LINAGORA
27 rue de Berri75008 PARIS
Tél. : 01 58 18 68 28Fax : 01 58 18 68 29
www.linagora.com | www.08000linux.com
UNE MATINEE POUR COMPRENDREL'Open Source au service de la Sécurité
PROGRAMMEMATINEE POUR COMPRENDRE
L'Open Source au service de la Sécurité
4 décembre 2008
Intervenants :- Yannick QUENEC'HDU, Responsable département sécurité, Linagora- Clément OUDOT, Architecte, Linagora
LINAGORA
27 rue de Berri75008 PARIS
Tél. : 01 58 18 68 28Fax : 01 58 18 68 29
www.linagora.com | www.08000linux.com
UNE MATINEE POUR COMPRENDREL'Open Source au service de la Sécurité
Programme :A partir de 08H30 Accueil des participants – Accueil café
09h00 – 09h30 LinPKI, l'offre de confiance numérique en Open SourcePar Yannick QUENEC'HDU, Responsable département sécurité, Linagora
09h30 – 10h30 SSO, l'authentification unique par l'exemplePar Clément OUDOT, Architecte, Linagora
10h30 – 11h00 Pause
11h00 – 11h30 Focus sur les projet LinSign et LinPKIPar Yannick QUENEC'HDU, Responsable département sécurité, Linagora
11h30-12h00 Retour d'expérience.Par Yannick QUENEC'HDU, Responsable département sécurité, Linagora
UNE MATINEE POUR COMPRENDREL'Open Source au service de la Sécurité
PRESENTATION
Contact : LINAGORA – Siège social27 rue de Berri75008 Paris – FranceTél. : +33 1 58 18 68 28Fax : +33 1 58 18 68 29Mail : [email protected]
Réussir ensemble les grands projets du Libre
Qui sommes-nous ? 2
LINAGORA est l'une des sociétés les plus importantes sur le marché des logiciels libres, au niveau mondial.
+ Leader dans l'édition de logiciels Open Source
+ Plus de 150 experts à votre service
+ Une présence en France (Paris, Lyon, Toulouse et Marseille), en
Belgique et aux Etats-Unis
+ Plus de 500 clients dont plus de 60% de très grands comptes
+ Un réseau important de partenaires
+ Un fort soutien au Libre
San Francisco
Bruxelles
Implantations 3
Paris
Lyon
Toulouse
Marseille
LINAGORA est un éditeur de logiciel libre. Sa vocation est : + De développer avec ses équipes de R&D des Logiciels Libres
+ D'être l'intermédiaire de confiance entre les communautés et ses clients
+ De vendre une Open Source Software Assurance
+ Et enfin d'être un expert de l'Open Source capable de mener des grands
projets de mise en œuvre de solution libre
LINAGORA : Editeur Orienté Services 4
La stratégie du groupe dans l'édition de logiciels s'articule autour de 4 axes : + Outils de messagerie et de travail collaboratif avec OBM : obm.org
+ Applications de gestion et de fédération des identités avec LinID:
linid.org
+ Solutions de sécurité avec LinPKI : linpki.org
+ Solutions de Service Management avec LinSM
Edition de logiciels 5
Une gamme de services complète à partir d'un guichet unique pour sécuriser votre SI à composantes Open Source. La mission de l'OSSA est de vous fournir une expertise personnalisée sur vos logiciels libres.
Avec un engagement de résultats, une équipe d'experts vous assiste pour :+ la résolution des anomalies rencontrées
+ l'intégration des correctifs aux communautés concernées
+ des paramétrages complexes
+ l'administration des logiciels supportés
+ leur intégration dans votre SI
L'OSSA, l'offre logicielle propre au Libre 6
Services professionnels 7
Cette offre produit est complétée par une gamme de services professionnels et de formations visant à accompagner les grands utilisateurs de logiciels libres dans le projet de transformation de leur SI.
