La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Cette session avec la démo disponible prochainement sur le site « interop » :

Publié parEléonore Sauvé Modifié depuis plus de 8 années

Présentations similaires

Présentation au sujet: "Cette session avec la démo disponible prochainement sur le site « interop » :"— Transcription de la présentation:

1

2 Cette session avec la démo disponible prochainement sur le site « interop » : http://www.microsoft.com/france/interop

3 Windows Security and Directory Services for UNIX Guide Download Center: http://go.microsoft.com/fwlink/?linkid=36975 http://go.microsoft.com/fwlink/?linkid=36975 TechNet online: http://go.microsoft.com/fwlink/?linkid=68104 http://go.microsoft.com/fwlink/?linkid=68104

4

5 Objectif : intégrer Linux dans Active Directory Identifier les différents moyens Comment décider de la solution adaptée à l’environnement Vision : Chaque utilisateur a une et une seule identité et un mot de passe pour accéder à tous les services disponibles, une fois authentifié (SSO ?) Toutes les informations d’un utilisateur relatives à la sécurité sont stockées dans un seul endroit

6 Authentification : action de prouver qu’un Principal est vraiment l’entité qu’il prétend être Principal : un participant dans une interaction, identifiable de manière unique – utilisateur, hôte, service Autorisation : action de déterminer quelles actions un Principal peut effectuer dans un contexte donné AuthZ Store : Stockage des données sur les Principaux nécessaires pour effectuer les autorisations

7 Converger vers un annuaire unique Une identité, un mot de passe, en un seul endroit Nécessite des standards de l’industrie Windows nécessite Active Directory Conserver l’infrastructure existante Seul Kerberos v5 supporté Ce n’est pas « en un seul endroit, » mais presque Synchroniser, interopérer « Un mot de passe, » mais pas « une identité » Plus complexe

8 1.AD/Kerberos pour authentification uniquement 2.AD/Kerberos pour authentification et AD/LDAP pour autorisations 3.AD/LDAP pour authentification uniquement 4.AD/LDAP pour authentification et autorisations 5.Relation d’approbation entre AD/Kerberos et Kerberos UNIX pour authentification uniquement L’approche recommandée est la solution 2

9 Solution 5 Prérequis : Kerberos V5 en place En général un seul royaume (realm) Architecture de domaine pas trop complexe Kerberos V5 sous UNIX supporte une hiérarchie de confiance dans une forêt (avec quelques efforts) Relations d’approbation inter-forêts délicates Nécessite AD/AM pour les informations d’autorisation Windows pour les utilisateurs UNIX

10 Solutions 1 (Kerberos) et 3 (LDAP) Solution existante pour les autorisations Demi-solution : Réduit le nombre d’identités Conserve les autorisations existantes Solution acceptable pour le « deprovisioning »

11 Certaines plateformes ne supportent pas Kerberos Applications (composants web) Ne pas confondre avec solutions de fédération Il s’agit d’un scénario interne LDAP n’a pas été conçu comme un protocole d’authentification Nécessite des précautions pour éviter les mots de passe en clair (SSL/TLS) Limitations en performance et évolutivité « L’authentification » LDAP est un bind LDAP La seule preuve de l’identité est une connexion LDAP établie Pas de transitivité de l’identité

12 Solution 2 Authentification Kerberos LDAP pour les autorisations Consolidation de l’annuaire, création/suppression ((de)provisioning) simplifiées, mot de passe unique, stratégie commune… Utilise les protocoles et services tels qu’ils ont été conçus Des produits commerciaux existent : Quest (Vintela Authentication Service) Centrify (DirectControl)

13 login récupère username, password login appelle PAM pour authentifier l’utilisateur PAM utilise plusieurs modules pour tenter l’authentification login appelle getpwnam() pour obtenir les données d’autorisation de l’utilisateur getpwnam() appelle NSS NSS utilise plusieurs modules pour tenter d’obtenir les données demandées login utilise les données d’autorisation pour créer le processus initial (shell)

14 LinuxWindows GINA (login) Kerberos (MIT de-facto) Credential (ticket) cache Default Credential (ticket) cache GSSAPI SSPI Application RFC 1510 – Kerberos V5 AS - Authentication Service TGS - Ticket Granting Service MIT de-facto CPW - Change password service Service principal key table Default Service principal key table LSA kinit klist kdestroy kpasswd (MIT de-facto) Login pam_krb5 KRB

15 Linux LDAP OpenLDAP... LDAP (V3) - RFC 2251 LDAP API - RFC 1831 LDAP search - RFC 2254 AD password change “protocol” login pam_ldap LDAP API Application Account Profile Password Clear or SSL protected

16 Schéma RFC 2307 ou SFU 3.0 pour les données d’autorisation spécifiques à UNIX SFU 3.0 est aujourd’hui dépassé Windows Server 2003 R2 (Identity Management for UNIX) inclut le schéma RFC 2307 Différences très mineures avec la RFC ; La documentation contient les détails dans la section Migrating standard and nonstandard maps Certaines stratégies de groupe s’appliquent automatiquement

17 Linux Windows ADSI Active Directory Services Interface LDAP LDAP API nscd cache daemon LDAP (V3) - RFC 2251 LDAP API - RFC 1831 LDAP search - RFC 2254 login getpwnam Application LDAP API Application Account Profile UID GID Home directory Groups … nss_ldap Account Profile Groups Tel # Office # … Cleartext, SSL, SASL

