Il arrive souvent que les déploiements importants nécessitent une arborescence Annuaire utilisant des logiciels serveurs LDAP de différents éditeurs. On désigne alors celle-ci sous le nom d'arborescence fédérée globale. Les services LDAP pour eDirectory 8.7.3 ont la capacité de retourner des renvois à un DSA supérieur de l'arborescence fédérée.
Luc est responsable des réseaux de Digital Airlines. Un serveur OpenLDAP est utilisé pour gérer la racine d'une arborescence Annuaire de Digital Airlines (de la racine de l'arborescence à O=Digital Airlines). Une organisation (OU=Ventes) est gérée par un serveur eDirectory, et une autre (OU=Dév) réside sur un serveur iPlanet.
La figure suivante illustre cette arborescence :
eDirectory ne gère que les données de la partition pour OU=Ventes. Les données des autres zones sont gérées sur des DSA non-eDirectory. Luc configure les services LDAP de telle sorte qu'ils retournent des renvois supérieurs à chaque fois qu'une opération prend racine sur O=Digital Airlines ou au-dessus, ou à n'importe quel point sous O=Digital Airlines qui ne fasse pas partie de la hiérarchie OU=Ventes.
Une opération est envoyée au serveur LDAP eDirectory, avec le DN de base OU=Dév, O=Digital Airlines, C=US. Le renvoi retourné se réfère aux serveurs qui contiennent cette entrée ou à ceux qui présentent des informations sur les serveurs qui la contiennent.
De même, une recherche de sous-arborescence prenant racine sous O=Digital Airlines, C=US débouche sur un renvoi au DSA racine. Ce dernier retourne à son tour des renvois vers les DSA qui gèrent OU=Ventes et OU=Dév.
Pour que le serveur eDirectory puisse participer à cette arborescence, les services LDAP permettent à eDirectory de disposer des données hiérarchiques supérieures dans une partition marquée comme non experte. Les objets de la zone non experte sont seulement les entrées nécessaires pour construire la hiérarchie DN correcte. Ces entrées sont similaires aux entrées X.500 " Glue ".
Dans ce scénario, les objets Racine, C=US et O=Digital Airlines résident sur le serveur eDirectory dans une zone non experte.
eDirectory permet de placer des informations de connaissance (données de renvoi) à l'intérieur de zones non expertes. Ces informations servent à retourner les renvois au client LDAP.
Lorsqu'une opération LDAP est effectuée dans une zone non autorisée de l'arborescence eDirectory, le serveur LDAP recherche les données de référence correspondantes et transmet un renvoi au client.
La figure suivante illustre les données présentes sur le serveur eDirectory de l'arborescence fédérée présentée dans Scénario : renvois supérieurs dans une arborescence fédérée.
Notez que des entrées sont situées au-dessus de OU=Ventes, même si ces entrées sont gérées par un autre DSA. Ce placement est nécessaire pour fournir les DN corrects aux entrées gérées par le serveur eDirectory.
Pour créer une zone non experte :
Séparez les données non expertes des données expertes.
Créez une limite de partition au sommet de la zone experte. Un serveur eDirectory se considère expert pour toutes les données qu'il contient, sauf indication contraire.
Marquez la partition racine comme non experte.
Tracez une limite dans le bas de la zone non experte.
Créez des racines de partition dans les zones de la sous-arborescence pour lesquelles ce serveur doit être expert. Par exemple, dans la figure ci-dessus, il existe une racine de partition sur l'entrée OU=Ventes. Dans les nouvelles partitions, l'attribut expert n'est pas défini sur zéro. Par conséquent, le serveur sera expert pour les partitions.
Actualisez le serveur LDAP.
Le serveur LDAP met en cache les limites des zones experte et non experte à chaque rafraîchissement de sa configuration. Si vous ne rafraîchissez pas manuellement la configuration du serveur, celui-ci le fait automatiquement au cours d'une tâche de fond de trente minutes.
Plusieurs partitions peuvent être empilées en une chaîne de zones non expertes. Toutefois, les services LDAP pour eDirectory 8.7.3 nécessitent que toutes les partitions non expertes soient contiguës et présentes dans des répliques locales.
Quand le serveur LDAP détermine qu'une opération s'effectue dans une zone non experte, il recherche les informations qu'il peut utiliser pour retourner un renvoi au client. Ces informations de renvoi peuvent se trouver :
Les informations de renvoi présentes dans les entrées de la zone non experte constituent une référence supérieure immédiate. Ces informations de renvoi consistent en un attribut ref à valeurs multiples. (Pour consulter la description de cet attribut, reportez-vous à RFC 3296. Les informations de renvoi présentes dans le paramètre de configuration Renvoi par défaut constituent une référence supérieure et ne contiennent qu'une seule valeur. (Voir les types de DSE immSupr et supr DSE dans X.501.)
