190 likes | 281 Views
Gestion des identités et services authentifiés. mécanismes Bordeaux1 et retours d’expériences. Mars 2003 – Le contexte. Existence de multiples applications avec leur propre référentiel (intranet, messageries, accès stations Unix/W2k, service ftp…)
E N D
Gestion des identités et services authentifiés mécanismes Bordeaux1 et retours d’expériences Table ronde RAISIN - Unification des mots de passe
Mars 2003 – Le contexte • Existence de multiples applications avec leur propre référentiel (intranet, messageries, accès stations Unix/W2k, service ftp…) • Pas d’unicité de l’identifiant ni du mot de passe dans toutes ces applications • Multiplication par individu des couples identifiant/mot de passe Table ronde RAISIN - Unification des mots de passe
Conséquences • l'utilisateur face à des comptes informatiques multiples, problème d'ergonomie et de sécurité également (mot de passe communiqué ou écrit quelque part). • Difficulté des administrateurs pour assurer la cohérence et la validité de l'ensemble des bases utilisateurs. • Référencement des individus multiplié, temps de gestion allongés et beaucoup de temps perdu Table ronde RAISIN - Unification des mots de passe
LA Contrainte • Pas de moyen évident pour fédérer toutes les applications authentifiés autour d’un seul référentiel ou outil d’authentification • pas toujours de support natif pour tous les backend NIS/AD/LDAP/SQL … • pas toujours possible de tout interfacer avec des mécanismes ou protocoles d’authentification genre Pam, CAS, Kerberos, Sasl, … • le format des mots de passe peut aussi poser problème Table ronde RAISIN - Unification des mots de passe
Principes retenus • Référencer tous les acteurs de l’établissement (Étudiants, Personnels, Partenaires) • Offrir aux services numériques les moyens de reconnaître et identifier les individus • Seuls les usagers recensés dans l’annuaire peuvent être authentifiés par les services numériques • Assurer l'unicité de l’identifiant d'une personne et d’un seul mot de passe personnel • Permettre à l’utilisateur de changer librement son MDP Table ronde RAISIN - Unification des mots de passe
Gérer les services • Gestion des autorisations • Gestion du cycle de vie d’une application : création,destruction,activation,désactivation • Gestion des paramètres et préférences des utilisateurs (répertoire d’accueil, préférences imp/horde, …) • Offrir des mécanisme d’unification et de synchronisation des mots de passe et identifiants Table ronde RAISIN - Unification des mots de passe
Architecture logique Table ronde RAISIN - Unification des mots de passe
Composition de l’interface • Une structure de données qui reflète l’architecture logique : choix d’un annuaire LDAP (bon choix ,effet de mode, facilité de mise en oeuvre ???) • Chaque service est une vue représentée par une OU (sens LDAP) • Chaque OU ‘service’ est constituée d’un conteneur de gestion des comptes • Chaque entrée dans le conteneur de comptes du service représente un utilisateur et instancie des objets constitués : • D’attributs obligatoires pour la gestion du cycle de vie et l’unification login/passwd • D’attributs optionnels (choisis et gérés par l’administrateur de l’appli) pour les paramètres du service si exploitation native • L’authentification de chaque service peut s’appuyer nativement (bind LDAP ) ou non sur le couple login/passwd de l’entrée Table ronde RAISIN - Unification des mots de passe
Conditions de fonctionnement • Le MDP ‘en clair’ n’est jamais connu du gestionnaire de l’application • Si utilisation non native (pas de bind LDAP direct ou indirect ) du couple login/passwd , le MDP est encodé ou crypté selon les besoins de l’application • Le changement de MDP n’est plus autorisé depuis les outils locaux de l’application (yppasswd NIS, Ctrl-Alt-Sup W2K, passwd de Horde, …) • Le changement de MDP toujours réalisé depuis une IHM Web • La synchronisation est toujours réalisée à l’initiative d’agents de propagation de l’annuaire seuls à connaître le mdp en ‘clair’ (encodage réversible en fait) Table ronde RAISIN - Unification des mots de passe
Architecture Physique et structure de données : ‘le couteau suisse’ Table ronde RAISIN - Unification des mots de passe
Application support LDAP non natif Table ronde RAISIN - Unification des mots de passe
Application support LDAP natif Table ronde RAISIN - Unification des mots de passe
Changement de MDP : quand ? • A l’initiative de l’utilisateur : • Changement volontaire • Perte de mot de passe • A la déclaration d’un nouvel utilisateur autorisé (moteur d’attribution) • Eviter de lui demander de changer de MDP !!! Table ronde RAISIN - Unification des mots de passe
LES ECHANGES Table ronde RAISIN - Unification des mots de passe
Bilan V0 – mai 2004 • Positif : • unification réussie identifiant/mot de passe • support de n’importe quelle application • Utilisateurs familiarisés et plutôt satisfaits • Négatif : • structure de données lourde • mécanismes de propagation parfois longs • de trop fortes charges lectures/écritures LDAP concurrentes Table ronde RAISIN - Unification des mots de passe
Et demain la V2 ? • Disposer d’un workflow complet de gestion des entrées dans l’annuaire PB et des services autorisés • Prendre en compte la notion d’invite très temporaire (sans référencement PB obligatoire) • Revoir la structure de données de l’interface de gestion des services • Ne plus stocker ‘en clair’ (réversible) les mots de passe dans l’annuaire • Distinguer applis Web (gestion des autorisations seulement , SSO CAS pour l’authentif) et non Web (propagation des identifiants et mdp ou support LDAP natif) • Solutions commerciales : Microsoft Identity Integration Server , Sun Java Identity Manager , Novell Identity Manager Table ronde RAISIN - Unification des mots de passe
La V2 Table ronde RAISIN - Unification des mots de passe
La V2 … suite Table ronde RAISIN - Unification des mots de passe
Les application recensées/à venir • Intranet • messagerie étudiants et personnels • NIS Agen • Unix/W2K CREMI • Unix/W2K LSI • NIS CRMT • portail captif Wifi et amphis • portail webproxy du SCD • FTP iut Bx1 • Ulysse • comptes/postes sous AD des personnels administratifs, • comptes/postes sous AD d’un Dpt Iut Bx1 Table ronde RAISIN - Unification des mots de passe