Pascal Aubry et François Dagorn (IFSIC / université de Rennes 1)
Sommaire |
---|
1. La situation actuelle
1.1 Architecture
Introduction
Cet article explique comment il est possible de migrer l'authentification des utilisateurs L'architecture informatique de l'université de Rennes 1 est aujourd'hui constituée de :
- postes clients (Windows XP, Linux et Mac OS X). A ces postes viendront s'ajouter à la rentrée 2010/2011 des postes Windows 7.
- serveurs de fichiers
- Network Appliance (commun à toute l'Université) partagé en NFS pour les clients Unix et en CIFS pour les clients Windows
- Serveurs de fichiers Unix partagés en NFS pour les clients Unix et/ou CIFS (Samba) pour les clients Windows
- Serveurs de fichiers Windows partagés en CIFS pour les clients Windows
- services applicatifs web
- serveurs d'impression CUPS
1.2 Authentification
depuis la solution actuelle basée sur l'annuaire LDAP vers une solution basée sur Kerberos, avec les objectifs suivants :
- Supprimer les failles de sécurité actuelles observées avec l'authentification LDAP.
- Proposer un mécanisme d'authentification autre que LDAP pour Windows 7.
- Disposer d'une authentification SSO depuis la session utilisateur sur les postes clients jusqu'aux applications web.
Nous commençons par décrire la situation actuelle, puis évoquons les solutions possibles. Après un très bref aperçu de Kerberos, nous montrons les tests qui ont été menés à bien puis proposons une stratégie de déploiement pour laquelle l'IFSIC serait pilote pour l'université.
1. La situation actuelle
1.1 Architecture
L'architecture informatique de l'université de Rennes 1 est aujourd'hui constituée de :
- postes clients (Windows XP, Linux et Mac OS X). A ces postes viendront s'ajouter à la rentrée 2010/2011 des postes Windows 7.
- serveurs de fichiers
- Network Appliance (commun à toute l'Université) partagé en NFS pour les clients Unix et en CIFS pour les clients Windows
- Serveurs de fichiers Unix partagés en NFS pour les clients Unix et/ou CIFS (Samba) pour les clients Windows
- Serveurs de fichiers Windows partagés en CIFS pour les clients Windows
- services applicatifs web
- serveurs d'impression CUPS
1.2 Authentification
Le système d'authentification des usagers est architecturé autour de l'annuaire LDAP de l'établissement qui est dérivé journellement du système d'information. L'authentification LDAP est Le système d'authentification des usagers est architecturé autour de l'annuaire LDAP de l'établissement qui est dérivé journellement du système d'information. L'authentification LDAP est dans tous les cas réalisée par un fast bind sur l'annuaire du couple uid/password dont on veut valider l'authenticité, les mécanismes suivants sont mis en oeuvre :
...
Modifier l'application Sésame de l'université pour qu'elle permette :
- l'ajout des utilisateurs dans le royaume Kerberos lors de l'activation des comptesl'ajout
- la modification du mot de passe des utilisateurs dans le royaume Kerberos (en plus de celle dans l'annuaire LDAP)
- la suppression des utilisateurs dans le royaume Kerberos lors de l'activation la suppression des comptes
- la modification du mot de passe des utilisateurs dans le royaume Kerberos (en plus de celle dans l'annuaire LDAP)
- la suppression des utilisateurs dans le royaume Kerberos lors de la suppression des comptes
Voir : Modification de l'application Sésame
NetApp
Ajouter les exports NFS v4 avec authentification Kerberos (et vérifier qu'ils sont compatibles avec les mêmes exports v3 sans authentification, sinon rester en v3/Trusted).
Ajouter l'authentification Kerberos aux exports CIFS en s'appuyant sur l'Active Directory.
...
Voir : Modification de l'application Sésame
NetApp
Ajouter les exports NFS v4 avec authentification Kerberos (et vérifier qu'ils sont compatibles avec les mêmes exports v3 sans authentification, sinon rester en v3/Trusted).
Ajouter l'authentification Kerberos aux exports CIFS en s'appuyant sur l'Active Directory.
Voir : Mise en place d'un serveur NFS (v4-Kerberos)
6.2 Tâches au niveau de l'IFSIC
Clients
Modifier tous les clients pour l'authentification Kerberos.
Voir :
- Intégration d'un client Linux
- Intégration d'un client Windows XP
- Configuration de Firefox pour le SSO
- Configuration de Internet Explorer pour le SSO
Serveur de fichiers
Modifier l'authentification des serveurs Samba et NFS (passage à Kerberos).
Voir :
...
6.2 Tâches au niveau de l'IFSIC
Clients
Modifier tous les clients pour l'authentification Kerberos.
Voir :
- Intégration d'un client Linux
- Intégration d'un client Windows XP
- Configuration de Firefox pour le SSO
- Configuration de Internet Explorer pour le SSO
Serveur de fichiers
Modifier l'authentification des serveurs Samba et NFS (passage à Kerberos).
Voir :
Serveur d'impression
Remonter un serveur d'impression Kerberisé pour faciliter la transition.
Voir : Mise en place d'un serveur CUPS
7. Conclusion
Tout est techniquement prêt pour migrer d'une authentification basée sur LDAP à une authentification basée sur Kerberos.
...
Serveur d'impression
Remonter un serveur d'impression Kerberisé pour faciliter la transition.
Voir : Mise en place d'un serveur CUPS
7. Conclusion
Tout est techniquement prêt pour migrer d'une authentification basée sur LDAP à une authentification basée sur Kerberos.
Nous sommes prêts dès à présent à contribuer à cette migration en assistant les équipes du CRI pour la mise en production (Kerberos, CAS et Sésame).
Références
- ARCHANN, une architecture d'annuaire et d'authentification interopérable pour un SSO unifié en environnement hétérogène, Pascal Levy (Université de Paris 1), JRES 2009
- Kerberos et la sécurité, Emmanuel Brouillon (CEA), SSTIC 2004
- Kerberos : Linux, Windows et le SSO, Emmanuel Blindauer (IUT Robert Schuman Strasbourg), JRES 2005
- Configuring a Kerberos 5 Server, Redhat 9 manual
- Replacing NIS with Kerberos and LDAP HOWTO
- Kerberos/LDAP/NFSv4 HOWTO
- Authenticate Windows to Unix Kerberos
- Making WindowsXP authenticate login to a UNIX MIT KDC
- Single sign-on "How To" Guide
- Référentiel d'authentification interopérable et ouvert: Kerberos, Emmanuel Blindauer (IUT R.Schuman Université de Strasbourg), JRES 2009
- http://pig.made-it.com/kerberos.html
- http://nfsv4.bullopensource.org/doc/kerberosnfs/krbnfs_howto_v3.pdf