création de plusieurs arborescences, étudiez l'utilisation de DirXML pour en faciliter la gestion. Pour plus d'informations sur DirXML, reportez-vous au manuel DirXML Administration Guide (Guide d'administration de DirXML).

REMARQUE : HP-UX ne prend pas en charge DirXML.

Lorsque vous attribuez un nom à l'arborescence, utilisez un nom unique qui n'entrera pas en conflit avec celui d'autres arborescences. Utilisez un nom court et descriptif, comme EDL-ARBO.

Si deux arborescences portent le même nom et qu'elles sont situées sur le même réseau, vous risquez de rencontrer les problèmes suivants :

Mises à jour appliquées à l'arborescence inappropriée
Disparition de ressources
Disparition de droits
Altération

Vous pouvez modifier le nom de l'arborescence à l'aide de l'utilitaire DSMERGE, mais procédez avec précaution. La modification du nom d'une arborescence a une incidence sur le réseau, car vous devez reconfigurer les clients pour qu'ils prennent en compte le nouveau nom de l'arborescence.

Création d'un seul objet Organisation

En règle générale, une arborescence eDirectory doit comporter un objet Organisation. Par défaut, un objet Organisation unique est créé et nommé en fonction de la société. Vous pouvez ainsi configurer les modifications qui s'appliquent à la totalité de la société à partir d'un emplacement unique dans l'arborescence.

Par exemple, vous pouvez utiliser ZENworks^® pour créer un objet Règle d'importation de postes de travail dans l'objet Organisation. Dans cette règle, qui influe sur la totalité de l'organisation, vous définissez la manière dont les objets Poste de travail sont nommés lorsqu'ils sont créés dans eDirectory.

Dans le conteneur Organisation, les objets suivants sont créés :

Admin
Serveur
Volume
Les réseaux qui ne comportent qu'un seul serveur Windows, Linux, Solaris, AIX ou HP-UX qui exécute eDirectory ne contiennent aucun objet Volume.

Vous pouvez créer plusieurs objets Organisation si votre société a les besoins suivants :

Elle comporte plusieurs sociétés qui ne partagent pas le même réseau.
Elle a besoin de représenter séparément les différentes unités ou organisations.
Elle dispose d'une règle ou de directives internes qui oblige les organisations à rester séparées.

Création d'unités organisationnelles représentant le réseau physique

La conception d'unités organisationnelles de premier niveau est importante, car elle a une incidence sur le partitionnement et l'efficacité de eDirectory.

Dans le cas de réseaux couvrant plusieurs bâtiments ou emplacements à l'aide de liaisons LAN ou WAN, la conception de l'objet Unité organisationnelle de premier niveau doit être basée sur l'emplacement. Vous pouvez ainsi créer des partitions eDirectory de manière à conserver tous les objets d'une partition sur un même emplacement. Vous obtenez en outre un emplacement naturel où effectuer les assignations de sécurité et d'administrateur pour chaque emplacement.

Conception des couches inférieures de l'arborescence

Vous devez concevoir les couches inférieures d'une arborescence en fonction de l'organisation des ressources réseau. La conception des couches inférieures d'une arborescence eDirectory n'ayant d'impact que sur les objets situés au même emplacement, elle vous laisse plus de liberté que celle des couches supérieures.

Pour créer les couches inférieures de l'arborescence, reportez-vous à Création d'un objet et à Modification des propriétés d'un objet.

Détermination de la taille du conteneur, de l'arborescence et de la base de données

Le nombre d'objets Conteneur de niveau inférieur que vous créez dépend du nombre total d'objets de l'arborescence, de l'espace disque disponible et des limitations de vitesse d'E/S au niveau du disque. eDirectory a été testé avec plus d'un milliard d'objets regroupés au sein d'une arborescence eDirectory unique. Ses performances sont donc uniquement limitées par l'espace disque, la vitesse d'E/S du disque et la mémoire vive. N'oubliez pas qu'une réplication peut avoir un impact important sur une arborescence de grande taille.

La taille habituelle d'un objet dans eDirectory est comprise entre 3 et 5 ko. À l'aide de cette taille d'objet, vous pouvez rapidement calculer l'espace requis sur le disque dur pour le nombre d'objets que vous possédez ou dont vous avez besoin. N'oubliez pas que la taille des objets augmente en fonction du nombre d'attributs pour lesquels des données ont été définies et en fonction de la nature de ces données. Lorsque des objets contiennent des données BLOB (large objet binaire), telles que des images, du son ou des informations biométriques, leur taille est forcément accrue.

Plus les partitions sont volumineuses, plus le temps de réplication est long. Si vous utilisez des produits qui requièrent l'utilisation de eDirectory, tels que ZENworks et les services DNS/DHCP, les objets eDirectory créés par de tels produits ont une incidence sur la taille des conteneurs dans lesquels ils sont situés. Il est recommandé de placer dans leur propre partition les objets créés à des fins uniquement administratives, tels que les objets DNS/DHCP, afin que l'accès utilisateur ne soit pas affecté par une réplication plus lente. La gestion des partitions et des répliques en est également facilitée.

Si cela vous intéresse, vous pouvez facilement déterminer la taille de votre base de données eDirectory ou de l'ensemble DIB (Directory Information Base).

Pour NetWare, téléchargez le fichier toolbox.nlm à partir du site Web de support Novell pour voir le répertoire sys:_netware de votre serveur.
Pour Windows, recherchez Ensemble DIB dans le répertoire \novell\nds\dibfiles.
Pour Linux, Solaris, AIX ou HP-UX, recherchez Ensemble DIB dans le répertoire indiqué lors de l'installation.

Choix des conteneurs à créer

Généralement, vous devez créer des conteneurs pour des objets qui partagent les besoins d'accès avec d'autres objets eDirectory. Cela permet de gérer de nombreux utilisateurs avec une assignation d'ayant droit ou un script de login. Vous pouvez créer des conteneurs dans le but précis de rendre les scripts de login des conteneurs plus efficaces ou vous pouvez placer deux départements dans un même conteneur pour faciliter la maintenance des scripts de login.

Conservez les utilisateurs dans des emplacements proches des ressources dont ils ont besoin afin de limiter le trafic réseau. Par exemple, les personnes au sein d'un même service travaillent généralement en étroite collaboration. Elles ont généralement besoin d'accéder au même système de fichiers et elles utilisent les mêmes imprimantes.

Il est simple de gérer les exceptions aux limites générales des groupes de travail. Par exemple, si deux groupes de travail utilisent une imprimante commune, vous pouvez créer un objet Alias pour l'imprimante dans l'un des groupes. Vous pouvez créer des objets Groupe pour gérer certains objets Utilisateur au sein d'un groupe de travail ou des objets Utilisateur répartis sur plusieurs groupes de travail. Vous pouvez créer des objets Profil pour les sous-groupes d'utilisateurs requérant des conditions uniques de script de login.