INSIA SRT 3 PAM !.

Slides:



Advertisements
Présentations similaires
Modules d'authentification enfichables (P.A.M.)
Advertisements

Single Sign On et Web SSO Page 1 Nicolas Dewaele Single Sign On.
Logiciel Assistant Gestion d’Événement Rémi Papillié (Chef d’équipe) Maxime Brodeur Xavier Pajani Gabriel Rolland David St-Jean.
Projet tuteuré 2009 Les clients légers Alexandre Cédric Joël Benjamin.
Guide Share France Web Single Sign On Panorama des solutions SSO.
Commerce électronique Automne  ASP.NET propose actuellement 4 Framework d’authentification: ◦ Asp.net Membership ◦ ASP.NET Simple Membership.
Séminaire EOLE Dijon Octobre 2008 Eole SSO.
LES FONCTIONS D'UN SYSTEME D'EXPLOITATION ● Le système d'exploitation contrôle entièrement les ressources matérielles locales. ● Il est responsable de.
Séminaire Novembre 2006 Serveur pédagogique : Scribe.
1- Introduction 1ère partie Le langage SQL 2- Connexion 3- Structure & Contenu 4- Requêtes.
Février 2006X. Belanger / Guilde Introduction à. Février 2006X. Belanger / Guilde Qu'est ce que Samba ? ● Implémentation libre du protocole CIFS/SMB (client.
GABRIEL G estion A ssociée des B ases et R éseaux de l’ E nseignement L ibre 12/10/2016 Observatoire SOLFEGE – Nice & Corse.
TP Sécurité - Sécuriser l’accès d’administration en utilisant
Framework EHop/Ecenvir
Chapitre10 Prise en charge des utilisateurs distants
Eric b, emmanuel l, damien t
Le nouveau bouquet de services aux partenaires des Allocations familiales Présentation aux partenaires- 9 mai 2017.
Le réseau pédagogique de l’établissement
Le CMS Joomla La mise en place du CMS est inscrite dans le dossier d’homologation Attente : avoir une plateforme commune de travail et de publication.
Les P G I Les Progiciels de Gestion Intégrés
TP Sécurité - Configuration de Base d'un Routeur avec SDM
Présentation Scribe NG Serveur pédagogique.
AAA - Présentation ccnp_cch ccnp_cch.
Configuration de base de AAA sur un Server d'accès
Séminaire EOLE Dijon Octobre 2010
Les fonctions.
Les bases de données et le modèle relationnel
Corrigé du TP SQL 2 Énoncé -Rappel Requête 1 :
Préparation de mise à jour
Chapitre 12 Surveillance des ressources et des performances
Sécurité - Configuration de
Sécurité - Configuration de -
Changer les critères de nommage
Module S41 Chapitre 9  Configuration de Microsoft Windows 7 pour fonctionner sur des réseaux Microsoft.
fonctionnalités iiS iis
Comment fonctionne RADIUS?
Windows 7 NTFS.
Module 5 : Gestion des disques.
Configuration de groupes l'autorisation via ASDM
Cyril Bras Journée « Sécu »
Réalisation d’une application web sous le thème: «Mon vétérinaire » par : Benzineb Asmaa et Meftahi Oualid Présentation à Université Saad Dahlab Blida.
PROGRAMMATION INFORMATIQUE D’INGÉNIERIE II
Gestion du compte et Méthodes d’inscription
Chapitre 7 Configuration de l'environnement du bureau
Août 2009.
Mise en correspondance des logins entre PRONOTE et ATRIUM
Windows Server 2012 Objectifs
PRESENTATION DE Cahier de charges 1. Mise en place d’un système de portail captif au sein de l’IGA PROJET : 2.
Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory.
Bureau distant sur Windows Vista /2008 Server
Mise en place d'un Serveur Radius pour la sécurité d'un réseau Wireless sous Windows Serveur Présenter par le Stagiaire : Etienne Mamadou Guilavogui.
Système d’exploitation UNIX
Single Sign-On open source avec CAS (Central Authentication Service)
La gestion des habilitations par le partenaire
Exposé de système / réseaux IR3
Prélude CS Mode client-serveur
Les cas d’utilisation 420-KE2-LG.
Se connecter à Sconet Objectif :
Le portail Mon Compte Partenaire
Se connecter à STSWEB Objectif :
Remote Authentication Dial In User Service RADIUS GAUTHIER Julien.
BIOS- OS Environnement logiciel PC / Traitement numérique / Contrôle.
Single Sign-On open source avec CAS (Central Authentication Service)
Un cloud de production et de stockage
CONFIGURATION D’UN ROUTEUR Introduction et planification du cours  Configuration d’un routeur  Administration d’un routeur  Protocoles RIP et IGRP 
Boulain Joris, Handouz Yassine, Regnier Fabien, Giraud Antoine
Contenu Systèmes de test parallèles Multithreading Synchronisation
Implémentation de FTP Rappel sur FTP Relation entre un site Web et FTP
Système d’exploitation UNIX Historique. 17/09/2019Rabie Boulmal et Mouad Es-Sabry 2 C’est quoi?  C’est un système d’exploitation (OS)  Dont le code.
Les Commandes de base Linux. 1 L’aide sur les commandes Linux ◦ help : obtenir de l’aide pour une commande interne du shell. Elle permet aussi d'afficher.
Transcription de la présentation:

INSIA SRT 3 PAM !

