Authentification unifiée Unix/Windows

(1)

Contexte du laboratoire Du cot ´e Linux Du cot ´e Windows Bilan et perspectives

Authentification unifi ´ee Unix/Windows

Benoit M ´etrot

Rencontres Mathrice - Octobre 2008

(2)

Plan

1 Contexte du laboratoire

2 Du cot ´e Linux

3 Du cot ´e Windows

4 Bilan et perspectives

(3)

Le laboratoire

Laboratoire de Math ´ematiques et Applications Unit ´e mixte de recherche (UMR-6086)

Situ ´e `a Poitiers Environ 70 personnes

(4)

Le parc informatique

Clients l ´egers (Neoware) PCs fixes

Ordinateurs portables (pr êts pour expos és/s éminaires) Les syst èmes d’exploitation

Debian GNU/Linux

Quelques Windows XP (portables)

(5)

L’existant (mars 2008)

Authentification des utilisateurs via un annuaire LDAP Sessions interactives (SSH)

Messagerie ´electronique Intranet

...

Domaine SAMBA pour g ´erer les clients Windows et le serveur d’applications Windows (TSE)

(6)

L’existant (mars 2008)

Authentification des utilisateurs via un annuaire LDAP Sessions interactives (SSH)

Messagerie ´electronique Intranet

...

Domaine SAMBA pour g ´erer les clients Windows et le serveur d’applications Windows (TSE)

(7)

Pourquoi changer ?

Chaque modification dans l’annuaire LDAP impose une saisie de mot de passe

Le mot de passe n’est pas compl `etement unifi ´e (mot de passe Linux6=mot de passe Windows)

Les utilisateurs doivent saisir leur mot de passe à chaque acc ès à un serveur (noeud de calcul, d ép ôt des pages web)

Pas de comptes individuels sur les portables (comptes g ´en ´eriques)

(8)

Objectifs

Mettre en place une SSO transparente (sans cl é SSH) Mise en place du nouveau serveur de fichiers avec s écurisation des montages NFS à destination des PCs Linux

Pouvoir utiliser les fonctionnalit ´es d’un domaine Windows pour l’administration des clients (GPO)

Avoir un vrai mot de passe unique

(9)

Plan

2 Du cot ´e Linux

(10)

Annuaire OpenLDAP

Base d’identification des utilisateurs (nom, pr ´enom, login, attributs POSIX...) :

Acc `es en anonyme via les biblioth `eques NSS Chiffrage des communications avec SSL

R ´eplication de l’annuaire via l’overlay d’OpenLDAP Authentification via Kerberos des replicas vis `a vis du maˆıtre

L’arbre LDAP dc=labo,dc=prive est divis ´e en deux branches : ou=people pour les utilisateurs

ou=groups pour les groupes

(11)

Kerberos

Qu’est ce donc ?

Kerberos est un protocole d’authentification r éseau qui ne fait pas transiter les mots de passe sur le r éseau, m ême crypt és.

→Kerberos, the definitive guide- Jason Garman - O’Reilly

(12)

Kerberos

Qu’est ce donc ?

Kerberos est un protocole d’authentification r éseau qui ne fait pas transiter les mots de passe sur le r éseau, m ême crypt és.

→Kerberos, the definitive guide- Jason Garman - O’Reilly

(13)

Les fichiers utilisateurs

Les machines Linux montent le /home via NFSv4

Montage authentifi é par Kerberos (option sec=krb5i) S écurit é des donn ées

Root n’a pas acc `es au /home

→Attention `a l’expiration du ticket Kerberos

(14)

Les fichiers utilisateurs

Les machines Linux montent le /home via NFSv4

Montage authentifi é par Kerberos (option sec=krb5i) S écurit é des donn ées

Root n’a pas acc `es au /home

→Attention `a l’expiration du ticket Kerberos

(15)

Configuration d’un client Linux

1 Cr ´eation d’unprincipal Kerberos sur le KDC (host/[email protected])

2 Cr ´eation d’unekeytabdepuis le KDC et copie dans /etc/krb5.keytab

3 Installation des librairies Kerberos (MIT), du module pam krb5.so, et modules GSSAPI

(libsasl2-modules-gssapi-mit)

4 D ´efinition des param `etres dans /etc/krb5.conf Nom du royaume Kerberos

Adresses des KDC

Dur ´ee de vie et de renouvellement des tickets

Mise en place du montage NFSv4 pour /home (idmapd,

(16)

Plan

2 Du cot ´e Linux

(17)

Domaine Active Directory

Regroupe les machines et les utilisateurs du monde Windows

Centralise l’authentification

Permet d’appliquer des strat ´egies sur les postes (GPO) ...