Supervision
Annuaire
CMS
Base de données
Sécurité
Bureautique
J2EE
Travail collaboratif
2008 2009 2010
15 M€
25 M€
50 M€
LINAGORA SA au capital social de 2.257.140 Euros
CA en K Euros
18
Effectifs
2002 2003 2004 2006 2007 2008*2005
30 3745
55
110
200
Chiffres clés 8
Répartition du CA par pôle Répartition du CA par secteur
Chiffres clés 9
EditionOpen Source
25 %
OSSA25 %
Formations10 %
Services professionnels40 %
Secteur public50 %
Secteur privé50 %
Nos références – Secteur public
+ APHP
+ Armée de l'Air
+ Assemblée Nationale
+ Cert Europe
+ CHU de Brest
+ Conseil Général des Bouches du Rhône
+ Conseil Général de Haute Garonne
+ Conseil Général de Moselle
+ Conseil Général Tarn et Garonne
+ Gendarmerie Nationale
+ Grand Toulouse
+ HLM des Châlets
+ Inserm
+ Ministère de l'Agriculture
+ Ministère de la Défense
+ Ministère de l'Economie, des Finances et de
l'Industrie
+ Ministère de l'Intérieur
+ La Poste
+ RATP
+ SDIS
+ Université Pierre Mendes France
+ Ville d'Issy les Moulineaux
10
11Nos références – Secteur privé
+ Adecco
+ Afnor
+ Alcatel
+ Aldebaran
+ Air France
+ Areva
+ CinReal on line
+ CLS
+ Docubase
+ Fnac.com
+ France 24
+ GIE Cartes bancaires
+ ICDC
+ Hispano Suiza
+ Macif
+ Magnus
+ Norbert d'Entressangle
+ Orange
+ Paru Vendu
+ Prémaliance
+ Sagem Communication
+ Sanofi Aventis
+ Société Générale
+ Telemarket
www.linagora.comTél. : +33 1 58 18 68 28
Pour plus d'informations :
LINAGORA
27 rue de Berri75008 PARIS
Tél. : 01 58 18 68 28Fax : 01 58 18 68 29
www.linagora.com | www.08000linux.com
UNE MATINEE POUR COMPRENDREL'Open Source au service de la Sécurité
LinPKI, l'offre de confiance numériqueen Open Source
Yannick QUENEC'HDUResponsable département sécurité[email protected]
Groupe
1515
Le Groupe LINAGORA
San Francisco
Bruxelles
Paris
Toulouse
Lyon
Marseille
Groupe de plus de 160 collaborateurs, CA 2008, 12 M€
Gamme complète de logiciels et services unique
Une couverture nationale (Paris, Lyon, Toulouse, Marseille) et des implantations internationales (Belgique et USA – San Francisco
Groupe
1616
Notre métier
Edition -LinPKI : Suite applicative de sécurité-OBM : Outils de messagerie et de gestion collaborative-LinID : Gestion et de Fédération des identités-LinSM : Solution de service de Management
OSSA-Support des applications du groupe LINAGORA-Catalogue complet de plus de 200 logiciels libres, prêts à l'industrialisation, sur une plate-forme unique : le 08000LINUX.com.
Services Professionnels-LCS – Linagora Consulting Service-LBS – Linagora Build Service-LTS – Linagora Training Service
Groupe
1717
Quelques références
Groupe
1818
Le projet LinPKI
Groupe
1919
Composition (1/2)
PKI -C’est l’application de gestion du cycle de vie des autorités de certification et des certificats d’entités. Elle se caractérise par une approche modulaire et une simplicité d’utilisation.
Gestionnaire de carte à puce-Cette application est proposée en complément de l’offre de PKI. Elle fournit les services de gestion des cartes à puce et des tokens USB.
Signature électronique-Signature client -Ce composant permet d’intégrer la signature électronique au niveau du poste du client. Il s’intègre à vos applications Web , dans les clients lourds ou tout simplement sur le poste de travail.-Serveur de signature-Serveur de signature pour signer vos documents, données avant archivage dans un référentiel de données
Groupe
2020
Composition (2/2)
Horodatage-Ce service permet d’horodater vos signatures électroniques, vos requêtes, vos données. Il est conforme aux standards sur l’horodatage. Il peut être utilisé en conjonction avec les applications LinPKI pour sécuriser les échanges.
