Un Module PowerShell pour Centrify DirectControl
Voici un Module PowerShell très utile pour gérer les données stockées par Centrify dans Active Directory. En effet, si vous avez des modifications à apporter et ceci de façon répétitive (implémentation de Design AD, importation de compte utilisateurs Unix dans AD, importation de définitions de privilèges Sudo vers DirectAuthorize, etc.), il est fort utile de pouvoir scripter tout ceci. Si Centrify fournissait un SDK avec les version 3.x et 4.x de DirectControl, celui-ci ne permettait guère plus que l’utilisation du VB script et plus intéressant la possibilité de créer ses propres dll (mais là on rentre dans du développement lourd).
Cela fait un moment que je discute avec Centrify de l’intérêt de fournir des Cmdlets PowerShell, parce qu’à chaque fois que la gestion des données stockées de l’AD sera effectuée par des équipes Windows, l’utilisation de PowerShell est aujourd’hui plus séduisante que des scripts VB !
Voici donc ma contribution aux outils fournis par Centrify, leur succès sur site fait que les Cmdlets PowerShell seront intégrés prochainement dans la Suite Centrify (probablement à partir de la 5.1).
Je posterai plusieurs exemples de scripts aidant à la gestion de Centrify ou aidant la migration des données depuis Unix vers AD, mais en attendant…
Bon scripting ^^
Visiter la page dédiée : Centrify PowerShell Module
Centrify Suite 2012 Update 1 disponible
La version 2012 de la suite Centrify est disponible depuis fin septembre, j’attendais la version mise à jour pour m’étendre sur le sujet. Voilà l’Update 1 disponible.
La Suite 2012 intègre un grand nombre de nouveautés : DirectControl 5.0, DeployManager 2.0, DirectAudit 2.0, etc.
Dans les nouveautés les plus attendues, on peut noter les Zones hiérarchiques, le contrôle d’accès et la gestion des privilèges en s’appuyant sur des groupes AD (rôles fonctionnels), le support par l’agent DirectControl des services d’automontage et des netgroups via NSS, la possibilité d’auditer les serveurs Windows avec DirectAudit, le support d’ADFS 2.0 et pleins d’autres bonnes choses.
Pour découvrir ou redécouvrir le produit : Centrify products overview
Centrify Suite 2011 disponible depuis hier
Centrify vient d’annoncer la sortie de la version 2011 de sa suite de solutions permettant la sécurisation des postes Unix, Linux et Mac en les intégrant dans Active Directory.
En plus de nombreuses mises à jour issues de cas clients (Centrify dépasse aujourd’hui les 1500 clients, des plus petits ayant quelques Mac, au plus grands ayant plus de 5000 serveurs et stations de tout type), Centrify Suite 2011 apporte les nouveautés suivantes :
- Gestion des comptes locaux Unix (au sens large) avec Deployment Manager 1.2
- Fonctionnalités avancées de gestion des postes de travail Linux et Mac (notamment de nouvelles GPO, et en particulier des GPO pour l’environnement de bureau Gnome)
- Amélioration de l’utilisation du DNS Active Directory (fail-over, meilleur reconnaissance des sites, etc.)
- Supports de plateformes supplémentaires pour l’agent Centrify et le module SSO pour SAP
- Ajout de fonctionnalités à Direct Audit (outil de supervision de session Unix) et au Zone Provisioning Agent (agent de gestion des identités Unix)
Au moment où j’écris ces lignes, je suis déjà en train de télécharger cette nouvelle version pleine de promesses. Je ne manquerai pas de vous parler du ZPA (le Zone Provisioning Agent) qui est une solution de gestion des comptes et groupes Unix basée sur les groupes AD très intéressante.
Si vous ne connaissez pas encore Centrify, je vous invite à découvrir cet éditeur spécialiste de l’intégration Unix dans AD : Centrify Express
Et pour tester gratuitement Centrify Express : Télécharger Centrify Express
Migration de domaine AD et Zones Centrify
Lors d’une migration de domaine Active Directory vers un nouveau domaine, par exemple dans le cadre d’une migration de Windows 2003 à Windows 2008, il est nécessaire de planifier la migration des applications tierces impliquées avec Active Directory.
