La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Copyright 2010 © Consortium ESUP-Portail TOC ESUP-Days 10, Paris, 2 juillet 2010 De LDAP à Kerberos à lUniversité de Rennes 1 Pascal Aubry François Dagorn.

Publié parGabrielle Duclos Modifié depuis plus de 10 années

Présentations similaires

Présentation au sujet: "Copyright 2010 © Consortium ESUP-Portail TOC ESUP-Days 10, Paris, 2 juillet 2010 De LDAP à Kerberos à lUniversité de Rennes 1 Pascal Aubry François Dagorn."— Transcription de la présentation:

1 Copyright 2010 © Consortium ESUP-Portail TOC ESUP-Days 10, Paris, 2 juillet 2010 De LDAP à Kerberos à lUniversité de Rennes 1 Pascal Aubry François Dagorn

2 Copyright 2010 © Évoluer Basculer rapidement un parc de postes Windows XP vers Windows 7 –Authentification des utilisateurs via LDAP –Depuis Vista PGINA ne fonctionne plus Credential Provider (fournisseur dinformations pour lauthentification) –Des sources dexemples en C++ sont fournis par MicroSoft –Regina (développement IFSIC) et depuis PGINA version 2 sont des Credential Providers

3 Copyright 2010 © Regina et PGINA v2 Interception du couple uid / passwd Validation auprès dun service LDAP Si lidentité est vérifiée : –Création dun compte local –Loger le mot de passe en clair quelque part ! –Ressortir le mot de passe en clair quand cest nécessaire (net use vers des services contrôlés par LDAP) –Détruire les comptes locaux avant chaque login, après chaque logout … Pourquoi utiliser LDAP pour lauthentification ?

4 Copyright 2010 © Sécuriser LDAP peut être sécurisé –Un service qui sappuie sur LDAP peut utiliser LDAPS –En amont le mot de passe doit circuler en clair Serveurs CUPS contrôlés par LDAP Serveurs SMB contrôlés par LDAP Serveurs de fichiers NetApp –Cain & Abel LDAP pour authentifier est un problème

5 Copyright 2010 © La solution Kerberos Sécurité –Aucun mot de passe en clair Evolution –Windows 7 Confort –Single Sign-On de bout en bout

6 Copyright 2010 © Kerberos Identification/Authentification –Sur un réseau non sûr –Aucun mot de passe en clair Basé sur une partage de clés –Pas de PKI Principals –Utilisateurs, machines, services Architecture 3-tiers –Client, serveur, KDC (Key Distribution Center) –Multi-système

7 Copyright 2010 © Comment migrer ? Pas de moulinette ldap2krb5 –Besoin du mot de passe en clair Migration progressive des utilisateurs

8 Copyright 2010 © Quand créer les principals ? Quand peut-on disposer du mot de passe ? –Sur les postes clients Pam_krb5_migrate : pas assez sûr –Sur un service dédié à la migration Pas assez transparent –Sur un service fréquemment utilisé Mail –Problème des accès webmail CAS Solution retenue : CAS –Interception à la connexion pour créer les usagers dans le royaume Kerberos –Complètement transparent, trop peut-être :-)

9 Copyright 2010 © Modification de CAS Database handler LDAP handler database LDAP

10 Copyright 2010 © Modification de CAS NTLM/kerberos handler Database handler LDAP handler database LDAP

11 Copyright 2010 © Modification de CAS NTLM/kerberos handler Database handler LDAP handler handler wrapper database LDAP KDC

12 Copyright 2010 © Modification de CAS NTLM/kerberos handler Database handler LDAP handler handler wrapper database LDAP cache KDC

13 Copyright 2010 © Modification de CAS NTLM/kerberos handler Database handler LDAP handler handler wrapper database LDAP cache KDC Authentification

14 Copyright 2010 © Modification de CAS NTLM/kerberos handler Database handler LDAP handler handler wrapper database LDAP cache KDC Authentification Alimentation du royaume (migration des utilisateurs)

15 Copyright 2010 © Cohérence LDAP/Kerberos Création des comptes –Rien à faire car comptes non actifs Activation des comptes Changement des mots de passe –Interface web (pages Sésame) Suppression des comptes

16 Copyright 2010 © Application Sésame LDAP Interface utilisateur (web) Interface administrateur (batch) activation changement mdp création suppression

17 Copyright 2010 © Application Sésame LDAP Interface utilisateur (web) Interface administrateur (batch) activation changement mdp création suppression AD

18 Copyright 2010 © Application Sésame LDAP Interface utilisateur (web) Interface administrateur (batch) activation changement mdp création suppression ADkerberos

19 Copyright 2010 © Stratégie de migration 1. Mise en place infrastructure Kerberos 2. Intégration dans le S.I. 3. Basculement des services

20 Copyright 2010 © Migration étape 1 Infrastructure Kerberos Deux serveurs redondants –Crontab + kprop Une application web légère –PHP –Délégation de la gestion des principals

21 Copyright 2010 © Migration étape 2 Intégration dans le S.I. Serveur CAS –Authentification Kerberos –Alimentation Kerberos Application Sésame –Ajout dun module Kerberos