Partage de fichier sécurité✔ Dernier né des applications de la suite LinPKI, Linshare est une application de
partage de fichier sécurisée. Elle permet de déposer et de partager des fichiers en interne de l'entreprise ou vers des personnes extérieures. Comprend le chiffrement et le déchiffrement asymétrique et symétrique et la signature électronique.
Groupe
2121
✔PKI✔Infrastructure à clés
publiques
Groupe
2222
PKI - Principe
L'offre de PKI de LINAGORA comprend l'application EJBCA pour les opérations de gestion de l'autorité de certification et LinPKI pour les autres opérations (gestion du cycle de vie des certificats d'entité, administration, etc.)
✔ LinPKI fournit à la fois les fonctions classiques que l’on retrouve dans la plupart des PKI du marché, mais avec une approche orientée vers la simplicité d'utilisation pour les non-initiés à la PKI✔ L'application a été pensée pour simplifier la gestion des certificats pour
l'utilisateur final et l'installation des certificats sur le poste de travail ✔ LinPKI un générateur de vos besoins
✔ LinPKI a été construit comme un générateur, permettant de répondre rapidement et sans développement complémentaire aux contraintes liées aux certificats ou au SI de l’entreprise. Le générateur permet de créer des profils de certificat, des formats de requête, des cinématiques de gestion du cycle de vie des certifications, de personnaliser des cartes à puce ou de dongle USB.
Groupe
2323
PKI – Infrastructure à clés publiques
L'infrastructure de gestion de clef LINPKI se différencie des autres solutions de PKI sur les points suivants : -Solution distribuée en Open Source (licence OSL)-Processus automatique d’identification des utilisateurs dans l’environnement de la PKI-Simplicité des interfaces et des fonctions pour les utilisateurs non initiés au PKI-Refonte des composants Windows pour faciliter l’intégration des certificats dans les environnements Microsoft -Moteur de cinématique graphique pour adapter les cinématiques aux besoins des entreprises-Outils d’intégration des gestionnaires d’identités pour la gestion des droits sur l’entité d’enrôlement (SSO, IAM, etc.) -Provisonning d’identités depuis des référentiels de données -Interface personnalisable (texte, feuille de style, images, etc.)
Groupe
2424
PKI
Moteur de cinématique -Exemple
Groupe
2525
Interface LINPKI
Exemple, le reporting
Groupe
2626
PKI – Composants complémentaires
L'infrastructure de gestion de clef propose les services complémentaires suivants :-Un serveur de validation OCSP (Online certificate status Protocole) :-Déploiement intégré dans la PKI ou externe
✔ Un service de validation et d'appel WebService en (XML Key Management Service) :✔ Protocole standardisé en XML pour la validation et les opérations de gestion de
vie des certificats (demande, révocation, récupération de clés, etc.)-Composants annexes pour simplifier les déploiements de certificats sur les postes Windows, tels que la refonte des composants d'installation des PKCS12, l'auto installation des certificats avec Active Directory.
Groupe
2727
✔La ✔signature
✔électronique
Groupe
2828
Signature client
Le client de signature a pour objectif de permettre la signature depuis le poste du client-Ce composant est conçu dans un esprit de généricité et de modularité vis-à-vis des applications. il peut-être mis en œuvre de 3 façons différentes-Service : Il s’agit de mettre en place ce composant en tant que service commun exploité et autonome. Ce composant est alors vu comme un service global défini par ses interfaces publiques (WebService)-Produit : ce composant est utilisé comme un produit prêt à l'emploi.-Boîte à outils : Il s’agit pour un projet applicatif de pouvoir s’approprier ce composant en intégrant, voire en les adaptant à ses propres besoins dans le cadre du développement d’une l’application.
Ce dispositif de signature fonctionne selon plusieurs modes :-En mode connecté sur les navigateurs standards du marché. -En mode autonome sur un système d’exploitation ou des clients lourds, tels que OpenOffice.-En mode service embarqué dans des applications métiers.
