Pascal AUBRY François DAGORN IFSIC / Université de Rennes 1

Slides:



Advertisements
Présentations similaires
Sécurité informatique
Advertisements

Act Informatik SERVICES INFORMATIQUES ET RESEAUX POUR LES PROFESSIONNELS
Interopérabilité Unix / Linux avec Windows
Module 5 : Implémentation de l'impression
ASP.NET 2.0 et la sécurité Nicolas CLERC
« Les Mercredis du développement » Introduction Office « 12 » Présenté par Bernard Fedotoff Microsoft Regional Director Agilcom.
Département Édition - Intégration SEMINAIRE SOA Migration du canal Esup MonDossierWeb Olivier Ziller / Charlie Dubois Université Nancy 2 16 octobre 2007.
Université Nancy 2 - CRI Propositions de mécanisme de SSO dans un environnement d’applications web.
Esup-Days 5 Présentation Evolutions CAS Version 3 5 février 2008.
Une solution personnalisable et extensible
Conception de la sécurité pour un réseau Microsoft
Formation WIMS Jeudi 9 juillet 2009
Vue d'ensemble Implémentation de la sécurité IPSec
Le helpdesk de l’IFSIC Pourquoi ? Comment ?
Le mécanisme de Single Sign-On CAS (Central Authentication Service)
Commission Web de l'Université de Rennes 1 9 mai Copyright© 2000 Pascal AUBRY - IFSIC - Université de Rennes 1 Le serveur web de lIFSIC Pascal AUBRY.
Copyright 2010 © Consortium ESUP-Portail TOC ESUP-Days 10, Paris, 2 juillet 2010 De LDAP à Kerberos à lUniversité de Rennes 1 Pascal Aubry François Dagorn.
Single Sign-On open source avec CAS (Central Authentication Service)
S. CAGNI, S. PICARD et A. CORDIER Vous avez dit :.
Administration des serveurs Samba Edu - se3
Présentation du projet 1. Structure réseau répondant à la tolérance aux pannes. 2. Serveur Windows 2008 R2. 3. Serveur Linux Débian, Wheezy. 4. Gestionnaire.
Sécurité Informatique
Authentification Nomade Project
SECURITE DU SYSTEME D’INFORMATION (SSI)
26 juin 2009LEFEVRE Christophe1 Module raw et connexions distantes.
Gestion d’un réseau avec Windows Server 2008 R2
ManageEngine ADManager Plus 6
Module 10 : Prise en charge des utilisateurs distants
Développement Rapide dApplications Web avec.NET « Mon premier site »
Introduction RADIUS (Remote Authentication Dial-In User Service)
Citrix® Presentation Server 4.0 : Administration
BitDefender Enterprise Manager. BitDefender Enterprise Manager – protection centralisée pour votre réseau Principales fonctions Fonctions spéciales (WMI)
A4.1.1 Proposition dune solution applicative A4.1.2 Conception ou adaptation de linterface utilisateur dune solution applicative A4.1.2 Conception ou.
Module 9 : Configuration de Microsoft Windows XP Professionnel pour fonctionner sur des réseaux Microsoft.
Développement dapplications web Authentification, session.
Module 3 : Création d'un domaine Windows 2000
Module 2 : Configuration de l'environnement Windows 2000.
1.
Sommaire Euro Web : 2 activités ActiveMobility en quelques mots Nos solutions métier Focus sur l'application MobiliSales Le reporting.
Projet de Master première année 2007 / 2008
Solutions d'infrastructure, systèmes et réseaux
Windows NT 4 Formation 8, 15, 31 janvier 2002
Programmation Internet en PHP SIL module M12
Citrix ® Presentation Server 4.0 : Administration Module 11 : Activation de l'accès Web aux ressources publiées.
Lyda tourisme Process en PHP. Objectif Il s’agit de construire un segment de process dans un système d’information touristique.
1 SERVICE D’INFORMATION DU GOUVERNEMENT - Département Multimédia Projet PROJET Outil commun de mesure d’audience des sites gouvernementaux.
Offre DataCenter & Virtualisation Laurent Bonnet, Architecte Systèmes Alain Le Hegarat, Responsable Marketing 24 Novembre 2009.
Windows 2003 Server Modification du mode de domaine
Architecture d’une application WEB Statique:
FTP : File Transfer Protocol (protocole de transfert de fichier ) est un protocole de communication destiné à l'échange informatique de fichiers sur.
GMSI 34 – HEUDES / VENANDY / REINE
Module 3 : Création d'un domaine Windows 2000
Mise en place d’un serveur WEB, FTP et Mail
Modules d'authentification enfichables (P.A.M.)
1 Interface Web-Service pour une application génie logiciel Equipe : LIP6 Team Move Date : 02/09/2008 Auteur : S. HONG Encadrants : F. KORDON / J.B. VORON.
Les aide-mémoire.  Pour appeler les aide-mémoire, son icône doit avoir été rendu actif à partir de "Outils - Profils utilisateurs – Interface - Barre.
Installation et gestion d'un site Web avec Linux et Apache
1 INFRASTRUCTURE NECESSAIRE POUR UN INTRANET PEDAGOGIQUE DANS UNE UNIVERSITE CUME - 7 décembre 2000 Jacques ALLO Université d'Angers.
L’authentification Kerberos
Présentation du projet » Correspondant établissement DDEC 49 Enseignement Catholique Régional Rectorat de Nantes.
Damien Caro Architecte Infrastructure
Cette session avec la démo disponible prochainement sur le site « interop » :
Jeudi 29 Novembre 2012 Présentation ProFTPD. Sommaire Présentation Globale Analyse des Actions Récurrentes Procédure à suivre Présentation ProFTPD - 02/10/2015.
Nicolas HO.  Installation, intégration et administration des équipements et des services informatiques  Maintien de la qualité des services informatiques.
Installation du PGI – CEGID
Chapitre 9 Configuration de Microsoft Windows XP Professionnel pour fonctionner sur des réseaux Microsoft Module S41.
Plan Authentification unique Services d’impression Infrastructure Services : – Helpdesk – Déploiements de logiciels – Antivirus centralisé Exchange.
Un espace collaboratif pour le CODEV quelles fonctionnalités?
Transcription de la présentation:

