...
Notre choix se porte donc clairement sur la première solution.
Kerberos
Pour remplacer un système d'authentification basé sur LDAP, il convient de trouver un système fonctionnant Kerberos fonctionne en environnement hétérogène, assurant la sécurité des échanges sur un réseau non sûr et permettant la mise en place d'un véritable service d'authentification unique : Kerberos répond à ces impératifs.
Kerberos utilise un système de chiffrement symétrique pour assurer un dialogue sécurisé entre deux protagonistes. Les dialogues s'opèrent en utilisant une clef secrète et partagée. Les algorithmes de chiffrement sont publics (AES, DES, 3DES, ...), toute la sécurité du système repose sur la confidentialié confidentialité de la clef de chiffrement. Pour faciliter la gestion d'un tel système, Kerberos repose sur l'utilisation d'un tiers de confiance qui distribue les clefs aux utilisateurs et services abonnés (les principaux principals). Un serveur Kerberos est appelé KDC (Key Distribution Center).
Kerberos est un service sûr qui assure la confidentialité, l'intégrité des données ainsi que la non-répudiation (les participants sont identifiés, y compris le serveur contrairement à NTLM). Le service d'authentification assure l'identification unique du client et lui procure un ticket de session qu'il pourra utiliser pour demander des tickets d'utilisation des services kerbérisés. Un ticket de session chiffré avec la clef d'un service kerbérisé constitue un ticket de service. On distingue deux fonctionnalités dans un service kerberos :
- le service d'authentification
...
- le service de délivrement de tickets de services.
Kerberos a été mis au point au MIT dans les années 1990, il est maintenant très largement déployé et est disponible dans tous les environnements aujourd'hui utilisés (Linux, Windows, MacOS, ...). Des universités françaises ont déjà migré leur systèmes d'authentification vers kerberosKerberos, parmi celles-ci on peut citer les universités de Strasbourg et de Bordeaux 1.
...
Un serveur FreeRadius a été configuré pour utiliser une base d'authentification Kerberos.
Le dispositif fonctionne mais ne peut pas être intégré dans le cadre de l'authentification unique.
Une
...
stratégie de déploiement
Les tâches à réaliser pour mettre l'authentification Kerberos en production sont listées ci-dessous.
| Astuce | ||
|---|---|---|
| ||
La seule condition pour que le passage soit possible d'abord sur l'IFSIC avant de passer à toute l'université est que le NetApp puisse partager les mêmes volumes à la fois avec authentification Kerberos en NFS v4 (pour les clients Unix de l'IFSIC) et sans authentification en NFS v3 (pour les clients Unix du reste de l'université, qui pourraient ainsi migrer à Kerberos ultérieurement). Dans le cas où l'export mixte v4/Kerberos et v3/Trusted des mêmes volumes ne serait pas possible, il serait possible de rester en mode v3/Trusted en attendant que tous les clients NFS potentiels de l'université soient Kerbérisés. |
Tâches au niveau du CRI
Serveurs Kerberos
...
Modifier tous les clients pour l'authentification Kerberos.
Serveur de fichiers
Modifier l'authentification des serveurs Samba et NFS (passage à Kerberos).
...
Remonter un serveur d'impression Kerberisé pour faciliter la transition.
Conclusion
Tout est techniquement prêt pour migrer d'une authentification basée sur LDAP à une authentification basée sur Kerberos.
Nous sommes prêts dès à présent à contribuer à cette migration en assistant les équipes du CRI pour la mise en production (Kerberos, CAS et Sésame).