CAS et Kerberos
Pages enfant
  • Authentification des utilisateurs - de LDAP à Kerberos
9 pages enfant de plus

Comparaison des versions

Ancienne version 23

changes.mady.by.user Pascal Aubry

Sauvegardée le

comparé à

Nouvelle version 24

changes.mady.by.user Francois Dagorn

Sauvegardée le

Légende

  • Ces lignes ont été ajoutées. Ce mot a été ajouté.
  • Ces lignes ont été supprimées. Ce mot a été supprimé.
  • La mise en forme a été modifiée.

...

1.1 Architecture

L'architecture informatique de l'Université université de Rennes 1 est aujourd'hui constituée de :

...

Le système d'authentification des usagers est architecturé autour de l'annuaire LDAP de l'établissement, il est dérivé journellement du système d'information. L'authentification LDAP est dans tous les cas réalisé réalisée par un fast bind sur l'annuaire le du couple netId uid/password dont on veut valider l'authenticité., les mécanismes suivants sont mis en oeuvre :

  • Les clients Unix se basent sur le module PAM pam_ldap.
  • Les clients Windows XP utilisent le module pGinaPGina, qui stocke les informations de connexion des utilisateurs (netId/password) et les rejoue quand nécessaire auprès des serveurs pour effectuer les montages (net use).
  • Les montages CIFS du Network Appliance et des transmettent les couples (netIduid/password) à l'annuaire LDAP pour validation.
  • Les montages NFS (v3) sont effectués sans authentification, par confiance envers les clients autorisés.
  • Les services applicatifs web sont CASifiés, l'authentification au niveau du serveur CAS étant transmise est déléguée à l'annuaire LDAP.
  • Les clients Windows impriment via des montages SMB sur les serveurs d'impression, l'authentification est faite par Samba via pam_ldap.
  • Les clients Unix impriment en IPP, également via pam_ldap.

Notons qu'il s'agit d'un usage détourné de l'annuaire LDAP, conçu initialement comme un service de pages blanches pour la recherche d'informations (utilisateurs, machines) et est aujourd'hui principalement utilisé pour l'authenficationauthentification. Cet usage est néanmoins très largement adopté dans nos universités et répond fonctionnellement bien au besoin car il permet de contrôler l'accès à tous les types de services nécessaires sur un réseau informatique (ouverture de sessions, impressions, partage de fichiers, ...). Il est de plus disponible dans tous les environnements utilisés (Linux, Windows, MacOS, Solaris, ...).

...

L'utilisation de LDAP décrite plus haut est aujourd'hui relativement générale dans les Universitésuniversités, plusieurs problèmes liés à la sécurité des réseaux se posent pourtant.

...

En 2009, le nouveau système d'exploitaion Windows 7 est apparu, il ne s'intègre pas facilement dans un environnement contrôlé par LDAP.

Windows XP utilisait pGina PGina pour intercepter le mot de passe de l'usager au moment de la phase de connexion, il le ressortait ensuite quand celà s'avérait nécessaire (utisation de partages, ...). Ce schéma ne peut plus fonctionner sous Windows 7, mais on ne peut toutefois pas renoncer à Windows 7 pour cette raison.

...

Si cette solution est la plus envisageable en terme de coût, elle oblige néanmoins à utiliser une « verrue » supplémentaire pour Windows 7 (ReGinaRegina).

3.2 Utiliser Active Directory quand c'est possible

...

Kerberos a été mis au point au MIT dans les années 1990, il est maintenant très largement déployé et est disponible dans tous les environnements aujourd'hui utilisés (Linux, Windows, MacOS, ...). Des universités françaises ont déjà migré leur systèmes d'authentification vers Kerberos, parmi celles-ci on peut citer les universités de Strasbourg et de Bordeaux 1.

5. Les tests effectués

Le fil directeur des tests effectués a été le suivant : mise en place d'un service Kerberos hébergé sur un serveur Linux. La Comme indiqué en 3.3,  la possibilité d'utiliser le serveur Kerberos enlisé dans un service Active Directory de MicroSoft a été volontairement écartée dans le but d'architecturer le projet autour d'une solution libre et ouverteet les tests ont été effectués avec un serveur Kerberos hébergé sur un serveur Linux.
Les éléments ci-dessous ont été validés.

...

Astuce
titlePassage à Kerberos de l'IFSIC d'abord, du reste de l'université ensuite

La seule condition pour que le passage de l'authentification Kerberos soit possible d'abord sur l'IFSIC avant de passer à toute l'université est que le NetApp puisse partager les mêmes volumes à la fois avec authentification Kerberos en NFS v4 (pour les clients Unix de l'IFSIC) et sans authentification en NFS v3 (pour les clients Unix du reste de l'université, qui pourraient ainsi migrer à Kerberos ultérieurement).

Dans le cas où l'export mixte v4/Kerberos et v3/Trusted des mêmes volumes ne serait pas possible, il serait possible de rester en mode v3/Trusted en attendant que tous les clients NFS potentiels de l'université soient Kerbérisés. Les seuls prérequis pour le passage (dans une première étape) de l'IFSIC à Kerberos sont donc les tâches à réaliser au niveau du CRI et détaillées ci-dessous.

Cette stratégie (conservation de NFS v3/Trusted tant que tous les clients NFS n'ont pas migré à Kerberos) semble la plus raisonnable.

...