Copyright 2010 © Consortium ESUP-Portail TOC ESUP-Days 10, Paris, 2 juillet 2010 De LDAP à Kerberos à lUniversité de Rennes 1 Pascal Aubry François Dagorn

Copyright 2010 © Consortium ESUP-Portail TOC

ESUP-Days 10, Paris, 2 juillet 2010

De LDAP à Kerberosà l’Université de Rennes 1

Pascal AubryFrançois Dagorn

Copyright 2010 ©

Évoluer

• Basculer rapidement un parc de postes Windows XP vers Windows 7– Authentification des utilisateurs via LDAP – Depuis Vista PGINA ne fonctionne plus

• Credential Provider (fournisseur d’informations pour l’authentification)– Des sources d’exemples en C++ sont fournis par MicroSoft– Regina (développement IFSIC) et depuis PGINA version 2

sont des Credential Providers

Copyright 2010 ©

Regina et PGINA v2

• Interception du couple uid / passwd• Validation auprès d’un service LDAP• Si l’identité est vérifiée :

– Création d’un compte local– Loger le mot de passe en clair quelque part !– Ressortir le mot de passe en clair quand c’est nécessaire

(net use vers des services contrôlés par LDAP)– Détruire les comptes locaux avant chaque login, après

chaque logout …

• Pourquoi utiliser LDAP pour l’authentification ?

Copyright 2010 ©

Sécuriser

• LDAP peut être sécurisé – Un service qui s’appuie sur LDAP peut utiliser LDAPS – En amont le mot de passe doit circuler en clair

• Serveurs CUPS contrôlés par LDAP• Serveurs SMB contrôlés par LDAP• Serveurs de fichiers NetApp

– Cain & Abel

• LDAP pour authentifier est un problème

Copyright 2010 ©

La solution Kerberos

• Sécurité– Aucun mot de passe en clair

• Evolution– Windows 7

• Confort– Single Sign-On de bout en bout

Copyright 2010 ©

Kerberos

• Identification/Authentification– Sur un réseau non sûr– Aucun mot de passe en clair

• Basé sur une partage de clés– Pas de PKI

• Principals– Utilisateurs, machines, services

• Architecture 3-tiers– Client, serveur, KDC (Key Distribution Center)– Multi-système

Copyright 2010 ©

Comment migrer ?

• Pas de moulinette ldap2krb5– Besoin du mot de passe en clair

• Migration progressive des utilisateurs

Copyright 2010 ©

Quand créer les principals ?

• Quand peut-on disposer du mot de passe ?– Sur les postes clients

• Pam_krb5_migrate : pas assez sûr

– Sur un service dédié à la migration• Pas assez transparent

– Sur un service fréquemment utilisé• Mail

– Problème des accès webmail

• CAS

• Solution retenue : CAS– Interception à la connexion pour créer les usagers dans le

royaume Kerberos– Complètement transparent, trop peut-être :-)

Copyright 2010 ©

Modification de CAS

Databasehandler

LDAPhandler

database

LDAP

Copyright 2010 ©

Modification de CAS

NTLM/kerberoshandler

Databasehandler

LDAPhandler

database

LDAP

Copyright 2010 ©

Modification de CAS


Databasehandler

LDAPhandler

handlerwrapper

database

LDAP

KDC

Copyright 2010 ©

Modification de CAS


Databasehandler

LDAPhandler

handlerwrapper

database

LDAP

cache

KDC

Copyright 2010 ©

Modification de CAS


Databasehandler

LDAPhandler

handlerwrapper

database

LDAP

cache

KDC

Authentification

Copyright 2010 ©

Modification de CAS


Databasehandler

LDAPhandler

handlerwrapper

database

LDAP

cache

KDC

Authentification

Alimentation du royaume(migration des utilisateurs)

Copyright 2010 ©

Cohérence LDAP/Kerberos

• Création des comptes– Rien à faire car comptes non actifs

• Activation des comptes

• Changement des mots de passe– Interface web (pages Sésame)

• Suppression des comptes

Copyright 2010 ©

Application Sésame

Application Sésame

LDAP

Interfaceutilisateur

(web)

Interfaceadministrateur

(batch)activation

changement mdpcréation

suppression

Copyright 2010 ©

Application Sésame

Application Sésame

LDAP


(web)


(batch)activation


suppression

AD

Copyright 2010 ©

Application Sésame

Application Sésame

LDAP


(web)


(batch)activation


suppression

AD kerberos

Copyright 2010 ©

Stratégie de migration

• 1. Mise en place infrastructure Kerberos

• 2. Intégration dans le S.I.

• 3. Basculement des services

Copyright 2010 ©

Migration étape 1Infrastructure Kerberos

• Deux serveurs redondants– Crontab + kprop

• Une application web légère– PHP– Délégation de la gestion des principals

Copyright 2010 ©

Migration étape 2Intégration dans le S.I.

• Serveur CAS– Authentification Kerberos– Alimentation Kerberos

• Application Sésame– Ajout d’un module Kerberos

Copyright 2010 ©

Migration étape 3basculement des services

• Serveurs de fichiers– Samba– NFS– NetApp

• Serveurs d’impression– CUPS, passage en IPP avec auth Kerberos

• Serveur de mail

Copyright 2010 ©

Migration étape 3basculement des services

• Serveurs de fichiers– Samba– NFS– NetApp

• Serveurs d’impression– CUPS, passage en IPP avec auth Kerberos

• Serveur de mail

Copyright 2010 ©

Aller plus loin…

• Mangez du chien !

• Tuto JRES n°13

• www.esup-portail.org/display/CASKERB

Documents

Copyright 2010 © Consortium ESUP-Portail TOC ESUP-Days 10, Paris, 2 juillet 2010 De LDAP à Kerberos à lUniversité de Rennes 1 Pascal Aubry François Dagorn