CAS et Kerberos
Pages enfant
  • Authentification des utilisateurs - de LDAP à Kerberos
9 pages enfant de plus

Comparaison des versions

Ancienne version 4

changes.mady.by.user Pascal Aubry

Sauvegardée le

comparé à

Nouvelle version 5

changes.mady.by.user Pascal Aubry

Sauvegardée le

Légende

  • Ces lignes ont été ajoutées. Ce mot a été ajouté.
  • Ces lignes ont été supprimées. Ce mot a été supprimé.
  • La mise en forme a été modifiée.

Pascal Aubry et François Dagorn

Sommaire

La situation actuelle

Architecture

L'architecture de l'Université de Rennes 1 est aujourd'hui constituée de :

  • postes clients (Windows XP, Linux et Mac OS X). A ces postes viendront s'ajouter à la rentrée 2010/2011 des postes Windows 7.
  • serveurs de fichiers
    • Network Appliance (commun à toute l'Université) partagé en NFS pour les clients Unix et en CIFS pour les clients Windows
    • Serveurs de fichiers Unix partagés en NFS pour les clients Unix et/ou CIFS (Samba) pour les clients Windows
    • Serveurs de fichiers Windows partagés en CIFS pour les clients Windows
  • services applicatifs web
  • serveurs d'impression CUPS

Authentification

Le Aujourd'hui le système d'authentification des usagers est architecturé autour dde l'un annuaire LDAP de l'établissement, dérivé journellement du système d'information. L'authentification LDAP est dans tous les cas réalisé par un fast bind sur l'annuaire le couple netId/password dont on veut valider l'authenticité.

  • Les clients Unix se basent sur le module PAM pam_ldap.
  • Les clients Windows XP utilisent le module pGina, qui stocke les informations de connexion des utilisateurs (netId/password) et les rejoue quand nécessaire auprès des serveurs pour effectuer les montages (net use).
  • Les montages CIFS du Network Appliance et des transmettent les couples (netId/password) à l'annuaire LDAP pour validation.
  • Les montages NFS (v3) sont effectués sans authentification, par confiance envers les clients autorisés.
  • Les services applicatifs web sont CASifiés, l'authentification au niveau du serveur CAS étant transmise à l'annuaire LDAP.
  • Les clients Windows impriment via des montages SMB sur les serveurs d'impression, l'authentification est faite par Samba via pam_ldap.
  • Les clients Unix impriment en IPP, également via pam_ldap.

Notons . On peut noter qu'il s'agit d'un usage un peu limite de LDAP qui a été surtout spécifié pour faciliter les recherches de personnes et de services dans des annuaires décentralisés. LDAP répond toutefois détourné de l'annuaire LDAP, conçu initialement comme un service de pages blanches pour la recherche d'informations (utilisateurs, machines) et est aujourd'hui principalement utilisé pour l'authenfication. Cet usage est néanmoins très largement adopté dans nos universités et répond fonctionnellement bien au besoin car il permet de contrôler l'accès à tous les types de services nécessaires sur un réseau informatique (ouverture de sessions, impressions, partage de fichiers, ...), il . Il est de plus disponible dans tous les environnements utilisés (Linux, Windows, MacOS, Solaris, ...).

Pourquoi évoluer ?

L'utilisation de LDAP décrite plus haut est aujourd'hui relativement générale dans les Universités, plusieurs problèmes liés à la sécurité des réseaux se posent pourtant.

Sécurité

Les mots de passe des usagers doivent impérativement être acheminés en clair depuis les postes de travail qui hébergent des services jusqu'aux serveurs LDAP chargés des opérations de contrôles. L'utilisation du protocole sécurisé LDAPS (LDAP sur TLS) permet de contourner ce problème puisqu'il impose une session TLS avant tout dialogue LDAP.  L'université de Rennes 1 n'utilise pas LDAPS et tous les postes de travail du réseau académique exposent les mots de passe des usagers aux yeux d'utilisateurs indélicats (l'empoisonnement ARP est facile à mettre en oeuvre). L'utilisation de services de fichiers mutualisés contrôlés par LDAP accentuent ce problème car les mots de passe doivent circuler en clair jusqu'aux services avant d'être acheminés ensuite (éventuellement en LDAPS) jusqu'aux serveurs LDAP. Dans ce cadre, le serveur de fichiers communautaire de l'université de Rennes 1 est encore aujourd'hui un maillon faible de la sécurité du réseau de l'établissement.

...

La méthode utilisée par Regina et PGina pour intercepter et utiliser le mot de passe en clair n'est pas compatible avec les impératifs de sécurité d'un réseau informatique. Plus généralement, c'est l'utilisation de LDAP pour authentifier des usagers qui pose de gros problèmes de sécurité.
La généralisation des ENT a permis la mise en oeuvre de systèmes d'authentification unique pour les environnements Web, mais on reste pour l'instant d'en l'attente d'un système d'authentification allant de l'ouverture de session jusqu'aux applicatifs Web.

...

Aujourd'hui le système d'authentification des usagers est architecturé autour d'un annuaire LDAP dérivé journellement du système d'information. On peut noter qu'il s'agit d'un usage un peu limite de LDAP qui a été surtout spécifié pour faciliter les recherches de personnes et de services dans des annuaires décentralisés. LDAP répond toutefois au besoin car il permet de contrôler l'accès à tous les types de services nécessaires sur un réseau informatique (ouverture de sessions, impressions, partage de fichiers, ...), il est de plus disponible dans tous les environnements utilisés (Linux, Windows, MacOS, Solaris, ...). L'utilisation de LDAP est aujourd'hui relativement générale dans les Universités, plusieurs problèmes liés à la sécurité des réseaux se posent pourtant.

...