[[TutoJres13]]
Trace: SSO CAS Samba 4 DC Titre : Design et refonte d’architectures virtualisées pour des expérimentations réseaux
Show pageOld revisions
AdminRecent ChangesSitemap

* ancien site

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Next revision 		Previous revision
docpublic:info:2010-05-25-tutojres13 [2010/05/25 20:09]
PROCACCIA created 		docpublic:info:2010-05-25-tutojres13 [2010/05/25 20:30] (current)
PROCACCIA
Line 4: Line 4:
  
 http://www.jres.org/tuto/tuto13/index http://www.jres.org/tuto/tuto13/index
 +
 +ci-dessous, mes notes à la volée
 +
 +===== Etat de l'art en matière d'authentification, Emmanuel Blindauer =====
 +
 +LCEN decret 2006-358 24 Mars 2006 => identifié toute personne utilisant des reseaux electroniques
 +
 +auth basic: 1 token = login/password
 +auth forte: 2 token = password + clé usb
 +
 +je suis une personne et je le prouve => authN
 +puis-je acceder a un service -> info fonctionnelle decorelée des token d'authN, c'est alors de l'authZ
 +
 +Techniques:
 +70's flat file unix /etc/passwd, chiffrement crypt
 +puis shadow file, md5 et sha1
 +80 et + NIS, NIS+, modele RPC moyen
 +appel system coherent 'getent' et nsswitch.conf
 +Ldap modele client serveur tres rependu, nscd cache de getent
 +Hesiod stockage en udp dans le DNS, mais pas de succes
 +Kerberos MIT, univ US, AD, seulement de l'authentification,  pas gid uid ... pas de fonctionnel !
 +
 +Crypt md5 sha1 smd5 ssha1 => pas moyen de decrypter, verification par concordance de la chaine chiffrée
 +LMHASH chiffrement ancien lanMan, jusqu'a XP
 +NTLM(v1) lmhash et nthash pour le transition vite abandoné
 +NTLM(v2) windows 2000, hash qui deduis le nom de domaine windows d'où l'incompatibilité Windows Linux
 +SAM fichier verouillé stoké en tant que base de registre
 +
 +kerberos contrainte au nom de domaine DNS
 +Ldap pgina pour windows
 +NTML samba pour linux
 +autre (radius, CAS, mysql etc ....) souvent pb pr windows.
 +
 +info fonctionnelle; uid , SID, home, autorisations
 +stocker les info dans chaque systemes (uid vs SID)  et deporter l'authentification
 +
 +samba / winbind
 +pam_winbind: auth NTML/kerberos mapper les users AD et unix, depuis des SID créer des uid unix
 +idmap.tbd ou ldap avec ou=Idmap ou AD via SFU
 +
 +MacOS X: integration forte  openLDAP et MIT kerberos, apple password server SASL
 +
 +linux 
 +PAM authN
 +NSS info fonctionnelle
 +
 +Windows: Gina jusqu'a XP
 +vista, Seven : pgina 2 (c#) credential provider
 +NTLM desactivé dans vista et successeur, DES descativé en 2008R2 pb pour NFSv4 ...
 +auth 802.1X ?
 +evolution web avec 1) openID (google live, facebook, twitter ...), 2) liberty Alliance SAML , 3) shibboleth
 +WS federation
 +Oauth (google / Yahoo)
 +
 +===== Kerberos et interopérabilité Guillaume Rousse =====
 +
 +Kerberos => protocole d'authentification (exclusivement authN slt) securisé de type SSO (pour tout service "kerberisé" ....)
 +kerberos 4 fin année 80 utilisé au sein d'AFS
 +kerberos 5 specifié (RFC 1510 puis 3961 en 2005) en 93. RFC 4121 GSSAPI inclu kerberos portable . SPNEGO specifie l'auth exp kerberos au sein de GSSAPI. 
 +Royaume kerberos, en general nom.royaume = domaine.dns
 +principal entité de personne ou machine, exp  user@royaume
 +KDC ,serveur de base des principaux, authentifie les users et distribue les clés pour le sso.
 +KDC contient un secret partagé avec les users
 +client -> 1 AS-req (horodatage + CPN)
 +server 2 clés de reponse AS-rep
 +le client a une clée de session et une autre clée opaque TGT, ticket maitre qui sert a obtenir d'autres tickets .
 +ensuite Service Principal Name, le preuve d'identité du client est le TGS, le serveur renvoie un Service Ticket.
 +pas de dialogue entre le service et le KDC directement, le service doit accepter les ST .
