Upload
melody
View
29
Download
0
Embed Size (px)
DESCRIPTION
Gestion des identités et services authentifiés. mécanismes Bordeaux1 et retours d’expériences. Mars 2003 – Le contexte. Existence de multiples applications avec leur propre référentiel (intranet, messageries, accès stations Unix/W2k, service ftp…) - PowerPoint PPT Presentation
Citation preview
10-2005 Doris Chauvet Table ronde RAISIN - Unification des mots de passe
Gestion des identités et services authentifiés
mécanismes Bordeaux1 et retours d’expériences
10-2005 Doris Chauvet Table ronde RAISIN - Unification des mots de passe
Mars 2003 – Le contexte
• Existence de multiples applications avec leur propre référentiel (intranet, messageries, accès stations Unix/W2k, service ftp…)
• Pas d’unicité de l’identifiant ni du mot de passe dans toutes ces applications
• Multiplication par individu des couples identifiant/mot de passe
10-2005 Doris Chauvet Table ronde RAISIN - Unification des mots de passe
Conséquences
• l'utilisateur face à des comptes informatiques multiples, problème d'ergonomie et de sécurité également (mot de passe communiqué ou écrit quelque part).
• Difficulté des administrateurs pour assurer la cohérence et la validité de l'ensemble des bases utilisateurs.
• Référencement des individus multiplié, temps de gestion allongés et beaucoup de temps perdu
10-2005 Doris Chauvet Table ronde RAISIN - Unification des mots de passe
LA Contrainte
• Pas de moyen évident pour fédérer toutes les applications authentifiés autour d’un seul référentiel ou outil d’authentification– pas toujours de support natif pour tous les backend
NIS/AD/LDAP/SQL …– pas toujours possible de tout interfacer avec des
mécanismes ou protocoles d’authentification genre Pam, CAS, Kerberos, Sasl, …
– le format des mots de passe peut aussi poser problème
10-2005 Doris Chauvet Table ronde RAISIN - Unification des mots de passe
Principes retenus
• Référencer tous les acteurs de l’établissement (Étudiants, Personnels, Partenaires)
• Offrir aux services numériques les moyens de reconnaître et identifier les individus
• Seuls les usagers recensés dans l’annuaire peuvent être authentifiés par les services numériques
• Assurer l'unicité de l’identifiant d'une personne et d’un seul mot de passe personnel
• Permettre à l’utilisateur de changer librement son MDP
10-2005 Doris Chauvet Table ronde RAISIN - Unification des mots de passe
Gérer les services
• Gestion des autorisations• Gestion du cycle de vie d’une application :
création,destruction,activation,désactivation• Gestion des paramètres et préférences des
utilisateurs (répertoire d’accueil, préférences imp/horde, …)
• Offrir des mécanisme d’unification et de synchronisation des mots de passe et identifiants
10-2005 Doris Chauvet Table ronde RAISIN - Unification des mots de passe
Architecture logique
10-2005 Doris Chauvet Table ronde RAISIN - Unification des mots de passe
Composition de l’interface
• Une structure de données qui reflète l’architecture logique : choix d’un annuaire LDAP (bon choix ,effet de mode, facilité de mise en oeuvre ???)
• Chaque service est une vue représentée par une OU (sens LDAP) • Chaque OU ‘service’ est constituée d’un conteneur de gestion des
comptes• Chaque entrée dans le conteneur de comptes du service représente
un utilisateur et instancie des objets constitués :– D’attributs obligatoires pour la gestion du cycle de vie et
l’unification login/passwd– D’attributs optionnels (choisis et gérés par l’administrateur de
l’appli) pour les paramètres du service si exploitation native• L’authentification de chaque service peut s’appuyer nativement
(bind LDAP ) ou non sur le couple login/passwd de l’entrée
10-2005 Doris Chauvet Table ronde RAISIN - Unification des mots de passe
Conditions de fonctionnement
• Le MDP ‘en clair’ n’est jamais connu du gestionnaire de l’application
• Si utilisation non native (pas de bind LDAP direct ou indirect ) du couple login/passwd , le MDP est encodé ou crypté selon les besoins de l’application
• Le changement de MDP n’est plus autorisé depuis les outils locaux de l’application (yppasswd NIS, Ctrl-Alt-Sup W2K, passwd de Horde, …)
• Le changement de MDP toujours réalisé depuis une IHM Web
• La synchronisation est toujours réalisée à l’initiative d’agents de propagation de l’annuaire seuls à connaître le mdp en ‘clair’ (encodage réversible en fait)
10-2005 Doris Chauvet Table ronde RAISIN - Unification des mots de passe
Architecture Physique et structure de données : ‘le couteau suisse’
10-2005 Doris Chauvet Table ronde RAISIN - Unification des mots de passe
Application support LDAP non natif
10-2005 Doris Chauvet Table ronde RAISIN - Unification des mots de passe
Application support LDAP natif
10-2005 Doris Chauvet Table ronde RAISIN - Unification des mots de passe
Changement de MDP : quand ?
• A l’initiative de l’utilisateur :– Changement volontaire– Perte de mot de passe
• A la déclaration d’un nouvel utilisateur autorisé (moteur d’attribution)– Eviter de lui demander de changer de MDP !!!
10-2005 Doris Chauvet Table ronde RAISIN - Unification des mots de passe
LES ECHANGES
10-2005 Doris Chauvet Table ronde RAISIN - Unification des mots de passe
Bilan V0 – mai 2004
• Positif :– unification réussie identifiant/mot de passe– support de n’importe quelle application– Utilisateurs familiarisés et plutôt satisfaits
• Négatif :– structure de données lourde– mécanismes de propagation parfois longs- de trop fortes charges lectures/écritures LDAP
concurrentes
10-2005 Doris Chauvet Table ronde RAISIN - Unification des mots de passe
Et demain la V2 ?
• Disposer d’un workflow complet de gestion des entrées dans l’annuaire PB et des services autorisés
• Prendre en compte la notion d’invite très temporaire (sans référencement PB obligatoire)
• Revoir la structure de données de l’interface de gestion des services
• Ne plus stocker ‘en clair’ (réversible) les mots de passe dans l’annuaire
• Distinguer applis Web (gestion des autorisations seulement , SSO CAS pour l’authentif) et non Web (propagation des identifiants et mdp ou support LDAP natif)
• Solutions commerciales : Microsoft Identity Integration Server , Sun Java Identity Manager , Novell Identity Manager
10-2005 Doris Chauvet Table ronde RAISIN - Unification des mots de passe
La V2
10-2005 Doris Chauvet Table ronde RAISIN - Unification des mots de passe
La V2 … suite
10-2005 Doris Chauvet Table ronde RAISIN - Unification des mots de passe
Les application recensées/à venir
• IntranetIntranet• messagerie étudiants et personnelsmessagerie étudiants et personnels• NIS AgenNIS Agen• Unix/W2K CREMIUnix/W2K CREMI• Unix/W2K LSIUnix/W2K LSI• NIS CRMTNIS CRMT• portail captif Wifi et amphisportail captif Wifi et amphis• portail webproxy du SCDportail webproxy du SCD• FTP iut Bx1FTP iut Bx1• UlysseUlysse• comptes/postes sous AD des personnels administratifs,comptes/postes sous AD des personnels administratifs,• comptes/postes sous AD d’un Dpt Iut Bx1comptes/postes sous AD d’un Dpt Iut Bx1