Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
Publié parOzanne Villette Modifié depuis plus de 11 années
1
Pascal AUBRY François DAGORN IFSIC / Université de Rennes 1
De LDAP à Kerberos Pascal AUBRY François DAGORN IFSIC / Université de Rennes 1
2
évoluer Basculer rapidement un parc de postes Windows XP vers Windows 7 Authentification des utilisateurs via LDAP Depuis Vista PGINA ne fonctionne plus Credential Provider (fournisseur d’informations pour l’authentification) Des sources d’exemples en C++ sont fournis par MicroSoft Regina (développement IFSIC) et depuis PGINA version 2 sont des Credential Providers.
3
Regina et PGINA v2 Interception du couple uid / passwd
Validation auprès d’un service LDAP Si l’identité est vérifiée : Création d’un compte local Loger le mot de passe en clair quelque part ! Ressortir le mot de passe en clair quand c’est nécessaire (net use vers des services contrôlés par LDAP) Détruire les comptes locaux avant chaque login, après chaque logout … Pourquoi utiliser LDAP pour l’authentification ?
4
Sécuriser LDAP peut être sécurisé
Un service qui s’appuie sur LDAP peut utiliser LDAPS En amont le mot de passe doit circuler en clair Serveurs CUPS contrôlés par LDAP Serveurs SMB contrôlés par LDAP Serveurs de fichiers NetApp Cain & Abel LDAP pour authentifier est un problème. Kerberos est la solution (évoluer + sécuriser).
5
Comment migrer ? Pas de moulinette ldap2krb5
Besoin du mot de passe en clair Migration progressive des utilisateurs
6
Quand créer les principals ?
Quand peut-on disposer du mot de passe ? Sur les postes clients Pam_krb5_migrate : pas assez sûr Sur un service dédié à la migration Pas assez transparent Sur un service fréquemment utilisé Mail Problème des accès webmail CAS Solution retenue : CAS Interception à la connexion pour créer les usagers dans le royaume Kerberos Complètement transparent, trop peut-être :-)
7
NTLM/kerberos handler
Modification de CAS NTLM/kerberos handler database Database handler LDAP LDAP handler
8
NTLM/kerberos handler
Modification de CAS NTLM/kerberos handler database Database handler LDAP handler wrapper LDAP handler KDC
9
NTLM/kerberos handler
Modification de CAS NTLM/kerberos handler database Database handler cache LDAP handler wrapper LDAP handler KDC
10
Cohérence LDAP/Kerberos
Création des comptes Rien à faire car comptes non actifs Activation des comptes Changement des mots de passe Interface web (pages Sésame) Suppression des comptes
11
Application Sésame Interface administrateur (batch)
Interface utilisateur (web) Application Sésame création suppression activation changement mdp LDAP
12
Application Sésame Interface administrateur (batch)
Interface utilisateur (web) Application Sésame création suppression activation changement mdp LDAP AD
13
Application Sésame Interface administrateur (batch)
Interface utilisateur (web) Application Sésame création suppression activation changement mdp LDAP AD kerberos
14
Stratégie de migration
1. Mise en place infrastructure Kerberos 2. Intégration dans le S.I. 3. Basculement des services
15
Migration étape 1 Infrastructure Kerberos
Deux serveurs redondants Crontab + kprop Une application web légère PHP Délégation de la gestion des principals
16
Migration étape 2 Intégration dans le S.I.
Serveur CAS Authentification Kerberos Alimentation Kerberos Application Sésame Ajout d’un module Kerberos
17
Migration étape 3 basculement des services
Serveurs de fichiers Samba NFS NetApp Serveurs d’impression CUPS, passage en IPP avec auth Kerberos Serveur de mail
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.