En cours de certification Critères Commun EAL 3+
Groupe
2929
Signature Serveur
SignServer est un serveur de signature modulaire distribué sous licence OpenSource. Il est développé en Java/J2EE. SignServer est le premier serveur autonome et industriel distribué sous licence OpenSourceSignerServer est un serveur de signature multi-protocoles, c’est-à-dire qu’il peut-être appelé comme serveur d’horodatage (RFC3161), serveur de signature XML ( Xades T, C, X, X-L et XMLDsign), serveur pour la signature des passeports de nouvelle génération (MRTD – Machine Readable Travel Documents), pour la signature de document OpenOffice et PDF.
En complément du serveur de signature, SignServer offre les fonctionnalités :✔-Protection des courriels en conjonction avec le serveur de courriel permet l’authentification, le chiffrement, la signature et l’horodatage des messages-Validation des certificats numériques-Moteur pour créer des scénarios d’autorisation et de validation-Gestion de groupe de clefs symétriques et asymétriques
Groupe
3030
✔CMS✔Card Management
✔System
Groupe
3131
CMS – Card Management Service
Le gestionnaire de support cryptographique permet de gérer le cycle de vie complet de cartes à puces dans une société ou organisation. ToLiMA est la première application composée de modules qui utilise le standard HTMF – Hard Token Management FrameWork et le standard MiFair pour la gestion des imprimantes de cartes à puces.✔Les fonctionnalités non exhaustives de la suite applicative ToLiMa sont : -Émission de carte : temporaire, ordinaire, projet-Déblocage de code PIN sans exposer le code PUK pour les utilisateurs et les administrateurs-Révocation de carte-Renouvellement de carte-Activation et désactivation de carte-Il est aussi possible d’émettre et de bloquer des cartes sur la base d’un système d’approbation. -Personnalisation graphique et électronique✔
Groupe
3232
CMS – Card Management Service
Analyseur automatique de carte, permet d’appliquer des scénarios automatiquement lors de l’insertion de carte à puce. Les différences essentiellement entre ToLIMa et les autres CMS du marché, porte sur 5 grands aspects :
✔
-Solution totalement Open Source ;-Respect des standards HTMF et Mifair;-Gestion automatisée du cycle de vie des certificats ;-Gestionnaire de Workflow ;-Indépendant des systèmes d’exploitation ;-Ne nécessite aucun déploiement sur les postes des usagers.
✔
Groupe
3333
Serveur de fichier sécurisé
✔ Spécialement conçue pour sécuriser les échanges dématérialisés des entreprises qui placent la confidentialité et la traçabilité au cœur de leurs problématiques d’échanges, LinShare apporte une solution simple à mettre en œuvre et totalement intuitive. L'ergonomie est améliorée par la technologie Web 2.0.
✔ Partage de fichier entre des collaborateurs abonné à l'application ;✔ Partage de fichier avec des personnes externes ;✔ Partage de fichier de personnes externe vers des abonnés ;✔ Dépôt/suppression de fichiers ;✔ Mise en place de partage de fichiers vers un ou plusieurs utilisateurs (abonné et externe) ;✔ Chiffrement de fichier (clé symétrique) vers des collaborateurs externes ou internes ;✔ Chiffrement de fichier par certificat numérique vers des collaborateurs externes ou internes ;✔ Signature électronique des documents ;✔ Un abonné peur Créer/supprimer de compte externe temporaire ;✔ État d’un utilisateur externe (accès, pas d'accès, retrait des fichiers, etc.) ;✔ Notification (par courriel) à l'attention de collaborateurs externe pour lui adresser l'URL d'accès, son couple
identifiant/mot de passe ;✔ LinShare peut-être couplé avec Thunderbird et Outlook.
