Bonjour,
 
La société où je travaille n'a pas d'annuaire LDAP actuellement (140 personnes réparties sur deux sites & une trentaine d'itinérants, la galère...). L'avantage, c'est que je ne suis pas bloqué niveau architecture, je pars de rien ! Il n'y a pas de VPN entre les deux sites, est-il possible d'héberger un annuaire LDAP ? Itinérants ou sédentaires pourraient alors se connecter de la même manière, ça m'arrangerait, mais je vois pas comment faire...
 
Je suis assez clair ??
 
Merci d'avance

Ben la manière académique de procéder, c'est de monter un VPN avec les deux sites et permettre aux nomades d'accéder au réseau de la société via VPN également.
Sur tes deux sites (ou un seul suivant leurs tailles) tu places tes contrôleurs de domaine.

On est d'accord sur la méthode académique, j'ai toujours fait comme ça. Mais partant de zéro, je me demandais si j'avais la possibilité de faire autrement pour justement m'éviter de monter un VPN (pour des questions de coût, de paramétrage clients, de déploiement...).  
 
Héberger un annuaire LDAP, ça se fait ou pas ? Si oui, y'a t-il des blocages ? Par exemple, un poste peut-il contacter son annuaire LDAP dès le démarrage ?

Déjà, 140 personnes sans annuaire centralisé ça doit être un sacré bordel, voire carrément ingérable.
 
Ensuite oui tu peux monter un AD dans le cloud (si tu pars sur du MS) mais avant ça il faudrait que tu définisses tes besoins, car je pense qu'il te faudra quand même un peu plus qu'un LDAP pour gérer proprement 140 personnes

Tu as bien cerné mon problème : un sacré bordel !
 
Ensuite, les besoins n'ont rien d'extraordinaire, et je compte partir sur l'environnement Microsoft que je maitrise déjà. Je dois pouvoir utiliser les fonctions d'un annuaire LDAP classique : centralisation des authentifications (je gère mes applis pour les connecter à LDAP), stratégies de sécurité utilisateurs et ordinateurs, exécution de scripts... Attention, petite subtilité et pas des moindres : on a un parc de Mac à 80% !
 
Les besoins concernent plus mes applications tierces, à elles de pourvoir se connecter à mon annuaire pour récupérer les infos.

Alors utiliser un AD avec 80% de Mac, bon courage.
 
En pratique tout ce que tu veux mettre en place tu pourras faire une croix dessus, à moins de remplacer tes Mac par des Windows.
 
Ensuite tu parles de tes besoins AD, mais qu'est-ce tu as pour la partie antivirus, sauvegarde, mises à jour, applis métier, mobilité etc...

En fait, j'héberge au maximum toutes mes applications pour ne pas être bloqué dans une architecture. Pour les solutions achetées (messagerie, antivirus, sauvegarde...), je fais attention à ce qu'elles soient compatibles LDAP. Pour les applis métier, nous les développons en interne, on se débrouille pour utiliser LDAP, on a les ressources. Pas de souci donc sur les applis.
 
Pour les Mac, je sais bien, je verrai ce que je peux faire, l'authentification étant le besoin principal... Dans tous les cas, je dois savoir si le fait d'héberger l'annuaire est réalisable ou pas.

Personne ne peut me renseigner sur la possibilité d'héberger l'annuaire LDAP, et surtout y accéder sans VPN ?

Non ça se fait pas.
 
Théoriquement tu pourrais faire un AD et du direct access dans le cloud mais pas de mac là dessus

Désolé, je ressors un vieux dossier, mais bon j'en étais à l'initiative :-)
 
Avec des liens comme ça, ce serait envisageable non ?
 
http://www.windowsazure.com/fr-fr/
https://en.wikipedia.org/wiki/Windows_domain

En gros, je voudrais faire du waad (http://www.windowsazure.com/fr-fr/services/active-directory/ ) sans passer par l'hébergement Microsoft. Je veux faire mon hébergement en prenant une licence Serveur seulement (sans souscrire à une nouvelle plateforme d'hébergement, j'en ai déjà une)

waad c'est pas un annuaire ldap hein

Non c'est l'hébergement Microsoft, mais le principe du LDAP hébergé est proposé via waad, d'où cette remarque.

non c'est pas un annuaire ldap, jamais tu t'y connecteras en ldap dessus

Bon ok, on oublie ma réflexion stupide :-)
 
Se connecter à un LDAP dans un cloud public, c'est possible, on le fait avec notre OpenLDAP pour authentifier certaines applis. La question est : est-ce qu'on peut aussi exploiter un AD Microsoft hébergé dans un cloud public (GPO notamment) ?

Ouais, mais bon c'est pas génial. Pour ça ce qui se fait c'est un AD et un serveur Direct Access dans "le cloud" (ie des machines hébergées donc) où tu vas rendre accessible ton AD via une connexion sécurisée, transparente (Direct Access)

Merci ! Le principe c'est quoi ? L'AD est donc derrière ce serveur Direct Access, et les clients ont cette connexion transparente paramétrée ? Sous quelle forme ? Un client VPN ?

Un truc comme ça quoi...
http://support.microsoft.com/kb/2666914

C'est une sorte de VPN transparent ouais (pas de client, monté à la volée par windows si présence d'une connexion internet). Par contre ça exige des clients en windows 7/8 entreprise.