Copyright 2010 © Consortium ESUP-Portail TOC ESUP-Days 10, Paris, 2 juillet 2010 De LDAP à Kerberos à lUniversité de Rennes 1 Pascal Aubry François Dagorn.

Slides:



Advertisements
Présentations similaires
Sécurité informatique
Advertisements

Protection notice / Copyright notice Copyright © Siemens Enterprise Communications GmbH & Co KG Tous droits réservés. HiPath 3000/5000 V7.0 HiPath.
Botnet, défense en profondeur
« Les Mercredis du développement » Introduction Office « 12 » Présenté par Bernard Fedotoff Microsoft Regional Director Agilcom.
Laccès distant aux bases bibliographiques J. Gutierrez / B.Nominé – Université Nancy 2.
13/04/05 - RB1 Montpellier 24/03/2005 Les interactions entre le SSO ESUP et le mécanisme de propagation d'identité
Département Édition - Intégration SEMINAIRE SOA Migration du canal Esup MonDossierWeb Olivier Ziller / Charlie Dubois Université Nancy 2 16 octobre 2007.
Pascal AUBRY François DAGORN IFSIC / Université de Rennes 1
Université Nancy 2 - CRI Propositions de mécanisme de SSO dans un environnement d’applications web.
Copyright 2008 © Consortium ESUP-Portail EsupDay /02/2009 Atelier stockage Raymond Bourges, Université de Rennes 1.
05/07/07ESUP-Days IV Bravin - Jouin - Monclin Celcat à lUniversité de Reims Champagne - Ardenne.
ESUP-Days 9, Paris, 5 février 2010
Esup-Days 5 Présentation Evolutions CAS Version 3 5 février 2008.
ESUP-FWA Connexion simplifiée à Apogée & Harpège via l'ENT
Copyright 2008 © Consortium ESUP-Portail EsupDay /02/2009 Points généraux.
Copyright 2008 © Consortium ESUP-Portail ESUP-Days 7, Paris, 3 février 2009 ESUP-Lecture Mise en place à lUniversité de Valenciennes.
Copyright 2013 © Consortium ESUP-Portail Chainage de serveur CAS ESUP-Days 16, Paris 02 juillet 2013 Julien Marchal – Université de Lorraine.
Introduction aux réseaux informatiques
Une solution personnalisable et extensible
Conception de la sécurité pour un réseau Microsoft
Vue d'ensemble Implémentation de la sécurité IPSec
Le helpdesk de l’IFSIC Pourquoi ? Comment ?
Le mécanisme de Single Sign-On CAS (Central Authentication Service)
Commission Web de l'Université de Rennes 1 9 mai Copyright© 2000 Pascal AUBRY - IFSIC - Université de Rennes 1 Le serveur web de lIFSIC Pascal AUBRY.
Copyright 2008 © Consortium ESUP-Portail ESUP-Days 7, Paris, 3 février 2009 Evolutions de esup-helpdesk v3 Pascal Aubry.
Le point sur l’incubateur
Single Sign-On open source avec CAS (Central Authentication Service)
Copyright © – ESUP-Portail esup-commons : où en est-on ? Pascal Aubry IFSIC / Université de Rennes 1
S. CAGNI, S. PICARD et A. CORDIER Vous avez dit :.
Août 2010 Présentation de NetIS Une plate-forme complète de publication électronique.
Présentation du projet 1. Structure réseau répondant à la tolérance aux pannes. 2. Serveur Windows 2008 R2. 3. Serveur Linux Débian, Wheezy. 4. Gestionnaire.
Sécurité Informatique
Authentification Nomade Project
SECURITE DU SYSTEME D’INFORMATION (SSI)
Architecture Les Couches Présentation Services Métier
Copyright © 2012.Orditech Sa. Tous droits réservés. 1 Titre du cours - Pied de page Présentation dun cas concret VMWare /NetApp.
Gestion d’un réseau avec Windows Server 2008 R2
Introduction RADIUS (Remote Authentication Dial-In User Service)
Citrix® Presentation Server 4.0 : Administration
Module 9 : Configuration de Microsoft Windows XP Professionnel pour fonctionner sur des réseaux Microsoft.
Développement dapplications web Authentification, session.
Pki et kerberos.
SSO : Single Sign On.
Module 3 : Création d'un domaine Windows 2000
Module 2 : Configuration de l'environnement Windows 2000.
Projet de Master première année 2007 / 2008
Windows NT 4 Formation 8, 15, 31 janvier 2002
4 - Annuaires Les Annuaires d ’Entreprises Offres et solutions
© Sopra Group, 2001 / octobre 02 / Windows 2000 / p1 QCM 3 Windows 2000.
Plan Définitions et exemples Composants de cluster
Lyda tourisme Process en PHP. Objectif Il s’agit de construire un segment de process dans un système d’information touristique.
Nicolas DEWEZ Cyrille JOSSELIN Tuteur: Thierry DELOT Conception d’une application de partage de fichiers Projet IUP3 GMI - Valenciennes Jeudi, 23 mars.
Offre DataCenter & Virtualisation Laurent Bonnet, Architecte Systèmes Alain Le Hegarat, Responsable Marketing 24 Novembre 2009.
Infrastructure haute disponibilité pour services informatiques JI2014
Yonel Grusson 1 Les gestionnaires de réseau (L'offre Microsoft). Mise en place d'un domaine (Aspects théoriques). Server.
GMSI 34 – HEUDES / VENANDY / REINE
Module 3 : Création d'un domaine Windows 2000
Modules d'authentification enfichables (P.A.M.)
Copyright 2014 © Consortium ESUP-Portail Paris 3 juillet 2014.
ANNEE SCOLAIRE 2005 / FONCTIONNEMENT DU RESEAU DU COLLEGE Tous les ordinateurs du collèges, portables et fixes sont dans un réseau. Cela signifie.
L’authentification Kerberos
Introduction aux outils de supervision
Cette session avec la démo disponible prochainement sur le site « interop » :
Vendre l’offre StorageWorks GV13 Identifier les opportunités.
Nicolas HO.  Installation, intégration et administration des équipements et des services informatiques  Maintien de la qualité des services informatiques.
Installation du PGI – CEGID
Chapitre 9 Configuration de Microsoft Windows XP Professionnel pour fonctionner sur des réseaux Microsoft Module S41.
Plan Authentification unique Services d’impression Infrastructure Services : – Helpdesk – Déploiements de logiciels – Antivirus centralisé Exchange.
Transcription de la présentation:

