Cette session avec la démo disponible prochainement sur le site « interop » :

Slides:



Advertisements
Présentations similaires
Sécurité informatique
Advertisements

Active Directory Windows 2003 Server
ACTIVE DIRECTORY. Qu'est-ce un service d'annuaire ?: Un service d'annuaire peut être comparé à un agenda téléphonique, celui- ci contient au départ des.
Interopérabilité Unix / Linux avec Windows
Vue d'ensemble Présentation multimédia : Administration d’un environnement Microsoft Windows Server 2003 Ouverture de session sur Windows Server 2003 Installation.
Active Directory, Applications STIME/Groupement des Mousquetaires 03 Novembre 2003.
1 HPC pour les opérations. Sommaire Quelques rappels sur Windows Compute Cluster Server Déploiement de Compute Cluster Administration de Compute cluster.
Client Mac dans un réseau Wifi d’entreprise sécurisé
ASP.NET 2.0 et la sécurité Nicolas CLERC
Pascal AUBRY François DAGORN IFSIC / Université de Rennes 1
Université Nancy 2 - CRI Propositions de mécanisme de SSO dans un environnement d’applications web.
ESUP-FWA Connexion simplifiée à Apogée & Harpège via l'ENT
Microsoft Office Groove Le contexte Une utilisation des postes de travail en très grande évolution chez les professionnels. Des lieux de travail.
Implémentation de la gestion de réseau dans Windows 2000 et plus
Protocole PPP* *Point-to-Point Protocol.
Conception de la sécurité pour un réseau Microsoft
Vue d'ensemble Présentation multimédia : Rôle du routage dans l'infrastructure réseau Activation et configuration du service Routage et accès distant Configuration.
Vue d'ensemble Création de comptes d'utilisateurs
Windows 2000 Architecture de Sécurité. Modèle de sécurité Windows 2000.
MDS 2 Michel Jouvin LAL Pourquoi changer ? Sécurité –MDS non intégré avec GSI –Pas didentification des serveurs ni des utilisateurs.
Le mécanisme de Single Sign-On CAS (Central Authentication Service)
Copyright 2010 © Consortium ESUP-Portail TOC ESUP-Days 10, Paris, 2 juillet 2010 De LDAP à Kerberos à lUniversité de Rennes 1 Pascal Aubry François Dagorn.
Single Sign-On open source avec CAS (Central Authentication Service)
S. CAGNI, S. PICARD et A. CORDIER Vous avez dit :.
Sécurité Informatique
Active Directory Windows 2003 Server
Authentification Nomade Project
Etude des Technologies du Web services
26 juin 2009LEFEVRE Christophe1 Module raw et connexions distantes.
Amélioration de la sécurité des données à l'aide de SQL Server 2005
Web Services - ADFS Pellarin Anthony En collaboration avec : Sogeti 1.
Introduction RADIUS (Remote Authentication Dial-In User Service)
Protocole 802.1x serveur radius
WINDOWS Les Versions Serveurs
Module 9 : Configuration de Microsoft Windows XP Professionnel pour fonctionner sur des réseaux Microsoft.
Développement dapplications web Authentification, session.
Linux – les VPN.
Pki et kerberos.
SSO : Single Sign On.
Module 3 : Création d'un domaine Windows 2000
Vue d'ensemble Présentation du rôle du système DNS dans Active Directory Système DNS et Active Directory Résolution de noms DNS dans Active Directory.
Un portail éducatif (1) Les fonctions d'un portail –Point d'entrée vers une palette de services existants (intégration). –Gestion de l' identité et des.
Java Authentication And Authorization Service API
Projet de Master première année 2007 / 2008
Windows NT 4 Formation 8, 15, 31 janvier 2002
4 - Annuaires Les Annuaires d ’Entreprises Offres et solutions
Kerberos en environnement ISP
© Sopra Group, 2001 / octobre 02 / Windows 2000 / p1 Windows 2000 Glossaire.
Active Directory Windows 2003 Server
Etude et mise en place d’un Serveur de messagerie Postfix
Citrix ® Presentation Server 4.0 : Administration Module 11 : Activation de l'accès Web aux ressources publiées.
Vue d'ensemble Préparation de l'installation
Plan Qu’est-ce que Windows Server 2008 ?
Windows 2003 Server Modification du mode de domaine
Migration Unix vers Windows Server: retour d'expérience
Module 3 : Création d'un domaine Windows 2000
Publication Bulletin de sécurité hors cycle MS Révision Bulletin de sécurité MS
Modules d'authentification enfichables (P.A.M.)
Module 1 : Vue d'ensemble de Microsoft SQL Server
Citrix ® Presentation Server 4.0 : Administration Module 5 : Gestion des paramètres de serveur et de batterie de serveurs.
1 INFRASTRUCTURE NECESSAIRE POUR UN INTRANET PEDAGOGIQUE DANS UNE UNIVERSITE CUME - 7 décembre 2000 Jacques ALLO Université d'Angers.
L’authentification Kerberos
04/06/2015BATOUMA Narkoy1 An OGSI CredentialManager Service ( Par:Jim Basney, Shiva Shankar Chetan, Feng Qin, Sumin Song, Xiao Tu et Marty Humphrey ) Présentation:
ACTIVE DIRECTORY B.T.S. S.I.O – SI3 –
1 L’offre Windows 2000 constitue une gamme complète de serveurs et de postes de travail permettant de répondre à tous les besoins d’une structure réseau.
1 Démo SoftGrid. Le Séquenceur SoftGrid Utilisation d’un « packageur » SoftGrid Possibilité de “séquencer” en ligne de commande (CLI) Existence d’outils.
F a c u l t é P o l y t e c h n i q u e d e M o n s Séminaire « Gestion et Sécurité de Systèmes » Alexandre Amorison, février 2002.
TWP Toolkit Formation 21/10/2009.
Enabling Grids for E-sciencE EGEE-III INFSO-RI Sécurité sur la Grille G. Philippon (LAL – CNRS ) Tutorial EGEE Utilisateur (DAKAR)
Présentation X/Stra Comment centraliser l'authentification des utilisateurs Windows et Linux à l’aide de Microsoft Active Directory. Sébastien Geiger Institut.
Transcription de la présentation:

Cette session avec la démo disponible prochainement sur le site « interop » :

Windows Security and Directory Services for UNIX Guide Download Center: TechNet online:

Objectif : intégrer Linux dans Active Directory Identifier les différents moyens Comment décider de la solution adaptée à l’environnement Vision : Chaque utilisateur a une et une seule identité et un mot de passe pour accéder à tous les services disponibles, une fois authentifié (SSO ?) Toutes les informations d’un utilisateur relatives à la sécurité sont stockées dans un seul endroit

Authentification : action de prouver qu’un Principal est vraiment l’entité qu’il prétend être Principal : un participant dans une interaction, identifiable de manière unique – utilisateur, hôte, service Autorisation : action de déterminer quelles actions un Principal peut effectuer dans un contexte donné AuthZ Store : Stockage des données sur les Principaux nécessaires pour effectuer les autorisations

Converger vers un annuaire unique Une identité, un mot de passe, en un seul endroit Nécessite des standards de l’industrie Windows nécessite Active Directory Conserver l’infrastructure existante Seul Kerberos v5 supporté Ce n’est pas « en un seul endroit, » mais presque Synchroniser, interopérer « Un mot de passe, » mais pas « une identité » Plus complexe

1.AD/Kerberos pour authentification uniquement 2.AD/Kerberos pour authentification et AD/LDAP pour autorisations 3.AD/LDAP pour authentification uniquement 4.AD/LDAP pour authentification et autorisations 5.Relation d’approbation entre AD/Kerberos et Kerberos UNIX pour authentification uniquement L’approche recommandée est la solution 2