22 Copyright 2010 © Migration étape 3 basculement des services Serveurs de fichiers –Samba –NFS –NetApp Serveurs dimpression –CUPS, passage en IPP avec auth Kerberos Serveur de mail

23 Copyright 2010 © Migration étape 3 basculement des services Serveurs de fichiers –Samba –NFS –NetApp Serveurs dimpression –CUPS, passage en IPP avec auth Kerberos Serveur de mail

24 Copyright 2010 © Aller plus loin… Mangez du chien ! Tuto JRES n°13 www.esup-portail.org/display/CASKERB

Télécharger ppt "Copyright 2010 © Consortium ESUP-Portail TOC ESUP-Days 10, Paris, 2 juillet 2010 De LDAP à Kerberos à lUniversité de Rennes 1 Pascal Aubry François Dagorn."

Présentations similaires

Sécurité informatique

Sécurité informatique
Protection notice / Copyright notice Copyright © Siemens Enterprise Communications GmbH & Co KG 2007. Tous droits réservés. HiPath 3000/5000 V7.0 HiPath.

Protection notice / Copyright notice Copyright © Siemens Enterprise Communications GmbH & Co KG Tous droits réservés. HiPath 3000/5000 V7.0 HiPath.
Botnet, défense en profondeur

Botnet, défense en profondeur
« Les Mercredis du développement » Introduction Office « 12 » Présenté par Bernard Fedotoff Microsoft Regional Director Agilcom.

« Les Mercredis du développement » Introduction Office « 12 » Présenté par Bernard Fedotoff Microsoft Regional Director Agilcom.
Laccès distant aux bases bibliographiques J. Gutierrez / B.Nominé – Université Nancy 2.

Laccès distant aux bases bibliographiques J. Gutierrez / B.Nominé – Université Nancy 2.
13/04/05 - RB1 Montpellier 24/03/2005 Les interactions entre le SSO ESUP et le mécanisme de propagation d'identité

13/04/05 - RB1 Montpellier 24/03/2005 Les interactions entre le SSO ESUP et le mécanisme de propagation d'identité
Département Édition - Intégration SEMINAIRE SOA Migration du canal Esup MonDossierWeb Olivier Ziller / Charlie Dubois Université Nancy 2 16 octobre 2007.

Département Édition - Intégration SEMINAIRE SOA Migration du canal Esup MonDossierWeb Olivier Ziller / Charlie Dubois Université Nancy 2 16 octobre 2007.
Pascal AUBRY François DAGORN IFSIC / Université de Rennes 1

Pascal AUBRY François DAGORN IFSIC / Université de Rennes 1
Université Nancy 2 - CRI Propositions de mécanisme de SSO dans un environnement d’applications web.

Université Nancy 2 - CRI Propositions de mécanisme de SSO dans un environnement d’applications web.
Copyright 2008 © Consortium ESUP-Portail EsupDay 7 - 03/02/2009 Atelier stockage Raymond Bourges, Université de Rennes 1.

Copyright 2008 © Consortium ESUP-Portail EsupDay /02/2009 Atelier stockage Raymond Bourges, Université de Rennes 1.
05/07/07ESUP-Days IV Bravin - Jouin - Monclin Celcat à lUniversité de Reims Champagne - Ardenne.

05/07/07ESUP-Days IV Bravin - Jouin - Monclin Celcat à lUniversité de Reims Champagne - Ardenne.
ESUP-Days 9, Paris, 5 février 2010

ESUP-Days 9, Paris, 5 février 2010
Esup-Days 5 Présentation Evolutions CAS Version 3 5 février 2008.

Esup-Days 5 Présentation Evolutions CAS Version 3 5 février 2008.
ESUP-FWA Connexion simplifiée à Apogée & Harpège via l'ENT

ESUP-FWA Connexion simplifiée à Apogée & Harpège via l'ENT
Copyright 2008 © Consortium ESUP-Portail EsupDay 7 - 03/02/2009 Points généraux.

Copyright 2008 © Consortium ESUP-Portail EsupDay /02/2009 Points généraux.
Copyright 2008 © Consortium ESUP-Portail ESUP-Days 7, Paris, 3 février 2009 ESUP-Lecture Mise en place à lUniversité de Valenciennes.

Copyright 2008 © Consortium ESUP-Portail ESUP-Days 7, Paris, 3 février 2009 ESUP-Lecture Mise en place à lUniversité de Valenciennes.
Copyright 2013 © Consortium ESUP-Portail Chainage de serveur CAS ESUP-Days 16, Paris 02 juillet 2013 Julien Marchal – Université de Lorraine.

Copyright 2013 © Consortium ESUP-Portail Chainage de serveur CAS ESUP-Days 16, Paris 02 juillet 2013 Julien Marchal – Université de Lorraine.
Introduction aux réseaux informatiques

Introduction aux réseaux informatiques
Une solution personnalisable et extensible

Une solution personnalisable et extensible
Conception de la sécurité pour un réseau Microsoft

Conception de la sécurité pour un réseau Microsoft

Présentations similaires

Annonces Google