La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Roland Dirlewanger CNRS Délégation Aquitaine et Poitou-Charentes

Publié parGustave Gignac Modifié depuis plus de 6 années

Présentations similaires

Présentation au sujet: "Roland Dirlewanger CNRS Délégation Aquitaine et Poitou-Charentes "— Transcription de la présentation:

1 Authentification par certificats : l'importance du gestionnaire de profils
Roland Dirlewanger CNRS Délégation Aquitaine et Poitou-Charentes 17-21 novembre 2003 JRES Gestion de profils

2 JRES 2003 - Gestion de profils
Introduction Besoin d'authentification pour le WWW pages internes à l'établissement applications WWW Multiplication des sites WWW laboratoires, délégations, départements scientifiques, applications nationales universités, écoles, autres tutelles 17-21 novembre 2003 JRES Gestion de profils

3 Authentification par adresse IP
Configuration au niveau du serveur HTTP au niveau des équipements réseaux Difficultés : gestion fastidieuse adressage dynamique dans les sites externes 17-21 novembre 2003 JRES Gestion de profils

4 Authentification par mot de passe
Simple à configurer au niveau du serveur HTTP au niveau de l'application Difficultés : multiplication des mots de passe mots de passe en clair (sauf SSL) 17-21 novembre 2003 JRES Gestion de profils

5 Authentification par certificats
Utilisée dans de nombreux protocoles SSL : authentification obligatoire du serveur, optionnelle pour le client signature (S/MIME, documents XML, PDF, …) IPsec Difficulté : nécessite la mise en place d'un IGC 17-21 novembre 2003 JRES Gestion de profils

6 JRES 2003 - Gestion de profils
Quelques définitions Authentification apporter la preuve de son identité Habilitations ensemble des permissions accordées à un utilisateur vis à vis d'une ressource Contrôle d'accès vérification qu'une entité est autorisée à accéder à une ressource 17-21 novembre 2003 JRES Gestion de profils

7 Certificats et contrôle d'accès
Les certificats contiennent : coordonnées du titulaire nom, prénom, mél, établissement, labo, … coordonnées de l'autorité qui a émis le certificat Le contrôle d'accès sur ces critères est simple à mettre en œuvre. Quoique … 17-21 novembre 2003 JRES Gestion de profils

8 Exemple 1 : Intranet de laboratoire
Configuration d'un Intranet de laboratoire authentifié par certificats (Apache, mod_ssl) : <Location /Intranet> SSLVerifyClient require SSLRequireSSL SSLRequire %{SSL_CLIENT_S_DN_C} eq "FR" \ and %{SSL_CLIENT_S_DN_O} eq "CNRS" \ and %{SSL_CLIENT_S_DN_OU} eq "UMR1234" </Location> 17-21 novembre 2003 JRES Gestion de profils

9 Exemple 2 : Accès à des dossiers individuels
Consultation du paiement des missions extraction des nom et prénom du titulaire du certificat utilisation comme index dans la base de données des missions Problèmes : homonymies, nom ou prénom usuels différents de ceux de l'état civil impossibilité d'utiliser un numéro d'agent 17-21 novembre 2003 JRES Gestion de profils

10 Exemple 3 : Extranet financier
Accès aux données financières qui concernent le laboratoire pour les gestionnaires : compléments à Xlab pour les directeurs : présentation synthétique, ergonomie WWW Problèmes : comment identifier les certificats des directeurs ou des gestionnaires ? comment gérer le cas des directeurs ou gestionnaires de plusieurs laboratoires ? 17-21 novembre 2003 JRES Gestion de profils

11 JRES 2003 - Gestion de profils
Exemple 4 : Portail vers les applications authentifiées par mot de passe Remplacement du formulaire d'authentification de l'application par un bouton : accès via le certificat aux caractéristiques de l'application (nom de l'application, URL, identificateur, mot de passe) génération d'un formulaire HTML : mêmes action, méthode, éléments et leurs valeurs Problème : comment gérer les habilitations ? 17-21 novembre 2003 JRES Gestion de profils

12 JRES 2003 - Gestion de profils
La notion de profil Profil d'un utilisateur vis à vis d'une application liste des identificateurs avec lesquels l'utilisateur est autoriser à accéder à l'application exemples : liste des identités (prénom, nom) de l'utilisateur liste des laboratoires dont l'utilisateur est gestionnaire liste des applications auxquelles l'utilisateur peut accéder via le portail 17-21 novembre 2003 JRES Gestion de profils