PAM Pluggable Authentication Modules intégrer différents schémas d'authentification de bas niveau dans une API de haut niveau rendre indépendants du schéma les logiciels réclamant une authentification création de Sun Microsystems supporté sur les architectures Solaris, Linux, FreeBSD, NetBSD, AIX et HP-UX.

PAM définir une stratégie d'authentification sans devoir recompiler des programmes d'authentification. PAM permet de contrôler la manière dont les modules sont enfichés dans les programmes en modifiant un fichier de configuration.

PAM Accès à des privilèges par un programme nécessite authentification A la connexion, l'utilisateur entre un nom et un mot de passe. Vérification de l'identité de la personne : la personne est bien celle qu'elle prétend être (authentification) Autres formes d'authentification possibles : sans mot de passe, avec votre voix, votre clef usb, vos empreintes digitales, sur une base SQL, sur un annuaire LDAP, etc Possibilité de définir des restrictions pour l'utilisateur : comme par exemple l'interdiction d'accès à une personne ou groupe à une certaine heure Définir un environnement pour l'utilisateur

Modules PAM bibliothèques dynamiques (par ex. pam_unix.so) six primitives d'authentification regroupées dans quatre mécanismes : auth, deux primitives ; il assure l'authentification réelle, éventuellement en demandant et en vérifiant un mot de passe, et il définit des « certificats d'identité » tels que l'appartenance à un groupe ou des « tickets » kerberos. account fournit une seule primitive : il vérifie si le compte demandé est disponible (si le compte n'est pas arrivé à expiration, si l'utilisateur est autorisé à se connecter à cette heure de la journée, etc.).

Modules PAM (suite) password fournit une seule primitive : il permet de mettre à jour le jeton d'authentification (en général un mot de passe), soit parce qu'il a expiré, soit parce que l'utilisateur souhaite le modifier. session fournit deux primitives : mise en place et fermeture de la session. Il est activé une fois qu'un utilisateur a été autorisé afin de lui permettre d'utiliser son compte. Il lui fournit certaines ressources et certains services, par exemple en montant son répertoire personnel, en rendant sa boîte aux lettres disponible, en lançant un agent ssh, etc.

Configuration Soit /etc/pam.conf Soit /etc/pam.d/ contenant fichiers portant nom du service Contiennent règles examinées les unes après les autres pour chaque mécanisme du type : service type control module-path module-arguments service : nom de l'application correspondante (login, su, sshd, etc) Default : comportement par defaut... fichier other dans /etc/pam.d : en général, pas utilisé Pas de champ service pour fichier dans /etc/pam.d Service est le nom du fichier type : quel mécanisme on cherche à définir (account, auth, password, session)

Configuration control : comportement du module required : retourne failure, mais les autres règles sont examinées requisite : comme required. retourne failure, mais le contrôle est donné à l'application sufficient : succès suffisant, les autres règles ne sont pas examinées. Si failure, les autres règles sont examinées optional : le succès ou failure de ce module n'a pas de conséquences include : permet d'inclure les règles d'un autre fichier commençant par le même champ type control peut avoir des valeurs plus compliquées entre [ ] [value1=action1 value2=action2 ...] voir manpage de PAM

Configuration module-path : chemin relatif ou absolu du module PAM nécessaire module-arguments : arguments donnés aux modules réalisant l'authentification ; il faut dans ce cas consulter la doc de chaque module http://www.kernel.org/pub/linux/libs/pam/Linux-PAM-html/sag- module-reference.html squid auth required pam_mysql.so user=passwd_query passwd=mada \ db=eminence [query=select user_name from internet_service \ where user_name='%u' and password=PASSWORD('%p') and \ service='web_proxy']

D'autres modules possibles La liste des modules disponibles : http://www.kernel.org/pub/linux/libs/pam/modules.html Par exemple, pour faire de l'authentification avec un dongle USB, en PGP, associé à Kerberos, distante, etc. Les modules PAM existants se trouvent habituellement dans /lib/security

Pour résumer Un module est un morceau de code capable d'être lié dynamiquement à une application fournissant un service. Un service est configuré dans un fichier (nommé selon son type de service) contenu dans le répertoire /etc/pam.d/ Un module offre un certain nombre de fonctionnalités qui sont hierarchisées en 4 groupes, définissant leur périmêtre d'action. Un module peut fournir des fonctionnalités pour un seul ou plusieurs groupes. Par exemple, le module pam_xauth ne fourni que des fonctionnalités dans le groupe session alors que pam_unix en fourni pour chaque groupe.