Bref, c’est cens ´e faciliter l’administration d’un parc Windows

(18)

Domaine Active Directory

Regroupe les machines et les utilisateurs du monde Windows

Centralise l’authentification

Permet d’appliquer des strat ´egies sur les postes (GPO) ...

Bref, c’est cens ´e faciliter l’administration d’un parc Windows

(19)

Configuration du domaine Active Directory

DNS

Pour éviter de polluer levrai DNS, le contr ôleur de domaine fait office de serveur DNS. Un nom de domaine priv é (du type 2003-labo.prive) est utilis é pour éviter les conflits.

Approbation de domaines

L’approbation de domaines permet aux utilisateurs Kerberos d’ouvrir une session sur le domaine Windows. Cependant, chaqueprincipal Kerberos doit ˆetre mapp ´e avec un compte utilisateur d’Active Directory.

(20)

Les fichiers

H ´eberg ´es sur le NAS du Labo

Distribu és par SAMBA qui est int égr é au domaine Correspondance des UID Linux et SID Windows par Winbindd

→Cr ´eation d’une partition dans Active Directory pour stocker cette correspondance

(21)

Sch ´ema global d’int ´egration

Filer samba/nfs

Controleur AD LDAP KDC

Authentification

Fichiers (Z:)

UID et GUID Unix (libnss−ldap)

Alimentation de la base d’utilisateurs Active directory

(Perl/VBScript) uid/gid <=> sid

(Winbindd)

Stratégies, impressions...

Domaine Kerberos − KRB−LABO.PRIVE

High Disk Speed

(22)

Contrainte suppl ´ementaire

Toutes les machines du domaines doivent avoir la

connaissance du royaume Kerberos et notamment du KDC.

Commandeksetup.exe¹:

ksetup.exe /AddKdc KRB-LABO.PRIVE kdc.priv.domain.tld

(23)

Plan

2 Du cot ´e Linux

(24)

Cr ´eation d’un compte

1 Cr ´eation d’une fiche dans l’annuaire LDAP

2 Cr ´eation duprincipal Kerberos dans le KDC

3 Cr ´eation du home directory sur le NAS

4 Cr ´eation d’un utilisateur dans Active Directory avec un mot de passe al ´eatoire

5 Mappage du principal Kerberos avec le compte Active Directory

6 Enregistrement de la correspondance uidNumber/SID

(25)

Cr ´eation d’un compte

1 Cr ´eation d’une fiche dans l’annuaire LDAP

2 Cr ´eation duprincipal Kerberos dans le KDC

3 Cr ´eation du home directory sur le NAS

4 Cr ´eation d’un utilisateur dans Active Directory avec un mot de passe al ´eatoire

5 Mappage du principal Kerberos avec le compte Active Directory

6 Enregistrement de la correspondance uidNumber/SID

→Scriptable avec Perl et VBScript

(26)

Ce que cela apporte

Un vrai mot de passe unique Les premi `eres briques d’une SSO

L’usage des comptes utilisateurs sur les portables

hors-connexion (Sous Windows avec un profil temporaire) L’usage des GPO sous Windows et notamment la

redirection des dossiers pour diminuer la taille des profils itin ´erants

Un montage NFS du /home s ´ecuris ´e sur les clients Linux

(27)

Difficult ´es rencontr ´ees

Transfert des mots de passe de l’annuaire LDAP dans Kerberos

Mise en route de Kerberos et int ´egration du NAS au domaine AD

Changement du SID lors de la migration domaine SAMBA

→Active Directory (ruche NTUSER.DAT)

(28)

Il reste `a...

Automatiser la cr ´eation des comptes Active Directory Trouver un moyen de rendre inactif l’ouverture de session avec les comptes Active Directory

Rendre disponible hors-connexion l’acc `es aux comptes utilisateurs sous Linux

D ´eployer une SSO compl `ete : services WEB, messagerie