13 JRES 2003 - Gestion de profils
La gestion de profils Création, modification, suppression de l'association entre le certificat d'un utilisateur et son profil Deux techniques : bases de données relationnelle annuaire LDAP 17-21 novembre 2003 JRES Gestion de profils

14 La gestion de profils 1. avec une base de données relationnelle
Table de description des profils application courriel identificateur application1 id1 id2 application2 id3 id4 17-21 novembre 2003 JRES Gestion de profils

15 La gestion de profils 2. avec un annuaire LDAP
ou=Applications, … ou=application1 ou=application2 uid=id1 uid=id2 uid=id3 uid=id4 17-21 novembre 2003 JRES Gestion de profils

16 Fonctionnalités du gestionnaire de profils 1. pour l'utilisateur final
L'utilisateur peut : demander la création, la modification de son profil pour une application donnée cette demande est validée ou rejetée par l'administrateur de l'application Interface WWW authentifiée par certificats Notification automatique par mél 17-21 novembre 2003 JRES Gestion de profils

17 Fonctionnalités du gestionnaire de profils 1. pour l'utilisateur final
Interface avec saisie des identificateurs 17-21 novembre 2003 JRES Gestion de profils

18 Fonctionnalités du gestionnaire de profils 1. pour l'utilisateur final
Interface avec cases à cocher 17-21 novembre 2003 JRES Gestion de profils

19 JRES 2003 - Gestion de profils
Fonctionnalités du gestionnaire de profils 2. pour l'administrateur d'application L'administrateur de l'application valide les demandes d'accès à l'application créé, modifie, supprime des profils Interface avec l'annuaire de l'IGC recherche des utilisateurs avec certificats 17-21 novembre 2003 JRES Gestion de profils

20 Fonctionnalités du gestionnaire de profils 3. pour l'administrateur
L'administrateur du gestionnaire de profils créé, modifie, supprime des applications configure la liste des administrateurs de l'application configure les diverses contraintes sur les certificats des utilisateurs ou des autorités 17-21 novembre 2003 JRES Gestion de profils

21 Fonctionnalités du gestionnaire de profils 4. interface applicative
Fonction de l'application et du certificat. Retourne : la liste des identificateurs que l'utilisateur est autorisé à utiliser informations sur l'identité de l'utilisateur drapeaux : l'utilisateur est administrateur, … Cascade de profils : fonction de plusieurs applications et du certificat de l'utilisateur 17-21 novembre 2003 JRES Gestion de profils

22 Ldapauth : un gestionnaire de profil
Basé sur OpenLdap, interface avec l'IGC du CNRS N'utilise que des classes standard applicationProcess : description des applications inetOrgPerson : utilisateurs groupOfNames : listes diverses Classes PHP pour manipuler l'arbre LDAP 17-21 novembre 2003 JRES Gestion de profils

23 JRES 2003 - Gestion de profils
Ldapauth : arbre LDAP dn: ou=Extranet Financier, … objectClass: applicationProcess dn: objectClass: inetOrgPerson cn: Aline Un cn: Aline Dix uid: UMR1111 dn: cn=Required CA Certificates objectClass: groupOfNames member: /C=FR/O=CNRS/CN=* dn: ou=Pending Requests objectClass: top dn: objectClass: inetOrgPerson cn: Aline Un cn: Aline Dix uid: UMR1111 uid: UMR5899 dn: cn=Request Managers objectClass: groupOfNames member: member: dn: objectClass: inetOrgPerson cn: Bernard Deux uid: UMR222 17-21 novembre 2003 JRES Gestion de profils

24 Ldapauth : les points forts
Facilite l'écriture des applications WWW Méthode unifiée pour toutes les applications Une seule requête LDAP pour extraire le profil de l'utilisateur qui se connecte Choix de l'adresse mél comme index : permet de gérer des certificats de plusieurs CA unique, pas de codage de caractères accentués 17-21 novembre 2003 JRES Gestion de profils

25 Ldapauth : les faiblesses
Implanté au niveau de l'application, pas du serveur HTTP fichiers d'inclusions PHP, problème pour les pages statiques module mod_ldap_auth d'Apache ne prévoit pas l'enrichissement de l'environnement des scripts une requête par le serveur HTTP contrôler l'accès une requête par l'application pour récupérer le profil 17-21 novembre 2003 JRES Gestion de profils

26 JRES 2003 - Gestion de profils
Conclusion Ldapauth : bien adapté pour un environnement très déconcentré et multi-tutelles en attendant que se confirment des technologies standards comme SSO (Single Sign On) ou les certificats d'attributs 17-21 novembre 2003 JRES Gestion de profils

Télécharger ppt "Roland Dirlewanger CNRS Délégation Aquitaine et Poitou-Charentes "

Présentations similaires

Logiciel Assistant Gestion d’Événement Rémi Papillié (Chef d’équipe) Maxime Brodeur Xavier Pajani Gabriel Rolland David St-Jean.

