CAS et Kerberos
Pages enfant
  • Authentification des utilisateurs - de LDAP à Kerberos
9 pages enfant de plus

Comparaison des versions

Ancienne version 26

changes.mady.by.user Francois Dagorn

Sauvegardée le

comparé à

Nouvelle version 27

changes.mady.by.user Pascal Aubry

Sauvegardée le

Légende

  • Ces lignes ont été ajoutées. Ce mot a été ajouté.
  • Ces lignes ont été supprimées. Ce mot a été supprimé.
  • La mise en forme a été modifiée.

Pascal Aubry et François Dagorn (IFSIC / université de Rennes 1)

Sommaire

1. La situation actuelle

1.1 Architecture

Introduction

Cet article explique comment il est possible de migrer l'authentification des utilisateurs L'architecture informatique de l'université de Rennes 1 est aujourd'hui constituée de :

  • postes clients (Windows XP, Linux et Mac OS X). A ces postes viendront s'ajouter à la rentrée 2010/2011 des postes Windows 7.
  • serveurs de fichiers
    • Network Appliance (commun à toute l'Université) partagé en NFS pour les clients Unix et en CIFS pour les clients Windows
    • Serveurs de fichiers Unix partagés en NFS pour les clients Unix et/ou CIFS (Samba) pour les clients Windows
    • Serveurs de fichiers Windows partagés en CIFS pour les clients Windows
  • services applicatifs web
  • serveurs d'impression CUPS

1.2 Authentification

depuis la solution actuelle basée sur l'annuaire LDAP vers une solution basée sur Kerberos, avec les objectifs suivants :

  • Supprimer les failles de sécurité actuelles observées avec l'authentification LDAP.
  • Proposer un mécanisme d'authentification autre que LDAP pour Windows 7.
  • Disposer d'une authentification SSO depuis la session utilisateur sur les postes clients jusqu'aux applications web.

 Nous commençons par décrire la situation actuelle, puis évoquons les solutions possibles. Après un très bref aperçu de Kerberos, nous montrons les tests qui ont été menés à bien puis proposons une stratégie de déploiement pour laquelle l'IFSIC serait pilote pour l'université.

1. La situation actuelle

1.1 Architecture

L'architecture informatique de l'université de Rennes 1 est aujourd'hui constituée de :

  • postes clients (Windows XP, Linux et Mac OS X). A ces postes viendront s'ajouter à la rentrée 2010/2011 des postes Windows 7.
  • serveurs de fichiers
    • Network Appliance (commun à toute l'Université) partagé en NFS pour les clients Unix et en CIFS pour les clients Windows
    • Serveurs de fichiers Unix partagés en NFS pour les clients Unix et/ou CIFS (Samba) pour les clients Windows
    • Serveurs de fichiers Windows partagés en CIFS pour les clients Windows
  • services applicatifs web
  • serveurs d'impression CUPS

1.2 Authentification

Le système d'authentification des usagers est architecturé autour de l'annuaire LDAP de l'établissement qui est dérivé journellement du système d'information. L'authentification LDAP est Le système d'authentification des usagers est architecturé autour de l'annuaire LDAP de l'établissement qui est dérivé journellement du système d'information. L'authentification LDAP est dans tous les cas réalisée par un fast bind sur l'annuaire du couple uid/password dont on veut valider l'authenticité, les mécanismes suivants sont mis en oeuvre :

...

Modifier l'application Sésame de l'université pour qu'elle permette :

  • l'ajout des utilisateurs dans le royaume Kerberos lors de l'activation des comptesl'ajout
  • la modification du mot de passe des utilisateurs dans le royaume Kerberos (en plus de celle dans l'annuaire LDAP)
  • la suppression des utilisateurs dans le royaume Kerberos lors de l'activation la suppression des comptes
  • la modification du mot de passe des utilisateurs dans le royaume Kerberos (en plus de celle dans l'annuaire LDAP)
  • la suppression des utilisateurs dans le royaume Kerberos lors de la suppression des comptes

Voir : Modification de l'application Sésame

NetApp

Ajouter les exports NFS v4 avec authentification Kerberos (et vérifier qu'ils sont compatibles avec les mêmes exports v3 sans authentification, sinon rester en v3/Trusted).

Ajouter l'authentification Kerberos aux exports CIFS en s'appuyant sur l'Active Directory.

...

Voir : Modification de l'application Sésame

NetApp

Ajouter les exports NFS v4 avec authentification Kerberos (et vérifier qu'ils sont compatibles avec les mêmes exports v3 sans authentification, sinon rester en v3/Trusted).

Ajouter l'authentification Kerberos aux exports CIFS en s'appuyant sur l'Active Directory.

Voir : Mise en place d'un serveur NFS (v4-Kerberos)

6.2 Tâches au niveau de l'IFSIC

Clients

Modifier tous les clients pour l'authentification Kerberos.

Voir :

Serveur de fichiers

Modifier l'authentification des serveurs Samba et NFS (passage à Kerberos).

Voir :

...

6.2 Tâches au niveau de l'IFSIC

Clients

Modifier tous les clients pour l'authentification Kerberos.

Voir :

Serveur de fichiers

Modifier l'authentification des serveurs Samba et NFS (passage à Kerberos).

Voir :

Serveur d'impression

Remonter un serveur d'impression Kerberisé pour faciliter la transition.

Voir : Mise en place d'un serveur CUPS

7. Conclusion

Tout est techniquement prêt pour migrer d'une authentification basée sur LDAP à une authentification basée sur Kerberos.

...

Serveur d'impression

Remonter un serveur d'impression Kerberisé pour faciliter la transition.

Voir : Mise en place d'un serveur CUPS

7. Conclusion

Tout est techniquement prêt pour migrer d'une authentification basée sur LDAP à une authentification basée sur Kerberos.

Nous sommes prêts dès à présent à contribuer à cette migration en assistant les équipes du CRI pour la mise en production (Kerberos, CAS et Sésame).

Références