intégration linux dans active directory
DESCRIPTION
Intégration Linux dans Active Directory. Pascal Sauliere Consultant Principal Sécurité Microsoft France. Avant de commencer…. Cette session avec la démo disponible prochainement sur le site « interop » : http://www.microsoft.com/france/interop. Référence. - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: Intégration Linux dans Active Directory](https://reader036.vdocuments.mx/reader036/viewer/2022062301/56815b54550346895dc9342d/html5/thumbnails/1.jpg)
Pascal SauliereConsultant Principal SécuritéMicrosoft France
Intégration Linux dansActive Directory
![Page 2: Intégration Linux dans Active Directory](https://reader036.vdocuments.mx/reader036/viewer/2022062301/56815b54550346895dc9342d/html5/thumbnails/2.jpg)
Avant de commencer…
Cette session avec la démo disponible prochainement sur le site « interop » :
http://www.microsoft.com/france/interop
![Page 3: Intégration Linux dans Active Directory](https://reader036.vdocuments.mx/reader036/viewer/2022062301/56815b54550346895dc9342d/html5/thumbnails/3.jpg)
Référence
Windows Security and Directory Services for UNIX Guide
Download Center: http://go.microsoft.com/fwlink/?linkid=36975
TechNet online: http://go.microsoft.com/fwlink/?linkid=68104
![Page 4: Intégration Linux dans Active Directory](https://reader036.vdocuments.mx/reader036/viewer/2022062301/56815b54550346895dc9342d/html5/thumbnails/4.jpg)
![Page 5: Intégration Linux dans Active Directory](https://reader036.vdocuments.mx/reader036/viewer/2022062301/56815b54550346895dc9342d/html5/thumbnails/5.jpg)
Objectif et vision
Objectif : intégrer Linux dans Active Directory
Identifier les différents moyensComment décider de la solution adaptée à l’environnement
Vision :Chaque utilisateur a une et une seule identité et un mot de passe pour accéder à tous les services disponibles, une fois authentifié (SSO ?)Toutes les informations d’un utilisateur relatives à la sécurité sont stockées dans un seul endroit
![Page 6: Intégration Linux dans Active Directory](https://reader036.vdocuments.mx/reader036/viewer/2022062301/56815b54550346895dc9342d/html5/thumbnails/6.jpg)
Définitions
Authentification : action de prouver qu’un Principal est vraiment l’entité qu’il prétend être
Principal : un participant dans une interaction, identifiable de manière unique – utilisateur, hôte, service
Autorisation : action de déterminer quelles actions un Principal peut effectuer dans un contexte donné
AuthZ Store : Stockage des données sur les Principaux nécessaires pour effectuer les autorisations
![Page 7: Intégration Linux dans Active Directory](https://reader036.vdocuments.mx/reader036/viewer/2022062301/56815b54550346895dc9342d/html5/thumbnails/7.jpg)
Approches
Converger vers un annuaire uniqueUne identité, un mot de passe, en un seul endroitNécessite des standards de l’industrieWindows nécessite Active Directory
Conserver l’infrastructure existanteSeul Kerberos v5 supportéCe n’est pas « en un seul endroit, » mais presque
Synchroniser, interopérer« Un mot de passe, » mais pas « une identité »Plus complexe
![Page 8: Intégration Linux dans Active Directory](https://reader036.vdocuments.mx/reader036/viewer/2022062301/56815b54550346895dc9342d/html5/thumbnails/8.jpg)
Cinq solutions valides
1. AD/Kerberos pour authentification uniquement2. AD/Kerberos pour authentification et AD/LDAP
pour autorisations3. AD/LDAP pour authentification uniquement4. AD/LDAP pour authentification et autorisations5. Relation d’approbation entre AD/Kerberos et
Kerberos UNIX pour authentification uniquement
L’approche recommandée est la solution 2
![Page 9: Intégration Linux dans Active Directory](https://reader036.vdocuments.mx/reader036/viewer/2022062301/56815b54550346895dc9342d/html5/thumbnails/9.jpg)
Utilisation de l’existant
Solution 5Prérequis : Kerberos V5 en place
En général un seul royaume (realm)Architecture de domaine pas trop complexe
Kerberos V5 sous UNIX supporte une hiérarchie de confiance dans une forêt (avec quelques efforts)Relations d’approbation inter-forêts délicates
Nécessite AD/AM pour les informations d’autorisation Windows pour les utilisateurs UNIX
![Page 10: Intégration Linux dans Active Directory](https://reader036.vdocuments.mx/reader036/viewer/2022062301/56815b54550346895dc9342d/html5/thumbnails/10.jpg)
Pourquoi n’intégrer que l’authentification ?
Solutions 1 (Kerberos) et 3 (LDAP)Solution existante pour les autorisationsDemi-solution :
Réduit le nombre d’identitésConserve les autorisations existantes
Solution acceptable pour le « deprovisioning »
![Page 11: Intégration Linux dans Active Directory](https://reader036.vdocuments.mx/reader036/viewer/2022062301/56815b54550346895dc9342d/html5/thumbnails/11.jpg)
Authentification LDAP ?