✔
Groupe
3434
Quelques références
Quelques clients français :
-Direction générale de l’armement-Gendarmerie Nationale-S ociété Générale-GIE Cartes Bancaires-Ministère des Finances
Internationale, plus de 6000 références à travers le monde, donc
-General Motors (US A)
G
-AT&T (US A)
A
-ZhuHai Local Taxation Bureau (Chine)
Z
-Grupo S afa (Espagne)
G
-MediaCert (Portugal)
M
-Evaltec (Brésil)
)
-National S wedish Police Board (S uède)
N
LINAGORA
27 rue de Berri75008 PARIS
Tél. : 01 58 18 68 28Fax : 01 58 18 68 29
www.linagora.com | www.08000linux.com
UNE MATINEE POUR COMPRENDREL'Open Source au service de la Sécurité
Merci de votre attention
LINAGORA
27 rue de Berri75008 PARIS
Tél. : 01 58 18 68 28Fax : 01 58 18 68 29
www.linagora.com | www.08000linux.com
UNE MATINEE POUR COMPRENDREL'Open Source au service de la Sécurité
SSOl’authentification unique par
l’exempleClément OUDOT
Groupe
3737
Sommaire
✔ Présentation des systèmes SSO
✔ LinID Access Manager (LemonLDAP::NG)
✔ Vers la fédération des identités
Groupe
3838
Définition du WebSSO
✔ SSO signifie « Single Sign On », qui peut se traduire en français par « authentification unique ».
✔ L'objectif d'une architecture informatique SSO est qu'un utilisateur s'authentifie une première fois pour ouvrir sa session de travail et accède ensuite à toutes ses applications sans rentrer de nouveau son (ou ses) mot(s) de passe.
✔ Le SSO regroupe donc plusieurs fonctionnalités :✔ Couple identifiant/mot de passe unique✔ Transmission transparente des informations de session aux applications✔ Gestion des profils applicatifs, c'est-à-dire qui accède à quoi
✔ Le SSO n'empêche pas un utilisateur d'avoir plusieurs couples identifiant/mot de passe
Groupe
3939
Modes de SSO
✔ SSO par agent :✔ Un agent est installé sur le poste client✔ C'est l'agent qui intercepte les flux des applications et pousse les mots de
passe✔ Mode utilisé généralement pour les clients lourds, pas pour le WebSSO
✔ SSO par délégation :✔ Un agent est installé sur le serveur d'application✔ Cet agent intercepte les requêtes à destination de l'application, et redirige
l'utilisateur sur le portail si ce dernier n'a pas de session SSO active
✔ SSO par mandataire inverse (reverse-proxy) :✔ Le serveur d'application n'est pas accédé directement par les utilisateur, mais
seulement par le portail WebSSO✔ C'est le portail qui vérifie la session SSO de l'utilisateur et qui joue ensuite le
rôle de mandataire entre l'utilisateur et l'application
Groupe
4040
SSO par agent
Groupe
4141
SSO par délégation
Groupe
4242
SSO par mandataire inverse
Groupe
4343
Le procole HTTP
GET http://www.linagora.com HTTP/1.1Accept: text/htmlUser-Agent: Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.7.6)
HTTP/1.1 200 OKDate: Thu, 13 Mar 2008 15:05:29 GMTServer: ApacheContent-Length: 264Content-Type: text/html; charset=iso-8859-1
<?xml version="1.0" encoding="iso-8859-1" ?><!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"><html xmlns="http://www.w3.org/1999/xhtml" lang="fr" xml:lang="fr" dir="ltr"><head><title>Linagora, integrateur de reference sur le marche des logiciels libres</title>
....</html>
Groupe
4444
Présentation de LemonLDAP::NG
✔ LemonLDAP::NG est un ensemble de scripts et de modules Perl utilisés à travers mod_perl et le serveur HTTP Apache
✔ LemonLDAP::NG est un logiciel libre, membre de OW2 : http://www.ow2.org
✔ Le principe général est d'utiliser un annuaire LDAP pour :✔ authentifier l'utilisateur (vérification du mot de passe)✔ effectuer un contrôle d'accès (selon les attributs LDAP de l'utilisateur)✔ approvisionner les applications (par transmissions des attributs LDAP dans
les en-têtes HTTP)
✔ LemonLDAP::NG a été choisi pour le projet FederID et bénéficie d'une possibilité d'authentification Liberty Alliance
Groupe
4545
LinID Access Manager
Groupe
4646
Fonctionnement général
Groupe
4747
Capture d'écran : Manager