Copyright 2010 © Consortium ESUP-Portail TOC ESUP-Days 10, Paris, 2 juillet 2010 De LDAP à Kerberos à lUniversité de Rennes 1 Pascal Aubry François Dagorn

Copyright 2010 © Évoluer Basculer rapidement un parc de postes Windows XP vers Windows 7 –Authentification des utilisateurs via LDAP –Depuis Vista PGINA ne fonctionne plus Credential Provider (fournisseur dinformations pour lauthentification) –Des sources dexemples en C++ sont fournis par MicroSoft –Regina (développement IFSIC) et depuis PGINA version 2 sont des Credential Providers

Copyright 2010 © Regina et PGINA v2 Interception du couple uid / passwd Validation auprès dun service LDAP Si lidentité est vérifiée : –Création dun compte local –Loger le mot de passe en clair quelque part ! –Ressortir le mot de passe en clair quand cest nécessaire (net use vers des services contrôlés par LDAP) –Détruire les comptes locaux avant chaque login, après chaque logout … Pourquoi utiliser LDAP pour lauthentification ?

Copyright 2010 © Sécuriser LDAP peut être sécurisé –Un service qui sappuie sur LDAP peut utiliser LDAPS –En amont le mot de passe doit circuler en clair Serveurs CUPS contrôlés par LDAP Serveurs SMB contrôlés par LDAP Serveurs de fichiers NetApp –Cain & Abel LDAP pour authentifier est un problème

Copyright 2010 © La solution Kerberos Sécurité –Aucun mot de passe en clair Evolution –Windows 7 Confort –Single Sign-On de bout en bout

Copyright 2010 © Kerberos Identification/Authentification –Sur un réseau non sûr –Aucun mot de passe en clair Basé sur une partage de clés –Pas de PKI Principals –Utilisateurs, machines, services Architecture 3-tiers –Client, serveur, KDC (Key Distribution Center) –Multi-système

Copyright 2010 © Comment migrer ? Pas de moulinette ldap2krb5 –Besoin du mot de passe en clair Migration progressive des utilisateurs

Copyright 2010 © Quand créer les principals ? Quand peut-on disposer du mot de passe ? –Sur les postes clients Pam_krb5_migrate : pas assez sûr –Sur un service dédié à la migration Pas assez transparent –Sur un service fréquemment utilisé Mail –Problème des accès webmail CAS Solution retenue : CAS –Interception à la connexion pour créer les usagers dans le royaume Kerberos –Complètement transparent, trop peut-être :-)

Copyright 2010 © Modification de CAS Database handler LDAP handler database LDAP

Copyright 2010 © Modification de CAS NTLM/kerberos handler Database handler LDAP handler database LDAP

Copyright 2010 © Modification de CAS NTLM/kerberos handler Database handler LDAP handler handler wrapper database LDAP KDC

Copyright 2010 © Modification de CAS NTLM/kerberos handler Database handler LDAP handler handler wrapper database LDAP cache KDC

Copyright 2010 © Modification de CAS NTLM/kerberos handler Database handler LDAP handler handler wrapper database LDAP cache KDC Authentification

Copyright 2010 © Modification de CAS NTLM/kerberos handler Database handler LDAP handler handler wrapper database LDAP cache KDC Authentification Alimentation du royaume (migration des utilisateurs)

Copyright 2010 © Cohérence LDAP/Kerberos Création des comptes –Rien à faire car comptes non actifs Activation des comptes Changement des mots de passe –Interface web (pages Sésame) Suppression des comptes

Copyright 2010 © Application Sésame LDAP Interface utilisateur (web) Interface administrateur (batch) activation changement mdp création suppression

Copyright 2010 © Application Sésame LDAP Interface utilisateur (web) Interface administrateur (batch) activation changement mdp création suppression AD

Copyright 2010 © Application Sésame LDAP Interface utilisateur (web) Interface administrateur (batch) activation changement mdp création suppression ADkerberos

Copyright 2010 © Stratégie de migration 1. Mise en place infrastructure Kerberos 2. Intégration dans le S.I. 3. Basculement des services

Copyright 2010 © Migration étape 1 Infrastructure Kerberos Deux serveurs redondants –Crontab + kprop Une application web légère –PHP –Délégation de la gestion des principals

Copyright 2010 © Migration étape 2 Intégration dans le S.I. Serveur CAS –Authentification Kerberos –Alimentation Kerberos Application Sésame –Ajout dun module Kerberos

Copyright 2010 © Migration étape 3 basculement des services Serveurs de fichiers –Samba –NFS –NetApp Serveurs dimpression –CUPS, passage en IPP avec auth Kerberos Serveur de mail

Copyright 2010 © Migration étape 3 basculement des services Serveurs de fichiers –Samba –NFS –NetApp Serveurs dimpression –CUPS, passage en IPP avec auth Kerberos Serveur de mail

Copyright 2010 © Aller plus loin… Mangez du chien ! Tuto JRES n°13