de ldap à kerberos pascal aubry françois dagorn ifsic / université de rennes 1
TRANSCRIPT
De LDAP à Kerberos
Pascal AUBRYFrançois DAGORN
IFSIC / Université de Rennes 1
évoluer
• Basculer rapidement un parc de postes Windows XP vers Windows 7
• Authentification des utilisateurs via LDAP • Depuis Vista PGINA ne fonctionne plus• Credential Provider (fournisseur d’informations pour
l’authentification)
– Des sources d’exemples en C++ sont fournis par MicroSoft– Regina (développement IFSIC) et depuis PGINA version 2
sont des Credential Providers.
Regina et PGINA v2
• Interception du couple uid / passwd• Validation auprès d’un service LDAP• Si l’identité est vérifiée :
– Création d’un compte local– Loger le mot de passe en clair quelque part !– Ressortir le mot de passe en clair quand c’est nécessaire
(net use vers des services contrôlés par LDAP)– Détruire les comptes locaux avant chaque login, après
chaque logout …
• Pourquoi utiliser LDAP pour l’authentification ?
Sécuriser
• LDAP peut être sécurisé – Un service qui s’appuie sur LDAP peut utiliser LDAPS – En amont le mot de passe doit circuler en clair
• Serveurs CUPS contrôlés par LDAP• Serveurs SMB contrôlés par LDAP• Serveurs de fichiers NetApp
– Cain & Abel
• LDAP pour authentifier est un problème.• Kerberos est la solution (évoluer + sécuriser).
Comment migrer ?
• Pas de moulinette ldap2krb5– Besoin du mot de passe en clair
• Migration progressive des utilisateurs
Quand créer les principals ?• Quand peut-on disposer du mot de passe ?
– Sur les postes clients• Pam_krb5_migrate : pas assez sûr
– Sur un service dédié à la migration• Pas assez transparent
– Sur un service fréquemment utilisé• Mail
– Problème des accès webmail
• CAS
• Solution retenue : CAS– Interception à la connexion pour créer les usagers dans le
royaume Kerberos– Complètement transparent, trop peut-être :-)
Modification de CAS
NTLM/kerberoshandler
Databasehandler
LDAPhandler
database
LDAP
Modification de CAS
NTLM/kerberoshandler
Databasehandler
LDAPhandler
handlerwrapper
database
LDAP
KDC
Modification de CAS
NTLM/kerberoshandler
Databasehandler
LDAPhandler
handlerwrapper
database
LDAP
cache
KDC
Cohérence LDAP/Kerberos
• Création des comptes– Rien à faire car comptes non actifs
• Activation des comptes
• Changement des mots de passe– Interface web (pages Sésame)
• Suppression des comptes
Application Sésame
Application Sésame
LDAP
Interfaceutilisateur
(web)
Interfaceadministrateur
(batch)
activationchangement mdp
créationsuppression
Application Sésame
Application Sésame
LDAP
Interfaceutilisateur
(web)
Interfaceadministrateur
(batch)
activationchangement mdp
créationsuppression
AD
Application Sésame
Application Sésame
LDAP
Interfaceutilisateur
(web)
Interfaceadministrateur
(batch)
activationchangement mdp
créationsuppression
AD kerberos
Stratégie de migration
• 1. Mise en place infrastructure Kerberos
• 2. Intégration dans le S.I.
• 3. Basculement des services
Migration étape 1Infrastructure Kerberos
• Deux serveurs redondants– Crontab + kprop
• Une application web légère– PHP– Délégation de la gestion des principals
Migration étape 2Intégration dans le S.I.
• Serveur CAS– Authentification Kerberos– Alimentation Kerberos
• Application Sésame– Ajout d’un module Kerberos
Migration étape 3basculement des services
• Serveurs de fichiers– Samba– NFS– NetApp
• Serveurs d’impression– CUPS, passage en IPP avec auth Kerberos
• Serveur de mail