SAMBA+
SerNet

Un pont entre l'environnement sur site et le cloud : une interaction réussie entre Samba AD et Entra ID

[Translate to Français:] Success Story: Samba AD meets Entra ID


Tout a commencé par un choix architectural clair : garder la gestion de l'identité sur site sous notre propre contrôle tout en utilisant Microsoft 365 dans le cloud. 

Tel était le défi que la société Qudora Technologies GmbH a lancé à SerNet. QUDORA est une entreprise leader dans le domaine de l’informatique quantique full-stack, dont le siège se trouve en Allemagne. Sa technologie propriétaire Near-Field Quantum Control (NFQC®) combine un contrôle ultraprécis des qubits avec des temps de cohérence très longs, améliorant ainsi considérablement les performances par qubit. Les systèmes de calcul quantique de QUDORA sont conçus pour s'intégrer de manière transparente dans les infrastructures industrielles existantes, y compris les déploiements sur site pour les centres de calcul haute performance (HPC). Avec des sites à Brunswick et à Hambourg, QUDORA rend le calcul quantique accessible à un éventail plus large d'applications et de secteurs.

Qudora s'est tourné vers SerNet, car ce spécialiste de l'open source basé à Göttingen allie le développement en amont de Samba à une expertise pratique en matière d'intégration dans les environnements Samba et Microsoft.

Aperçu du projet

  • Annuaire d'autorité local : Contrôleur de domaine Samba Active Directory
  • Services cloud : Microsoft 365 (Exchange Online, SharePoint, Teams)
  • Moteur de synchronisation : Microsoft Entra Connect (unidirectionnel : local → cloud)
  • Exigence principale : les attributs pertinents pour Exchange doivent être disponibles et corrects dans Samba AD
  • Objectif : configuration hybride prête pour la production

Architecture : l'environnement sur site reste déterminant

La question centrale était simple : un domaine Samba AD peut-il être synchronisé correctement avec Microsoft Entra ID à l'aide d'Entra Connect – y compris les attributs pertinents pour Exchange ?

Dans de nombreux environnements réels, les exigences d’Exchange Teams ont par le passé poussé à « simplement utiliser Windows pour AD », car Exchange Online (et les modèles hybrides associés) attendent certaines classes d’objets et certains attributs.

Qudora a cherché à mettre en place une architecture différente, qui prend au sérieux les exigences en matière de souveraineté numérique : Samba AD reste la source de référence, Microsoft 365 utilise des identités synchronisées, et les administrateurs gèrent les utilisateurs à partir d’un seul et même endroit.

“

Le cœur technique : intégrer les attributs Exchange dans Samba AD

Le défi ne consistait pas à « faire fonctionner la synchronisation ». Le défi consistait à répondre aux exigences liées au schéma et aux attributs d’Exchange.

Exchange Online s’appuie généralement sur des attributs et des structures tels que :

  • proxyAddresses
  • mail
  • targetAddress
  • plusieurs attributs msExch*
  • Objets d'organisation Exchange / classes associées

Pour répondre à ces exigences avec Samba comme seul contrôleur de domaine AD, le projet a nécessité :

  1. Extension du schéma LDAP dans Samba AD avec des classes d'objets et des attributs pertinents pour Exchange
  2. Des modifications ciblées du code Samba afin que ces objets soient traités correctement
  3. Un dépannage au niveau des journaux (traces réseau + journaux de débogage détaillés) pour confirmer ce qu'Entra Connect demandait réellement et comment Samba y répondait

C'est là que la composition de l'équipe de SerNet s'est particulièrement fait sentir :

  • Björn Jacke (intégrateur au sein de l'équipe Samba de SerNet) a dirigé la mise en œuvre côté AD et coordonné les exigences relatives à Samba AD/DC.
  • Stefan Metzmacher (développement du noyau Samba) a retracé le comportement jusqu'aux chemins de code concernés et a implémenté les corrections.
  • Carl Massiang (intégrateur au sein de l'équipe Infrastructures sécurisées de SerNet) a mis en œuvre la configuration Entra Connect et s'est chargé des travaux d'intégration pour Microsoft 365 / Exchange Online.

Les modifications qui en ont résulté ont été intégrées dans le code en amont, afin que l'ensemble de la communauté Samba puisse en bénéficier.

Un point important tiré de la pratique : du point de vue d’Entra ID, le système se comportait comme un environnement Active Directory standard. Entra « ne se souciait pas » du fait que le contrôleur de domaine (DC) était Samba.

La solution en action

Après la mise en œuvre, le processus opérationnel était clair et reproductible :

  1. Créer/gérer les utilisateurs dans l'AD Samba local (l'annuaire de référence).
  2. Définir les attributs pertinents pour Exchange dans l'AD Samba.
  3. Entra Connect synchronise les objets dans un seul sens (local → Entra ID).
  4. Microsoft 365 configure automatiquement la boîte aux lettres Exchange Online sur la base de l'identité et des attributs synchronisés.

Cette configuration ne nécessitait pas de serveur Exchange local. Aucun domaine Windows supplémentaire n'a été ajouté, ce qui évite une double gestion des identités. Un seul serveur membre Windows est nécessaire pour le service Entra Connect Sync. 

Ce qui a changé pour Qudora

Cette implémentation a fourni une architecture d'identité hybride présentant les caractéristiques suivantes :

  • source unique de vérité (AD Samba local)
  • prêt pour le cloud pour les services Microsoft 365
  • schéma correct pour les exigences d'Exchange Online
  • stable et reproductible en production

Dans un projet ultérieur avec une autre entreprise, la même approche a été appliquée à un scénario hybride avec un serveur Exchange local, dans lequel les contrôleurs de domaine doivent évaluer correctement certaines stratégies afin que les objets Exchange puissent être déployés comme prévu. Ce scénario a également pu être mis en œuvre sur la base du schéma étendu.

Envisagez-vous un projet similaire ?

Si vous utilisez Samba AD et souhaitez vous connecter à Microsoft 365 ou si vous devez sécuriser une configuration hybride existante, contactez SerNet. Nous examinons votre modèle d’annuaire et votre schéma, validons les exigences en matière d’attributs Exchange, concevons l’architecture Entra Connect et la mettons en œuvre de bout en bout – y compris un dépannage complet si le problème dépasse le cadre de la configuration.

Remarque sur la souveraineté numérique :  En fonction de vos besoins, SerNet conçoit et met également en œuvre des alternatives souveraines sans services cloud Microsoft – sur site ou chez des fournisseurs européens – en particulier lorsque l'emplacement des données, les exigences réglementaires ou les considérations de risque (y compris des questions telles que le US-CLOUD Act) font partie de la décision.

SerNet peut le faire – n'hésitez pas à nous contacter.

Back
Contact us
Contact
Deutsch English Français