Solution 5 Prérequis : Kerberos V5 en place En général un seul royaume (realm) Architecture de domaine pas trop complexe Kerberos V5 sous UNIX supporte une hiérarchie de confiance dans une forêt (avec quelques efforts) Relations d’approbation inter-forêts délicates Nécessite AD/AM pour les informations d’autorisation Windows pour les utilisateurs UNIX

Solutions 1 (Kerberos) et 3 (LDAP) Solution existante pour les autorisations Demi-solution : Réduit le nombre d’identités Conserve les autorisations existantes Solution acceptable pour le « deprovisioning »

Certaines plateformes ne supportent pas Kerberos Applications (composants web) Ne pas confondre avec solutions de fédération Il s’agit d’un scénario interne LDAP n’a pas été conçu comme un protocole d’authentification Nécessite des précautions pour éviter les mots de passe en clair (SSL/TLS) Limitations en performance et évolutivité « L’authentification » LDAP est un bind LDAP La seule preuve de l’identité est une connexion LDAP établie Pas de transitivité de l’identité

Solution 2 Authentification Kerberos LDAP pour les autorisations Consolidation de l’annuaire, création/suppression ((de)provisioning) simplifiées, mot de passe unique, stratégie commune… Utilise les protocoles et services tels qu’ils ont été conçus Des produits commerciaux existent : Quest (Vintela Authentication Service) Centrify (DirectControl)

login récupère username, password login appelle PAM pour authentifier l’utilisateur PAM utilise plusieurs modules pour tenter l’authentification login appelle getpwnam() pour obtenir les données d’autorisation de l’utilisateur getpwnam() appelle NSS NSS utilise plusieurs modules pour tenter d’obtenir les données demandées login utilise les données d’autorisation pour créer le processus initial (shell)

LinuxWindows GINA (login) Kerberos (MIT de-facto) Credential (ticket) cache Default Credential (ticket) cache GSSAPI SSPI Application RFC 1510 – Kerberos V5 AS - Authentication Service TGS - Ticket Granting Service MIT de-facto CPW - Change password service Service principal key table Default Service principal key table LSA kinit klist kdestroy kpasswd (MIT de-facto) Login pam_krb5 KRB

Linux LDAP OpenLDAP... LDAP (V3) - RFC 2251 LDAP API - RFC 1831 LDAP search - RFC 2254 AD password change “protocol” login pam_ldap LDAP API Application Account Profile Password Clear or SSL protected

Schéma RFC 2307 ou SFU 3.0 pour les données d’autorisation spécifiques à UNIX SFU 3.0 est aujourd’hui dépassé Windows Server 2003 R2 (Identity Management for UNIX) inclut le schéma RFC 2307 Différences très mineures avec la RFC ; La documentation contient les détails dans la section Migrating standard and nonstandard maps Certaines stratégies de groupe s’appliquent automatiquement

Linux Windows ADSI Active Directory Services Interface LDAP LDAP API nscd cache daemon LDAP (V3) - RFC 2251 LDAP API - RFC 1831 LDAP search - RFC 2254 login getpwnam Application LDAP API Application Account Profile UID GID Home directory Groups … nss_ldap Account Profile Groups Tel # Office # … Cleartext, SSL, SASL

Kerberos MIT v1.3.7 ou plus Heimdal Spécifique au fournisseur (mais risques de problèmes) LDAP OpenLDAP 2.2 PADL nss_ldap

Pour la démo : Windows Server 2003 R2, Active Directory, DNS, Certificate Service Red Hat 9 installé en mode « Workstation »

Kerberos krb5-devel (installé par défaut) krb5-libs (installé par défaut) krb5-workstation css_adkadmin-2.2_linux ( ) pam_krb css1_linux ( security.com/ ) security.com/ security.com/LDAPopenldap nss_ldap-220krb cyrus-sasl

1.Créer les OU, utilisateurs et groupes de test dans AD 2.Configuration et test de Kerberos pour l’authentification 3.Configuration et test de LDAP pour les autorisations 4.Configuration et test de l’authentification Kerberos (SASL) pour LDAP

Windows Security and Directory Services for UNIX Guide Download Center: TechNet online: Site interopérabilité Microsoft France