Upload
clement-oudot
View
211
Download
0
Embed Size (px)
Citation preview
@SFLinux@clementoudot
Des logiciels libres pour la gestion des identités !
2@SFLinux@clementoudot
Clément OUDOT@clementoudot
http://sflx.ca/coudot
● Créé en 1999● >140 personnes● Montréal, Quebec, Toronto, Paris● ISO 9001:2004 / ISO 14001:2008● [email protected]
3@SFLinux@clementoudot
La gestion des identités
4@SFLinux@clementoudot
Définition
● Les gestion des identités s’attache au cycle de vie des comptes dans le système d’information :– Création
– Modification (renommage, changement de service, etc.)
– Suppression
● La gestion des identités est liée à la gestion des accès : terme IAM en anglais (Identity and Access Management)
5@SFLinux@clementoudot
Authentification , contrôle d’accès et libre-services
Référentiel des identités
Publication et gestion des identités
Synchronisation des identités
Les composants principaux d’un système de gestion des identités
6@SFLinux@clementoudot
Des logiciels libres
7@SFLinux@clementoudot
Une offre assez large
● Il existe de nombreux logiciels libres qui couvrent tout ou partie des composants nécessaires à un système de gestion des identités
● Pour faire son choix il faut analyser les fonctionnalités, les technologies utilisées, les licences, les aspects ergonomiques, la communauté…
● Liste non exhaustive de logiciels sur le forum Etalab : forum.etalab.gouv.fr
8@SFLinux@clementoudot
Attention !
La suite de cette présentation est complètement subjective
9@SFLinux@clementoudot
Référentiel des identités
10@SFLinux@clementoudot
OpenLDAP
● Licence BSD● C● Respect du standard LDAPv3● Haute performance et volumétrie● Configuration multi-maîtres● Politique des mots de passe● Ajouts de fonctionnalités par
overlays : groupes dynamiques, intégrité référentielle, appartenance aux groupes, contraintes sur les valeurs
11@SFLinux@clementoudot
LDAP Tool Box - OpenLDAP
● Paquets RPM ou Debian● Script de démarrage● Outils d’exploitation
(sauvegarde/restauration/indexation)
● Modules de contrôle de qualité du mot de passe
12@SFLinux@clementoudot
LDAP Tool Box - Supervision
● Greffons Nagios ou Cacti :– Temps de réponse– Statut de la réplication– Verrous sur les bases
BDB/HDB– Taux de remplissage des
bases MDB– Statistiques sur les
opérations
13@SFLinux@clementoudot
LDAP Tool Box - Audit
● Configuration pour ELK :– Analyse des différentes
opérations
– Mesure des performances
– Analyse des codes d’erreur
14@SFLinux@clementoudot
Synchronisation des identités
15@SFLinux@clementoudot
LDAP Synchronization Connector
● Licence BSD● Java● Paquets RPM ou Debian● Ajout, modification et suppression des
identités et groupes● Support des annuaires standards LDAPv3● Support de Samba 4 et Active Directory● Support bases de données et fichers CSV● Utilisation possible de scripts externes ou
API REST● Synchronisation des mots de passe et des
attributs de la politique des mots de passe
16@SFLinux@clementoudot
LSC – Phase « sync »
17@SFLinux@clementoudot
LSC – Phase « clean »
18@SFLinux@clementoudot
LSC – Exemple d’utilisation de code JS <forceValues> <string> <![CDATA[rjs: var membersSrcDn = srcBean.getDatasetValuesById("uniqueMember"); var membersDstDn = []; for (var i=0; i<membersSrcDn.size(); i++) { var memberSrcDn = membersSrcDn.get(i); var uid = ""; try { uid = srcLdap.attribute(memberSrcDn, "uid").get(0); } catch(e) { continue; } var destDn = ldap.search("ou=users,ou=demo", "(sAMAccountName=" + uid + ")"); if (destDn.size() == 0 || destDn.size() > 1) { continue; } var destMemberDn = destDn.get(0) + "," + ldap.getContextDn(); membersDstDn.push(destMemberDn); } membersDstDn ]]> </string> </forceValues>
19@SFLinux@clementoudot
Publication et gestion des identités
20@SFLinux@clementoudot
FusionDirectory
● Licence GPL● PHP● Paquets RPM ou Debian● Gestion des données de l’annuaire LDAP :
– Utilisateurs– Groupes– Machines– Comptes techniques– Organisations– Rôles
● Moteur d’autorisation permettant la délégation de la gestion des données
23@SFLinux@clementoudot
LDAP Tool Box – White Pages
● Licence GPL● PHP● Paquets RPM ou Debian● Publication des données de l’annuaire
LDAP « pages blanches » :– Recherche rapide– Recherche avancée– Trombinoscope
● Affichage des valeurs en fonction du type d’attribut
● Lien direct vers les fiches● Configuration de l’activation des différentes
fonctions● Personnalisation graphique
24@SFLinux@clementoudot
https://ltb-project.org/star-pages
25@SFLinux@clementoudot
Authentification, contrôle d’accès et libre-services
26@SFLinux@clementoudot
LemonLDAP::NG
● Licence GPL● Perl● Paquets RPM ou Debian● Portail d’authentification● Liste dynamique des applications● Fournisseur d’identités CAS, SAML et
OpenID Connect● Authentification Kerberos● Authentification sociale (Twitter, Facebook)● Authentification forte/multi-facteurs● Personnalisation graphique des interfaces
27@SFLinux@clementoudot
Historique
2003 2006 2010 2016
Création du projet
VersionNG
SAMLCAS
OpenID
OpenID Connect
28@SFLinux@clementoudot
Composants
CommonCommon
ManagerManager HandlerHandler
PortalPortal
Interface de configuration
Formulaires et menu
Protection des applications
31@SFLinux@clementoudot
Modules d'authentification
LDAPLDAPADAD
ApacheApache SAMLSAML
CASCAS RadiusRadius OpenIDOpenID
WebIDWebID
BrowserBrowserIDID
DBIDBI
YubikeyYubikey
32@SFLinux@clementoudot
Passerelle multi-protocoles
SAMLSAMLCASCAS
OpenID OpenID ConnectConnect
33@SFLinux@clementoudot
Fonctions libre-service
Changement Changement de mot de de mot de
passepasse
RéinitialisatiRéinitialisation de mot on de mot de passede passe
Création Création de de
comptecompte
34@SFLinux@clementoudot
LDAP Tool Box – Self Service Password
● Licence GPL● PHP● Paquets RPM ou Debian● Changement de mot de passe● Réinitialisation de mot de passe par
mail● Réinitialisation de mot de passe par
questions● Réinitialisation de mot de passe par
jeton (SMS)● Changement de clé SSH
36@SFLinux@clementoudot
Pour aller plus loin
37@SFLinux@clementoudot
http://www.openldap.org @openldaporg
https://ltb-project.org @LTB_Project
https://lsc-project.org @LSC_Project
https://www.fusiondirectory.org @fusiondirectory
https://lemonldap-ng.org @lemonldapng
38@SFLinux@clementoudot
Merci pour votre attention
Blog : http://slfx.ca/coudotTwitter : @clementoudot