Groupe
4848
Capture d'écran : Portail d'authentification
Groupe
4949
Capture d'écran : Portail d'authentification
Groupe
5050
Capture d'écran : Portail d'authentification
Groupe
5151
Contenu du programme LemonLDAP::NG
✔ LemonLDAP fournit quatre types de modules Perl :✔ Lemonldap::NG::Portal : gestion des accès LDAP et de la création des
sessions✔ Lemonldap::NG::Handler : protection des hôtes virtuels et application des
règles d'accès✔ Lemonldap::NG::Manager : interface graphique de configuration✔ Lemonldap::NG::Common : configuration et fonctions partagées
✔ Ces modules doivent être instanciés dans des scripts Perl :✔ Une page d'accueil du portail, affichant un formulaire d'authentification ou la
liste des applications disponibles✔ L'application Manager permettant l'accès graphique à la configuration
✔ Sur chaque serveur protégé un module Handler doit également être instancié
Groupe
5252
Intégration d'une application
✔ Pré-requis :✔ Accès au code source et possibilité de le modifier✔ disposer d'un langage permettant la lecture des en-têtes HTTP
✔ Désactiver le formulaire d'authentification local
✔ Lire les en-têtes HTTP, en particulier celle fournissant l'identité de l'utilisateur
✔ Si nécessaire : associer l'identité de l'utilisateur à l'identité locale
✔ Si nécessaire : créer à la volée une entrée locale si inexistante
✔ Si nécessaire : désactiver la gestion locale des autorisations
Groupe
5353
Lecture des en-têtes en PHP<?php
//// Function to collect all headers//function getHeaders() { foreach ($_SERVER as $h => $v ) { if( ereg( 'HTTP_(.+)', $h, $hp ) ) $headers[$hp[1]] = $v ; } return $headers;}
// Call the function$headers = getHeaders() ;
// Print headersforeach ($headers as $k => $v) { echo "$k = $v<br/>\n" ;}
?>
headers.php
Groupe
5454
LinPKI et SSO
Groupe
5555
LinRA et SSO
✔ LinRA permet de délivrer des certificats aux utilisateurs, et d'offir des interfaces de management aux administrateurs
✔ LinRA peut maintenant s'appuyer sur LemonLDAP::NG pour :✔ Protéger l'accès à ses pages✔ Déterminer le rôle de l'utilisateur connecté✔ Lire les en-têtes pour remplir automatiquement la demande de certificat
Groupe
5656
Pourquoi la fédération des identités ?
✔ Il n'est pas toujours possible de centraliser toutes les informations dans un référentiel unique
✔ Le respect de la vie privée impose une scission des informations selon différents référentiels (personnel, professionnel, médical, etc.)
✔ Le partage de ces informations est ensuite possible au sein d'un cercle de confiance, ou entre cercles de confiance, mais toujours autorisé par l'utilisateur
Groupe
5757
Standards de fédération
✔ Plusieurs efforts de normalisation en parallèle :✔ Liberty Alliance : ID-FF, ID-WSF, ID-SIS✔ Shibboleth (Internet2)✔ WS-* (Microsoft)✔ SAML (OASIS)
✔ Vers une convergence des standards :✔ Shibboleth et Liberty Alliance adoptent une norme commune : SAML 2.0
Groupe
5858
Présentation de Liberty Alliance
✔ Fondé en 2001 par SUN et 13 autres partenaires
✔ Compte actuellement plus de 150 membres
✔ Objectifs :✔ Standard ouvert de fédération des identités✔ Respect de la vie privée dans l'espace numérique
Groupe
5959
Le consortium Liberty Alliance
Groupe
6060
Cercle de confiance liberty AllianceFournisseur de service
Fournisseur d'identitésFournisseur de service
Fournisseur d'attributs
InteractionsUtilisateur
Services Web
Groupe
6161
Fédération d'un compte
Groupe
6262
AnnuaireLDAP
CercleCercledede
confianceconfiance
Authentic
Fournisseurd'identités
Gestion decontenu[WUI]
Fournisseurd'attributs
[LAAP]
SSO &Autorisations
Fournisseurde service
ApplicationWeb
standard
ApplicationWeb
standard
Exemple d'architecture
LINAGORA
27 rue de Berri75008 PARIS
Tél. : 01 58 18 68 28Fax : 01 58 18 68 29
www.linagora.com | www.08000linux.com
UNE MATINEE POUR COMPRENDREL'Open Source au service de la Sécurité
MERCI DE VOTRE ATTENTION