Logiciel Assistant Gestion d’Événement Rémi Papillié (Chef d’équipe) Maxime Brodeur Xavier Pajani Gabriel Rolland David St-Jean.
Guide Share France Web Single Sign On Panorama des solutions SSO.

Guide Share France Web Single Sign On Panorama des solutions SSO.
Séminaire EOLE Dijon 23-24 Octobre 2008 Eole SSO.

Séminaire EOLE Dijon Octobre 2008 Eole SSO.
SIRH EPICEA - AGORHA Présentation Gestion Administrative 16 septembre 2011 SG-SRH- MISIRH.

SIRH EPICEA - AGORHA Présentation Gestion Administrative 16 septembre 2011 SG-SRH- MISIRH.
Créer un site Web avec Eva Spip Première approche B. Gugger – Mars 2006 – Département RTC.

Créer un site Web avec Eva Spip Première approche B. Gugger – Mars 2006 – Département RTC.
Séminaire 22-23 Novembre 2006 Serveur pédagogique : Scribe.

Séminaire Novembre 2006 Serveur pédagogique : Scribe.
1- Introduction 1ère partie Le langage SQL 2- Connexion 3- Structure & Contenu 4- Requêtes.

1- Introduction 1ère partie Le langage SQL 2- Connexion 3- Structure & Contenu 4- Requêtes.
Introduction aux technologies du Web Mercredi 12 décembre 2007 Patrice Pillot

Introduction aux technologies du Web Mercredi 12 décembre 2007 Patrice Pillot
Logiciel Assistant Gestion d’Événement Rémi Papillie (Chef d’équipe) Maxime Brodeur Xavier Pajani Gabriel Rolland David St-Jean.

Logiciel Assistant Gestion d’Événement Rémi Papillie (Chef d’équipe) Maxime Brodeur Xavier Pajani Gabriel Rolland David St-Jean.
1 Observer le paramétrage d’un réseau. 2 Dans notre réseau téléphonique habituel, les postes, reliés à un auto-commutateur... …peuvent dialoguer, car.

1 Observer le paramétrage d’un réseau. 2 Dans notre réseau téléphonique habituel, les postes, reliés à un auto-commutateur... …peuvent dialoguer, car.
1 Y a-t-il une place pour Opensocial dans l'enseignement supérieur ? David Verdin RENATER JRES - Toulouse – novembre 2011.

1 Y a-t-il une place pour Opensocial dans l'enseignement supérieur ? David Verdin RENATER JRES - Toulouse – novembre 2011.
GABRIEL G estion A ssociée des B ases et R éseaux de l’ E nseignement L ibre 12/10/2016 Observatoire SOLFEGE – Nice & Corse.

GABRIEL G estion A ssociée des B ases et R éseaux de l’ E nseignement L ibre 12/10/2016 Observatoire SOLFEGE – Nice & Corse.
1 Rapport PFE Gestion de Stock M LLE Nouhaila Touzani Ouazli.

1 Rapport PFE Gestion de Stock M LLE Nouhaila Touzani Ouazli.
Guide de mise en œuvre Mai 2016 V1.4

Guide de mise en œuvre Mai 2016 V1.4
Sommaire de la présentation

Sommaire de la présentation
Outils (MailIntegration et autres)

Outils (MailIntegration et autres)
Framework EHop/Ecenvir

Framework EHop/Ecenvir
Eric b, emmanuel l, damien t

Eric b, emmanuel l, damien t
Le nouveau bouquet de services aux partenaires des Allocations familiales Présentation aux partenaires- 9 mai 2017.

Le nouveau bouquet de services aux partenaires des Allocations familiales Présentation aux partenaires- 9 mai 2017.
Le CMS Joomla La mise en place du CMS est inscrite dans le dossier d’homologation Attente : avoir une plateforme commune de travail et de publication.

Le CMS Joomla La mise en place du CMS est inscrite dans le dossier d’homologation Attente : avoir une plateforme commune de travail et de publication.

Présentations similaires

Annonces Google