Certaines plateformes ne supportentpas Kerberos
Applications (composants web)Ne pas confondre avec solutions de fédération
Il s’agit d’un scénario interneLDAP n’a pas été conçu comme un protocole d’authentification
Nécessite des précautions pour éviter les mots de passe en clair (SSL/TLS)
Limitations en performance et évolutivité« L’authentification » LDAP est un bind LDAP
La seule preuve de l’identité est une connexion LDAP établiePas de transitivité de l’identité
![Page 12: Intégration Linux dans Active Directory](https://reader036.vdocuments.mx/reader036/viewer/2022062301/56815b54550346895dc9342d/html5/thumbnails/12.jpg)
Solution recommandée
Solution 2Authentification KerberosLDAP pour les autorisations
Consolidation de l’annuaire, création/suppression ((de)provisioning) simplifiées, mot de passe unique, stratégie commune…Utilise les protocoles et services tels qu’ils ont été conçusDes produits commerciaux existent :
Quest (Vintela Authentication Service)Centrify (DirectControl)
![Page 13: Intégration Linux dans Active Directory](https://reader036.vdocuments.mx/reader036/viewer/2022062301/56815b54550346895dc9342d/html5/thumbnails/13.jpg)
Ouverture de session UNIX
login récupère username, passwordlogin appelle PAM pour authentifier l’utilisateur
PAM utilise plusieurs modules pour tenter l’authentification
login appelle getpwnam() pour obtenir les données d’autorisation de l’utilisateur
getpwnam() appelle NSSNSS utilise plusieurs modules pour tenter d’obtenir les données demandées
login utilise les données d’autorisation pour créer le processus initial (shell)
![Page 14: Intégration Linux dans Active Directory](https://reader036.vdocuments.mx/reader036/viewer/2022062301/56815b54550346895dc9342d/html5/thumbnails/14.jpg)
Autorisations intégrées
Schéma RFC 2307 ou SFU 3.0 pour les données d’autorisation spécifiques à UNIX
SFU 3.0 est aujourd’hui dépasséWindows Server 2003 R2 (Identity Management for UNIX) inclut le schéma RFC 2307Différences très mineures avec la RFC ; La documentation contient les détails dans la section Migrating standard and nonstandard maps
Certaines stratégies de groupe s’appliquent automatiquement
![Page 15: Intégration Linux dans Active Directory](https://reader036.vdocuments.mx/reader036/viewer/2022062301/56815b54550346895dc9342d/html5/thumbnails/15.jpg)
Préparation du test
Pour la démo :
Windows Server 2003 R2, Active Directory, DNS, Certificate Service
Red Hat 9 installé en mode « Workstation »
![Page 16: Intégration Linux dans Active Directory](https://reader036.vdocuments.mx/reader036/viewer/2022062301/56815b54550346895dc9342d/html5/thumbnails/16.jpg)
Composants utilisés sur Red Hat 9Kerberos
krb5-devel-1.2.7-10 (installé par défaut)krb5-libs-1.2.7-10 (installé par défaut)krb5-workstation-1.2.7-10css_adkadmin-2.2_linux (http://www.css-security.com/)pam_krb5-1.60.1-css1_linux (http://www.css-security.com/)
LDAPopenldap-2.2.17nss_ldap-220krb5-1.3.5cyrus-sasl-2.1.19
![Page 17: Intégration Linux dans Active Directory](https://reader036.vdocuments.mx/reader036/viewer/2022062301/56815b54550346895dc9342d/html5/thumbnails/17.jpg)
Démarche de test
1. Créer les OU, utilisateurs et groupes de test dans AD
2. Configuration et test de Kerberos pour l’authentification
3. Configuration et test de LDAP pour les autorisations
4. Configuration et test de l’authentification Kerberos (SASL) pour LDAP
![Page 18: Intégration Linux dans Active Directory](https://reader036.vdocuments.mx/reader036/viewer/2022062301/56815b54550346895dc9342d/html5/thumbnails/18.jpg)
Red Hat 9 dans AD 2003 R2Démo
![Page 19: Intégration Linux dans Active Directory](https://reader036.vdocuments.mx/reader036/viewer/2022062301/56815b54550346895dc9342d/html5/thumbnails/19.jpg)
Référence
Windows Security and Directory Services for UNIX Guide
Download Center: http://go.microsoft.com/fwlink/?linkid=36975TechNet online: http://go.microsoft.com/fwlink/?linkid=68104
Site interopérabilité Microsoft Francehttp://www.microsoft.com/france/interop
![Page 20: Intégration Linux dans Active Directory](https://reader036.vdocuments.mx/reader036/viewer/2022062301/56815b54550346895dc9342d/html5/thumbnails/20.jpg)