Les données de référence sont présentes sous la forme d'une URL LDAP, mais n'indiquent que l'hôte et (de façon facultative) le port des DSA faisant l'objet de la référence. L'exemple suivant illustre ces données de référence :
ldap://ldap.digital_airlines.com:389
Le serveur LDAP observe le DN de base de l'opération (ou, s'il est introuvable, le DN concordant). Si le DN de base contient des informations de référence, le serveur LDAP renvoie celles-ci sous la forme d'un renvoi.
Si aucune information de référence n'est trouvée, le serveur LDAP parcourt l'arborescence vers le haut à la recherche d'informations de référence. Si aucune information de référence n'est trouvée après que toutes les entrées ont été épuisées, le serveur LDAP renvoie la référence supérieure. (Cette référence est gérée dans le paramètre de renvoi par défaut de l'objet Groupe LDAP ou Serveur LDAP.)
Vous pouvez ajouter une classe d'objet auxiliaire appelée immeditateSuperiorReference (référence supérieure immédiate) à une entrée de la zone non experte. Cette classe auxiliaire ajoute un attribut ref, rempli avec une ou plusieurs URL LDAP. Chaque URL indique le nom d'hôte et (éventuellement) le port d'un DSA.
À l'origine, l'objet Groupe LDAP disposait d'un attribut ldapReferral. Cet attribut contenait une référence par défaut qui était utilisée pour diverses situations de reprise après erreur lors du retour de renvois à d'autres serveurs eDirectory d'une arborescence eDirectory. Dans les services LDAP pour eDirectory 8.7.3, cet attribut est utilisé pour contenir un seul renvoi par défaut vers un DSA supérieur au sein d'une arborescence fédérée.
Par ailleurs, l'attribut ldapReferral a été ajouté à l'objet Serveur LDAP. Si l'attribut ldapReferral contient une valeur de l'objet Serveur LDAP, ce paramètre prend la priorité sur la valeur contenue dans le même attribut de l'objet Groupe LDAP. Ce comportement vous permet de configurer tous les serveurs LDAP qui participent à un groupe de sorte qu'ils aient un renvoi donné par défaut, en ne laissant qu'un ou deux serveurs remplacer cette valeur par un autre renvoi par défaut.
La valeur de l'attribut ldapReferral est une URL LDAP. Cette URL contient l'hôte et le port facultatif du DSA auquel le renvoi fait référence.
Si vous avez suivi les procédures ci-dessus dans l'ordre et utilisé LDAP pour exécuter les tâches, vous n'avez probablement pas pu ajouter une référence supérieure immédiate. En effet, comme la partition racine a déjà été marquée comme non experte, LDAP émet des renvois pour n'importe quelle opération agissant sur les données de cette partition.
Pour que la mise à jour ou l'interrogation des informations d'une zone non experte soient possibles, le contrôle ManageDsaIT doit accompagner la requête LDAP. Pour plus d'informations sur ce contrôle, reportez-vous à RFC 3296. Ce contrôle pousse effectivement le serveur LDAP à considérer l'ensemble de la zone non experte comme si elle était experte.
REMARQUE : la fonction de référence supérieure est seulement accessible via LDAP. Les autres protocoles (par exemple, NDAP) ne sont pas modifiés par la présence de l'attribut expert. Par conséquent, rien ne vient entraver le fonctionnement de ConsoleOne ou de Novell iManager lors de l'interrogation ou de la mise à jour de données dans la zone non experte.
Les zones non expertes et les renvois supérieurs agissent sur les opérations LDAP suivantes :
Les valeurs des attributs de syntaxe du DN ne sont pas vérifiées. Par conséquent, un attribut membre du groupe peut contenir des DN qui indiquent des entrées d'une zone non experte.
Si le DN parent se situe dans une zone non experte, une erreur affectsMultipleDSAs doit être renvoyée.
Seuls les services LDAP pour eDirectory 8.7 et les versions ultérieures prennent en charge les renvois supérieurs. Pour découvrir si un serveur eDirectory prend en charge cette fonctionnalité, vous pouvez lire l'attribut supportedFeatures sur le DSE racine. Si l'attribut supportedFeatures liste d'OID 2.16.840.1.113719.1.27.99.1, ces fonctions sont disponibles. Les autres modifications de l'objet DSE racine liées à la découverte sont notamment les suivantes :
Cet attribut ne liste que les racines de la partition figurant sur le DSA local sur lequel le serveur a autorité. Les racines des partitions non expertes sont listées.
Cet attribut ne liste pas les autres serveurs eDirectory qui partagent seulement des partitions non expertes avec le serveur local.
Cet attribut annonce le renvoi supérieur pour le DSA. Cette valeur est administrée par la mise à jour de l'attribut ldapReferral sur l'objet Serveur LDAP ou Groupe LDAP.