TutoJres13

reference

http://www.jres.org/tuto/tuto13/index

ci-dessous, mes notes à la volée

Etat de l'art en matière d'authentification, Emmanuel Blindauer

LCEN decret 2006-358 24 Mars 2006 ⇒ identifié toute personne utilisant des reseaux electroniques

auth basic: 1 token = login/password auth forte: 2 token = password + clé usb

je suis une personne et je le prouve ⇒ authN puis-je acceder a un service → info fonctionnelle decorelée des token d'authN, c'est alors de l'authZ

Techniques: 70's flat file unix /etc/passwd, chiffrement crypt puis shadow file, md5 et sha1 80 et + NIS, NIS+, modele RPC moyen appel system coherent 'getent' et nsswitch.conf Ldap modele client serveur tres rependu, nscd cache de getent Hesiod stockage en udp dans le DNS, mais pas de succes Kerberos MIT, univ US, AD, seulement de l'authentification, pas gid uid … pas de fonctionnel !

Crypt md5 sha1 smd5 ssha1 ⇒ pas moyen de decrypter, verification par concordance de la chaine chiffrée LMHASH chiffrement ancien lanMan, jusqu'a XP NTLM(v1) lmhash et nthash pour le transition vite abandoné NTLM(v2) windows 2000, hash qui deduis le nom de domaine windows d'où l'incompatibilité Windows Linux SAM fichier verouillé stoké en tant que base de registre

kerberos contrainte au nom de domaine DNS Ldap pgina pour windows NTML samba pour linux autre (radius, CAS, mysql etc ….) souvent pb pr windows.

info fonctionnelle; uid , SID, home, autorisations stocker les info dans chaque systemes (uid vs SID) et deporter l'authentification

samba / winbind pam_winbind: auth NTML/kerberos mapper les users AD et unix, depuis des SID créer des uid unix idmap.tbd ou ldap avec ou=Idmap ou AD via SFU

MacOS X: integration forte openLDAP et MIT kerberos, apple password server SASL

linux PAM authN NSS info fonctionnelle

Windows: Gina jusqu'a XP vista, Seven : pgina 2 (c#) credential provider NTLM desactivé dans vista et successeur, DES descativé en 2008R2 pb pour NFSv4 … auth 802.1X ? evolution web avec 1) openID (google live, facebook, twitter …), 2) liberty Alliance SAML , 3) shibboleth WS federation Oauth (google / Yahoo)

Kerberos et interopérabilité Guillaume Rousse

Kerberos ⇒ protocole d'authentification (exclusivement authN slt) securisé de type SSO (pour tout service “kerberisé” ….) kerberos 4 fin année 80 utilisé au sein d'AFS kerberos 5 specifié (RFC 1510 puis 3961 en 2005) en 93. RFC 4121 GSSAPI inclu kerberos portable . SPNEGO specifie l'auth exp kerberos au sein de GSSAPI. Royaume kerberos, en general nom.royaume = domaine.dns principal entité de personne ou machine, exp user@royaume KDC ,serveur de base des principaux, authentifie les users et distribue les clés pour le sso. KDC contient un secret partagé avec les users client → 1 AS-req (horodatage + CPN) server 2 clés de reponse AS-rep le client a une clée de session et une autre clée opaque TGT, ticket maitre qui sert a obtenir d'autres tickets . ensuite Service Principal Name, le preuve d'identité du client est le TGS, le serveur renvoie un Service Ticket. pas de dialogue entre le service et le KDC directement, le service doit accepter les ST . le mot de passe sert a dechiffrer ce que le serveur d'auth lui envoie, pas de transfert sur le reseau. dans les tickets se trouvent l'adresse IP du client et un horodatage. initialement pre-authentification necessaire. L'utilisateur chiffre avec son password une estampille temporelle qui permet d'authentifié l'utilisateur .

autre possibilité ⇒ simple validation de mot de passe, envoie password au service qui lui va valider aupres du KDC, mais pas de ticket avec le client → pas de securité totale ! (exp pam_kerberos)

Services: NFSv4 (v3 backport), CIFS, openssh, telnet , session locale (pam, windows), support GSSAPI ftp proftpd, mail dovecot, puis SASL (openldap, postfix etc …) 3 implementations:

  • MIT projet athena,
  • Heimdal (suede pour repondre initialement aux pb de crypto US) utilisée pour le suport kerberos dans samba4
  • Microsoft, depuis windows 2000, extension protocole PAC (pam + nss en un seul coup)

Linux client cli (kinit, klist …) , client graphique et enfin pam

MacOS implementation MIT, integration graphique native

Windows support keberos integré a AD, mais n'accepte pas de ticket d'un autre domaine que le sien (AD !)

algo chiffrement, Kerberos4 slt DES, puis en 5 plus de DES ⇒ AES, RC4, 3DES … (NFS slt DES !) Microsoft 2000 DES, 2003R2 RC4, 2008 AES

Samba 3 et 4

UMR cnrs,cea,univ

MAster ldap → LAM (ldap Account Manager) 3.5.3 et branche 4.0 alpha11 Seven, il faut revoir des choses. l'User Account Control, panneau de conf, system&secu, centre de maintenance, modifier les parametre de contole user ! reecriture complete de la couche CIFS et integration AD microsoft a été condamné a specifié CIFS, donc pas de reverse enginering, mais vrai implementation CIFS le support AD est pas mal, mais en revanche la reecriture de CIFS n'est pas finie

FreeIPA Jérôme Fenal

FReeIPA de redhat (jerome Fenal RH) projet debut 2007, “produit” communautaire genre fedora IPA v1 1.9 , 389DS, MIT Kerberos , NTP, synchro AD, interface utilisateur (style LAM) IPA v2 dogtag Certificate Server ⇒ relation SSL entre agent et serveur, gestion de l'identité des machines installation en 5mn (yum install ipa-server) nss-ldap, pam-ldap 15 an ! necessité d'un compte local sur poste nomade. sssd remplacement de nss et pam ldap. connexion avec un cache de credential meme si deconnecté. introduit dans fedora11: www.freeipa.org

Retours d'expériences François Dagorn, Pascal Aubry

UFR rennes1 passage de XP a seven depuis vista plus de GINA ! credential provider sources diffusés par microsoft (c++) rennes a ecris un credential provider “Regina”(developpement IFSIC), puis Pginav2 qui est aussi un credential provider est sortie pourquoi de l'authentification ldap ! on envoie de mot de passe en clair au serveur :-( certes pam_ldap peut faire du ldaps. idem sur cups, cups peux faire du ldaps, mais entre le client et le serveur cups le mdp est en clair . idemp smb et ldap ou serveur de fichier netapp cain & abel ⇒ empoisenement arp sur le reseau, verifier aussi les produits avec wireshark ! cf articles jres blinduer et pascal levy pantheon sorbonne (jres de nantes) si kerberos → comment recuperer les principal → migration Quand a-t-on le mdp en clair ?: pam_krb5, outil dedier, mail ou CAS ⇒ choix de cas modification de CAS ↔ handler wrapper avant le handler ldap, esperence d'avoir en ~2mois tous les comptes users dans le KDC . arguments ⇒ securisation + SSO !

docpublic/info/2010-05-25-tutojres13.txt · Last modified: 2010/05/25 20:30 by PROCACCIA
CC Attribution-Noncommercial-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0