 +le mot de passe sert a dechiffrer ce que le serveur d'auth lui envoie, pas de transfert sur le reseau.
 +dans les tickets se trouvent l'adresse IP du client et un horodatage.
 +initialement pre-authentification necessaire. L'utilisateur chiffre avec son password une estampille temporelle qui permet d'authentifié l'utilisateur .
 +
 +autre possibilité => simple validation de mot de passe, envoie password au service qui lui va valider aupres du KDC, mais pas de ticket avec le client -> pas de securité totale ! (exp pam_kerberos)
 +
 +Services: NFSv4 (v3 backport), CIFS, openssh, telnet , session locale (pam, windows), 
 +support GSSAPI ftp proftpd, mail dovecot, puis SASL (openldap, postfix etc ...)
 +3 implementations: 
 +   * MIT projet athena, 
 +   * Heimdal (suede pour repondre initialement aux pb de crypto US) utilisée pour le suport kerberos dans samba4
 +   * Microsoft, depuis windows 2000, extension protocole PAC (pam + nss en un seul coup)
 +
 +
 +Linux client cli (kinit, klist ...) , client graphique et enfin pam
 +
 +MacOS implementation MIT, integration graphique native
 +
 +Windows support keberos integré a AD, mais n'accepte pas de ticket d'un autre domaine que le sien (AD !) 
 +
 +algo chiffrement, Kerberos4 slt DES, puis en 5 plus de DES => AES, RC4, 3DES ... (NFS slt DES !)
 +Microsoft 2000 DES, 2003R2 RC4, 2008 AES
 +
 +===== Samba 3 et 4 =====
 +UMR cnrs,cea,univ
 +
 +MAster ldap -> LAM (ldap Account Manager)
 +3.5.3 et branche 4.0 alpha11
 +Seven, il faut revoir des choses.
 +l'User Account Control, panneau de conf, system&secu, centre de maintenance, modifier les parametre de contole user !
 +reecriture complete de la couche CIFS et integration AD
 +microsoft a été condamné a specifié CIFS, donc pas de reverse enginering, mais vrai implementation CIFS
 +le support AD est pas mal, mais en revanche la reecriture de CIFS n'est pas finie
 +
 +===== FreeIPA Jérôme Fenal =====
 +
 +FReeIPA de redhat (jerome Fenal RH)
 +projet debut 2007, "produit" communautaire genre fedora
 +IPA v1 1.9 , 389DS, MIT Kerberos , NTP, synchro AD, interface utilisateur (style LAM)
 +IPA v2 dogtag Certificate Server => relation SSL entre agent et serveur, gestion de l'identité des machines
 +installation en 5mn (yum install ipa-server)
 +nss-ldap, pam-ldap 15 an ! necessité d'un compte local sur poste nomade.
 +sssd remplacement de nss et pam ldap. connexion avec un cache de credential meme si deconnecté. introduit dans fedora11: www.freeipa.org
 +
 +===== Retours d'expériences François Dagorn, Pascal Aubry =====
 +
 +UFR rennes1
 +passage de XP a seven
 +depuis vista plus de GINA !
 +credential provider sources diffusés par microsoft (c++)
 +rennes a ecris un credential provider "Regina"(developpement IFSIC), puis Pginav2 qui est aussi un credential provider est sortie
 +pourquoi de l'authentification ldap ! on envoie de mot de passe en clair au serveur :-( 
 +certes pam_ldap peut faire du ldaps. idem sur cups, cups peux faire du ldaps, mais entre le client et le serveur cups le mdp est en clair . idemp smb et ldap ou serveur de fichier netapp
 +cain & abel => empoisenement arp sur le reseau, verifier aussi les produits avec wireshark !
 +cf articles jres blinduer et pascal levy pantheon sorbonne  (jres de nantes)
 +si kerberos -> comment recuperer les principal -> migration
 +Quand a-t-on le mdp en clair ?:
 +pam_krb5, outil dedier, mail ou CAS => choix de cas
 +modification de CAS <-> handler wrapper avant le handler ldap, esperence d'avoir en ~2mois tous les comptes users dans le KDC .
 +arguments => securisation + SSO !
  
  
docpublic/info/2010-05-25-tutojres13.1274818140.txt.gz · Last modified: 2010/05/25 20:09 by PROCACCIA
Show pageOld revisions
[unknown link type]Back to top
CC Attribution-Noncommercial-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0