Centrify utilise l’annuaire Active Directory comme annuaire de stockage des identités Unix de votre environnement afin d’intégrer vos serveurs et postes clients non Windows à un domaine AD (grâce à Centrify DirectControl produit de base de la suite Centrify). Lorsque vous migrez d’un domaine AD à un autre avec ADMT (ou un produit s’appuyant sur ADMT tel que Quest Migration Tool ou Ideal Migration), il vous faut également migrer manuellement les Zones Centrify contenant les profils Unix. Les serveurs et postes de travail seront simplement retirés de l’ancien domaine pour être intégrés au nouveau domaine, une fois les informations de comptes et de groupes Unix préalablement migrées.
Techniquement, les profils Unix sont stockées dans l’annuaire sous la forme de serviceConnectionPoint (objet natif de l’AD depuis le schéma Windows 2000, ce qui ne nécessite aucune extension de schéma dans le cadre de l’utilisation de la suite Centrify). Ces profils sont stockés dans des Zones Centrify, représentées par des containers (autre objet natif bien connu de l’AD), et pointent vers les comptes utilisateurs AD et groupes AD correspondant (Centrify enrichi les identités AD existante en permettant de créer un ou plusieurs profils Unix pour chacun).
Afin de faciliter la migration des Zones Centrify, j’ai écrit un script PowerShell dont la tâche et de migrer l’ensemble des Zones Centrify d’un domaine AD source vers un domaine AD cible. La suite Centrify doit être installé dans le nouveau domaine et le container par défaut des Zones Centrify avoir été crée avec la console DirectManage. Ce script est disponible dans la page code source, et s’intitule Migrate-Centrify-Zones. Ce script migre également les profils Unix des utilisateurs et des groupes contenus dans les Zones Centrify.
Lorsque vous migrez des comptes et groupes AD avec ADMT, il est fortement recommandé d’inscrire le SID des objets (attribut objectSid) dans l’attribut sIDHistory, ceci afin de conserver une trace de l’identité des comptes une fois l’ancien domaine décommissionné. Les profils Unix Centrify conserve le SID des objets auxquels ils sont associés dans une valeur appelée parentLink. Une fois les Zones Centrify migrées (que ce soit avec le script précédemment cité ou par un autre moyen), les comptes sont orphelins : en effet les comptes AD et groupes AD migrés n’ont plus le même SID dans le ne nouveau domaine. J’ai donc également écrit un script PowerShell permettant de rétablir la valeur parentLink des profils orphelins en cherchant dans le sIDHistory des comptes et groupes du nouveau domaine AD. Ce script est disponible dans la page code source, et s’intitule Fix-Centrify-Orphan-Unix-Profile-SID.
Bonne migration 
En savoir plus sur Centrify : www.centrify.com
Centrify supporte Snow Leopard dès sa sortie
Centrify annonce fièrement le support de Mac OS X 10.6, nom de code Snow Leopard, à peine sa sortie annoncée par Apple.
L’éditeur américain spécialiste de l’interopérabilité AD-centrique frappe ainsi un grand coup. Démontrant encore une fois que sa solution de gestion des identités Unix suit les évolutions du marché.
En effet leur solution Centrify Suite 2008 permettait déjà beaucoup plus de chose que le simple Apple AD Plugin proposé nativement par Apple sur son système d’exploitation en proposant notamment :
- une gestion centralisée des Mac dans l’AD via Stratégies de groupes (GPO),
- un contrôle d’accès des utilisateurs AD sur les Mac en permettant de les joindre au domaine mais également à des Zones de contrôle séparées,
- le SSO au sein du domaine AD vers ou depuis n’importe quelle ressource de ce domaine, que ce soit un serveur Windows ou un serveur Unix/Linux joint au domaine grâce à un agent Centrify
Pour en savoir plus n’hésitez pas à lire l’article de Tom Kemp lui même : Lire l’article…