CAS et Kerberos
Pages enfant
  • Authentification des utilisateurs - de LDAP à Kerberos
9 pages enfant de plus

Comparaison des versions

Ancienne version 2

changes.mady.by.user Pascal Aubry

Sauvegardée le

comparé à

Nouvelle version 3

changes.mady.by.user Pascal Aubry

Sauvegardée le

Légende

  • Ces lignes ont été ajoutées. Ce mot a été ajouté.
  • Ces lignes ont été supprimées. Ce mot a été supprimé.
  • La mise en forme a été modifiée.

Pascal Aubry et François Dagorn

Sommaire

Pourquoi faire évoluer le système d'authentification des usagers ?

Aujourd'hui le système d'authentification des usagers est architecturé autour d'un annuaire LDAP dérivé journellement du système d'information. On peut noter qu'il s'agit d'un usage un peu limite de LDAP qui a été surtout spécifié pour faciliter les recherches de personnes et de services dans des annuaires décentralisés. LDAP répond toutefois au besoin car il permet de contrôler l'accès à tous les types de services nécessaires sur un réseau informatique (ouverture de sessions, impressions, partage de fichiers, ...), il est de plus disponible dans tous les environnements utilisés (Linux, Windows, MacOS, Solaris, ...). L'utilisation de LDAP est aujourd'hui relativement générale dans les Universités, plusieurs problèmes liés à la sécurité des réseaux se posent pourtant.

...

La méthode utilisée par Regina et PGina pour intercepter et utiliser le mot de passe en clair n'est pas compatible avec les impératifs de sécurité d'un réseau informatique. Plus généralement, c'est l'utilisation de LDAP pour authentifier des usagers qui pose de gros problèmes de sécurité.
La généralisation des ENT a permis la mise en oeuvre de systèmes d'authentification unique pour les environnements Web, mais on reste pour l'instant d'en l'attente d'un système d'authentification allant de l'ouverture de session jusqu'aux applicatifs Web.

Kerberos

Pour remplacer un système d'authentification basé sur LDAP, il convient de trouver un système fonctionnant en environnement hétérogène, assurant la sécurité des échanges sur un réseau non sûr et permettant la mise en place d'un véritable service d'authentification unique : Kerberos répond à ces impératifs.

...

Kerberos a été mis au point au MIT dans les années 1990, il est maintenant très largement déployé et est disponible dans tous les environnements aujourd'hui utilisés (Linux, Windows, MacOS, ...). Des universités françaises ont déjà migré leur systèmes d'authentification vers kerberos, parmi celles-ci on peut citer les universités de Strasbourg et de Bordeaux 1.

Les tests effectués

Le fil directeur des tests effectués a été le suivant : mise en place d'un service Kerberos hébergé sur un serveur Linux. La possibilité d'utiliser le serveur Kerberos enlisé dans un service Active Directory de MicroSoft a été volontairement écartée dans le but d'architecturer le projet autour d'une solution libre et ouverte.
Les éléments ci-dessous ont été validés.

Le service Kerberos

Un serveur kerberos (MIT 1.6.1) maître est fonctionnel sur kerb1.univ-rennes1.fr. Il est redondé par un second serveur esclave (kerb2.univ-rennes1.fr), dont la synchronisation avec le serveur maître est assurée par une crontab via le protocole kprop.

Une interface web (PHP, CASifiée) permet la gestion des principals clients (serveurs et stations de travail).

Le service CAS

Un serveur CAS (3.3.5) est fonctionnel sur cas-kerb.univ-rennes1.fr.

...

Il permet également l'alimentation du royaume Kerberos UNIV-RENNES1.FR par interception des authentifications LDAP.

Les clients

L'authentification Kerberos s'intègre parfaitement (de manière native) dans les clients Linux, l'accès à tous les services a été validé : CAS, NFS v3 et v4 (sur serveurs linux et NetApp), Samba, CUPS.

...

L'authentification des services Samba (sur serveur Unix), CUPS a été validée.

Les services de fichiers

Le montage des volumes NetApp a été validé à la fois en NFS depuis les clients Unix et en CIFS depuis les clients Windows, en s'appuyant sur un Active Directory pour lequel une relation d'approbation mutuelle avec le royaume Kerberos a été mis en place.

Les montages NFS v3 et v4 ainsi que Samba ont également été validés, ce qui permet aux entités l'utilisation de services de fichiers autonomes.

Le service CUPS

Les clients Windows et Unix peuvent imprimer sur un serveur CUPS Kerbérisé de manière transparente.

Le service 802.1X

Un serveur FreeRadius a été configuré pour utiliser une base d'authentification Kerberos.
Le dispositif fonctionne mais ne peut pas être intégré dans le cadre de l'authentification unique.

Une statégie de déploiement