La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

De LDAP à Kerberos Pascal AUBRY François DAGORN IFSIC / Université de Rennes 1.

Présentations similaires


Présentation au sujet: "De LDAP à Kerberos Pascal AUBRY François DAGORN IFSIC / Université de Rennes 1."— Transcription de la présentation:

1 De LDAP à Kerberos Pascal AUBRY François DAGORN IFSIC / Université de Rennes 1

2 évoluer Basculer rapidement un parc de postes Windows XP vers Windows 7 Authentification des utilisateurs via LDAP Depuis Vista PGINA ne fonctionne plus Credential Provider (fournisseur dinformations pour lauthentification) –Des sources dexemples en C++ sont fournis par MicroSoft –Regina (développement IFSIC) et depuis PGINA version 2 sont des Credential Providers.

3 Regina et PGINA v2 Interception du couple uid / passwd Validation auprès dun service LDAP Si lidentité est vérifiée : –Création dun compte local –Loger le mot de passe en clair quelque part ! –Ressortir le mot de passe en clair quand cest nécessaire (net use vers des services contrôlés par LDAP) –Détruire les comptes locaux avant chaque login, après chaque logout … Pourquoi utiliser LDAP pour lauthentification ?

4 Sécuriser LDAP peut être sécurisé –Un service qui sappuie sur LDAP peut utiliser LDAPS –En amont le mot de passe doit circuler en clair Serveurs CUPS contrôlés par LDAP Serveurs SMB contrôlés par LDAP Serveurs de fichiers NetApp –Cain & Abel LDAP pour authentifier est un problème. Kerberos est la solution (évoluer + sécuriser).

5 Comment migrer ? Pas de moulinette ldap2krb5 –Besoin du mot de passe en clair Migration progressive des utilisateurs

6 Quand créer les principals ? Quand peut-on disposer du mot de passe ? –Sur les postes clients Pam_krb5_migrate : pas assez sûr –Sur un service dédié à la migration Pas assez transparent –Sur un service fréquemment utilisé Mail –Problème des accès webmail CAS Solution retenue : CAS –Interception à la connexion pour créer les usagers dans le royaume Kerberos –Complètement transparent, trop peut-être :-)

7 Modification de CAS NTLM/kerberos handler Database handler LDAP handler database LDAP

8 Modification de CAS NTLM/kerberos handler Database handler LDAP handler handler wrapper database LDAP KDC

9 Modification de CAS NTLM/kerberos handler Database handler LDAP handler handler wrapper database LDAP cache KDC

10 Cohérence LDAP/Kerberos Création des comptes –Rien à faire car comptes non actifs Activation des comptes Changement des mots de passe –Interface web (pages Sésame) Suppression des comptes

11 Application Sésame LDAP Interface utilisateur (web) Interface administrateur (batch) activation changement mdp création suppression

12 Application Sésame LDAP Interface utilisateur (web) Interface administrateur (batch) activation changement mdp création suppression AD

13 Application Sésame LDAP Interface utilisateur (web) Interface administrateur (batch) activation changement mdp création suppression ADkerberos

14 Stratégie de migration 1. Mise en place infrastructure Kerberos 2. Intégration dans le S.I. 3. Basculement des services

15 Migration étape 1 Infrastructure Kerberos Deux serveurs redondants –Crontab + kprop Une application web légère –PHP –Délégation de la gestion des principals

16 Migration étape 2 Intégration dans le S.I. Serveur CAS –Authentification Kerberos –Alimentation Kerberos Application Sésame –Ajout dun module Kerberos

17 Migration étape 3 basculement des services Serveurs de fichiers –Samba –NFS –NetApp Serveurs dimpression –CUPS, passage en IPP avec auth Kerberos Serveur de mail


Télécharger ppt "De LDAP à Kerberos Pascal AUBRY François DAGORN IFSIC / Université de Rennes 1."

Présentations similaires


Annonces Google