Pascal AUBRY François DAGORN IFSIC / Université de Rennes 1 De LDAP à Kerberos Pascal AUBRY François DAGORN IFSIC / Université de Rennes 1

évoluer Basculer rapidement un parc de postes Windows XP vers Windows 7 Authentification des utilisateurs via LDAP Depuis Vista PGINA ne fonctionne plus Credential Provider (fournisseur d’informations pour l’authentification) Des sources d’exemples en C++ sont fournis par MicroSoft Regina (développement IFSIC) et depuis PGINA version 2 sont des Credential Providers.

Regina et PGINA v2 Interception du couple uid / passwd Validation auprès d’un service LDAP Si l’identité est vérifiée : Création d’un compte local Loger le mot de passe en clair quelque part ! Ressortir le mot de passe en clair quand c’est nécessaire (net use vers des services contrôlés par LDAP) Détruire les comptes locaux avant chaque login, après chaque logout … Pourquoi utiliser LDAP pour l’authentification ?

Sécuriser LDAP peut être sécurisé Un service qui s’appuie sur LDAP peut utiliser LDAPS En amont le mot de passe doit circuler en clair Serveurs CUPS contrôlés par LDAP Serveurs SMB contrôlés par LDAP Serveurs de fichiers NetApp Cain & Abel LDAP pour authentifier est un problème. Kerberos est la solution (évoluer + sécuriser).

Comment migrer ? Pas de moulinette ldap2krb5 Besoin du mot de passe en clair Migration progressive des utilisateurs

Quand créer les principals ? Quand peut-on disposer du mot de passe ? Sur les postes clients Pam_krb5_migrate : pas assez sûr Sur un service dédié à la migration Pas assez transparent Sur un service fréquemment utilisé Mail Problème des accès webmail CAS Solution retenue : CAS Interception à la connexion pour créer les usagers dans le royaume Kerberos Complètement transparent, trop peut-être :-)

NTLM/kerberos handler Modification de CAS NTLM/kerberos handler database Database handler LDAP LDAP handler

NTLM/kerberos handler Modification de CAS NTLM/kerberos handler database Database handler LDAP handler wrapper LDAP handler KDC

NTLM/kerberos handler Modification de CAS NTLM/kerberos handler database Database handler cache LDAP handler wrapper LDAP handler KDC

Cohérence LDAP/Kerberos Création des comptes Rien à faire car comptes non actifs Activation des comptes Changement des mots de passe Interface web (pages Sésame) Suppression des comptes

Application Sésame Interface administrateur (batch) Interface utilisateur (web) Application Sésame création suppression activation changement mdp LDAP

Application Sésame Interface administrateur (batch) Interface utilisateur (web) Application Sésame création suppression activation changement mdp LDAP AD

Application Sésame Interface administrateur (batch) Interface utilisateur (web) Application Sésame création suppression activation changement mdp LDAP AD kerberos

Stratégie de migration 1. Mise en place infrastructure Kerberos 2. Intégration dans le S.I. 3. Basculement des services

Migration étape 1 Infrastructure Kerberos Deux serveurs redondants Crontab + kprop Une application web légère PHP Délégation de la gestion des principals

Migration étape 2 Intégration dans le S.I. Serveur CAS Authentification Kerberos Alimentation Kerberos Application Sésame Ajout d’un module Kerberos

Migration étape 3 basculement des services Serveurs de fichiers Samba NFS NetApp Serveurs d’impression CUPS, passage en IPP avec auth Kerberos Serveur de mail

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.