18 Kerberos MIT v1.3.7 ou plus Heimdal Spécifique au fournisseur (mais risques de problèmes) LDAP OpenLDAP 2.2 PADL nss_ldap

19 Pour la démo : Windows Server 2003 R2, Active Directory, DNS, Certificate Service Red Hat 9 installé en mode « Workstation »

20 Kerberos krb5-devel-1.2.7-10 (installé par défaut) krb5-libs-1.2.7-10 (installé par défaut) krb5-workstation-1.2.7-10 css_adkadmin-2.2_linux ( http://www.css-security.com/ ) http://www.css-security.com/ pam_krb5-1.60.1-css1_linux ( http://www.css- security.com/ ) http://www.css- security.com/ http://www.css- security.com/LDAPopenldap-2.2.17nss_ldap-220krb5-1.3.5cyrus-sasl-2.1.19

21 1.Créer les OU, utilisateurs et groupes de test dans AD 2.Configuration et test de Kerberos pour l’authentification 3.Configuration et test de LDAP pour les autorisations 4.Configuration et test de l’authentification Kerberos (SASL) pour LDAP

22

23 Windows Security and Directory Services for UNIX Guide Download Center: http://go.microsoft.com/fwlink/?linkid=36975 http://go.microsoft.com/fwlink/?linkid=36975 TechNet online: http://go.microsoft.com/fwlink/?linkid=68104 http://go.microsoft.com/fwlink/?linkid=68104 Site interopérabilité Microsoft France http://www.microsoft.com/france/interop

24

Télécharger ppt "Cette session avec la démo disponible prochainement sur le site « interop » :"

Présentations similaires

Sécurité informatique

Sécurité informatique
Active Directory Windows 2003 Server

Active Directory Windows 2003 Server
ACTIVE DIRECTORY. Qu'est-ce un service d'annuaire ?: Un service d'annuaire peut être comparé à un agenda téléphonique, celui- ci contient au départ des.

ACTIVE DIRECTORY. Qu'est-ce un service d'annuaire ?: Un service d'annuaire peut être comparé à un agenda téléphonique, celui- ci contient au départ des.
Interopérabilité Unix / Linux avec Windows

Interopérabilité Unix / Linux avec Windows
Vue d'ensemble Présentation multimédia : Administration d’un environnement Microsoft Windows Server 2003 Ouverture de session sur Windows Server 2003 Installation.

Vue d'ensemble Présentation multimédia : Administration d’un environnement Microsoft Windows Server 2003 Ouverture de session sur Windows Server 2003 Installation.
Active Directory, Applications STIME/Groupement des Mousquetaires 03 Novembre 2003.

Active Directory, Applications STIME/Groupement des Mousquetaires 03 Novembre 2003.
1 HPC pour les opérations. Sommaire Quelques rappels sur Windows Compute Cluster Server Déploiement de Compute Cluster Administration de Compute cluster.

1 HPC pour les opérations. Sommaire Quelques rappels sur Windows Compute Cluster Server Déploiement de Compute Cluster Administration de Compute cluster.
Client Mac dans un réseau Wifi d’entreprise sécurisé

Client Mac dans un réseau Wifi d’entreprise sécurisé
ASP.NET 2.0 et la sécurité Nicolas CLERC

ASP.NET 2.0 et la sécurité Nicolas CLERC
Pascal AUBRY François DAGORN IFSIC / Université de Rennes 1

Pascal AUBRY François DAGORN IFSIC / Université de Rennes 1
Université Nancy 2 - CRI Propositions de mécanisme de SSO dans un environnement d’applications web.

Université Nancy 2 - CRI Propositions de mécanisme de SSO dans un environnement d’applications web.
ESUP-FWA Connexion simplifiée à Apogée & Harpège via l'ENT

ESUP-FWA Connexion simplifiée à Apogée & Harpège via l'ENT
Microsoft Office Groove 2007. Le contexte Une utilisation des postes de travail en très grande évolution chez les professionnels. Des lieux de travail.

Microsoft Office Groove Le contexte Une utilisation des postes de travail en très grande évolution chez les professionnels. Des lieux de travail.
Implémentation de la gestion de réseau dans Windows 2000 et plus

Implémentation de la gestion de réseau dans Windows 2000 et plus
Protocole PPP* *Point-to-Point Protocol.

Protocole PPP* *Point-to-Point Protocol.
Conception de la sécurité pour un réseau Microsoft

Conception de la sécurité pour un réseau Microsoft
Vue d'ensemble Présentation multimédia : Rôle du routage dans l'infrastructure réseau Activation et configuration du service Routage et accès distant Configuration.

Vue d'ensemble Présentation multimédia : Rôle du routage dans l'infrastructure réseau Activation et configuration du service Routage et accès distant Configuration.
Vue d'ensemble Création de comptes d'utilisateurs

Vue d'ensemble Création de comptes d'utilisateurs
Windows 2000 Architecture de Sécurité. Modèle de sécurité Windows 2000.

Windows 2000 Architecture de Sécurité. Modèle de sécurité Windows 2000.
MDS 2 Michel Jouvin LAL Pourquoi changer ? Sécurité –MDS non intégré avec GSI –Pas didentification des serveurs ni des utilisateurs.

MDS 2 Michel Jouvin LAL Pourquoi changer ? Sécurité –MDS non intégré avec GSI –Pas didentification des serveurs ni des utilisateurs.

Présentations similaires

Annonces Google