Une zone Centrify repr\u00e9sente ce que j\u2019appelle personnellement un \u201cilot identitaire\u201d<\/strong> \u2013 les zones servent globalement aux situations suivantes:<\/p>\n – R\u00e9sultat de migration depuis diff\u00e9rents ilots identitaires existants (plusieurs serveurs NIS, des serveurs LDAP, voir des fichiers passwd locaux depuis chaque syst\u00e8me) \u2013 Ceci permettant notamment de g\u00e9rer la probl\u00e9matique de collision d\u2019UIDs\/GIDs qui est LE gros probl\u00e8me rencontr\u00e9 par des entreprises voulant migrer vers un annuaire unique<\/p>\n – R\u00e8gles de gouvernance: les zones permettent de s\u00e9gr\u00e9guer la gouvernance de diff\u00e9rents ensembles de serveurs Unix, Linux ou Windows ou des Workstations Linux ou MacOS: si des \u00e9quipes d’administrateurs IT diff\u00e9rentes g\u00e8rent diff\u00e9rents p\u00e9rim\u00e8tres, les zones peuvent aider \u00e0 encadrer tout cela<\/p>\n – R\u00e8gles d’acc\u00e8s: m\u00eame si il est possible de g\u00e9rer les r\u00e8gles d’acc\u00e8s des utilisateurs aux diff\u00e9rents syst\u00e8mes, c’est \u00e0 dire, “qui a le droit de se connecter sur tel syst\u00e8me” de plusieurs mani\u00e8res diff\u00e9rentes (GPOs, R\u00f4les, pam.deny, pam.allow, etc.) les zones Centrify permettent rapidement et facilement de d\u00e9finir le “qui a a acc\u00e8s \u00e0 quoi”<\/p>\n – Le reporting: il est extr\u00eamement facile de g\u00e9n\u00e9rer des reports par zone, indiquant facilement le \u201cqui a acc\u00e8s \u00e0 quoi\u201d en termes de syst\u00e8mes – extr\u00eamement efficace pour des audits<\/p>\n Pour une zone donn\u00e9e, il est tr\u00e8s simple de d\u00e9finir des attributs POSIX pour un utilisateur Active Directory, et bien sur il est possible de d\u00e9finir des jeux d\u2019attributs POSIC diff\u00e9rents par zone pour un m\u00eame individu:<\/p>\n <\/p>\n Les diff\u00e9rents types de zones<\/u><\/strong><\/p>\n Il existe 7 types de zones Centrify:<\/p>\n (0) AutoZone (nous\u00a0ne\u00a0le traiterons pas dans cet article, dans la vraie vie, ceci ne concerne que les workstations sous MacOS)<\/p>\n (1) SFU-compatible zones, version 3.5 <\/p>\n Les zones dites \u201cSFU-compatible\u201d (1)(2) permettaient la compatibilit\u00e9 avec le sch\u00e9ma SFU exploit\u00e9 par Microsoft dans Active Directory \u00e0 une certaine \u00e9poque, autant dire que vu le \u201cbazard\u201d que constitue SFU en terme de compatibilit\u00e9 et de standard, peu de clients se sont aventur\u00e9 dans cette voie\u2026<\/p>\n Les zones \u201cClassic\u201d (3)(4) repr\u00e9sentent l\u2019ancienne famille de zone Centrify, \u00e0 cette \u00e9poque, les zones \u00e9taient \u201c\u00e0 plat\u201d, c\u2019est \u00e0 dire non-hi\u00e9rarchiques \u2013 c\u2019\u00e9tait d\u00e9j\u00e0 tr\u00e8s bien, mais cela obligeait \u00e0 reproduire toutes les configurations communes aux diff\u00e9rentes zones dans chacune des zones, de fa\u00e7on individuel et donc sans gestion centralis\u00e9e \u2013 beaucoup de clients utilisent encore ce mod\u00e8le car ils n\u2019ont pas migr\u00e9 vers le mod\u00e8le hi\u00e9rarchique.<\/p>\n Les zones \u201cHierarchical\u201d permettent d\u2019avoir une arborescence de zones, avec un h\u00e9ritage descendant au niveau des profils POSIX. Cela permet notamment de d\u00e9finir une zone dite Parent avec l\u2019ensemble des UIDs Corporate voulus et de d\u00e9finir des zones enfants avec uniquement les exceptions\/diff\u00e9rences par rapport aux profils POSIX d\u00e9finis dans la zone Parent. C\u2019est donc bien \u00e9videment le meilleur choix, m\u00eame dans le cas d\u2019une architecture simpliste (dans ce cas on ne cr\u00e9era qu\u2019une seule zone parent).<\/p>\n La zone \u201cHierarchical RFC 2307-compatible\u201d<\/u><\/strong><\/p>\n Avec la nouvelle version de Centrify Server Suite, le format de zone par d\u00e9faut lorsque l\u2019on cr\u00e9\u00e9 une zone est le format: Hierarchical RFC 2307-compatible \u2013 l\u2019avantage de ce format est que les attributs POSIX rattach\u00e9s au ServiceConnectionPoint repr\u00e9sentant le profil Unix de l\u2019utilisateur dans la zone est \u201cproprement\u201d renseign\u00e9 dans des attributs particuliers, permettant des requ\u00eates LDAP facilit\u00e9es et surtout une gestion par un outil IAM externe extr\u00eamement simplifi\u00e9.<\/p>\n On voit ici par exemple que l\u2019attribut POSIX uidNumber est un attribut \u00e0 part enti\u00e8re dans l\u2019annuaire Active Directory.<\/p>\n Cette approche simplifie la manipulation des profils Unix depuis un browser LDAP:<\/p>\n![\"Centrify_zone\"](\"http:\/\/www.identitycosmos.com\/wp-content\/uploads\/2016\/01\/Centrify_zone.png\" "\\"Centrify_zone\\"")
<\/a><\/p>\n
\n(2) SFU-compatible zones, version 4.0
\n(3) Classic Centrify zones, 2.x, 3.x, and 4.x
\n(4) Classic RFC 2307-compatible zones
\n(5) Hierarchical Centrify zones, 5.x
\n(6) Hierarchical RFC 2307-compatible zones<\/p>\n<\/a><\/p>\n