palais descongrèsParis7, 8 et 9février 2012
Windows et Linux:Plus forts ensemble !07/02/2012Sylvain Cortes        Christophe DubosPartners & Alliance   Architect Lead...
Windows et Linux: Plus fortsensemble !  Introduction  Historique de la collaboration entre les deux systèmes     Historiqu...
Pour ceux qui penseraientencore…
NFC (Near Field Communication Forum)  Microsoft et LinuxOASIS (Organization for the Advancement of Structured The All-In-O...
Active DirectoryPour ceux qui ont hiberné les 12 dernièresannées…
Active DirectoryPour ceux qui ont hiberné ses 12 dernières années                       Utilisation des protocoles  Référe...
Active DirectoryRéférentiel de sécurité unique                                              Intranet        Autorisation  ...
Active DirectoryAuthentification Kerberos en environnementhétérogène    GINA Application      Login Application    (login)...
KerberosExemple d’utilisation - Interopérabilité app 3-Tier                                IIS                      App   ...
Hyper-VPour ceux qui penseraient encore qu’Hyper-V…
Hyper-V                                                                                    Fournisseur:Architecture       ...
Collaboration avec NovellMicrosoft & Novell collaborent afin de délivrer unsupport natif de l’environnement de virtualisat...
Collaboration avec Red HatMicrosoft & RedHat collaborent afin de délivrer unsupport natif de l’environnement de virtualisa...
Et les autres…Microsoft fournit les composants d’intégration pourCentOS– La disponibilité du code source des composants  d...
System Center OperationManagerPour ceux qui penseraient encore que SystemCenter…
- Architecture                 PowerShell                 Console                 d’administration                 Console...
- Architecture Unix /                             Linux      Serveur                              Serveur Linux/UNIX  dadm...
- Plates-formes                                supportées                                  SCOM 2007 R2   SCOM 2012Windows...
Présentation des systèmes Historique de Linux, Unix et OSX Modèle dauthentification et  dautorisation comparé NIS: beur...
Historique Source: Wikipédia
Comparaison des modèles                                Windows                          Linux / UnixMécanismes            ...
NIS: Beurk ! Utiliser NIS, c’est comme croiser les effluves: c’est
NIS: Beurk !  En fait NIS n’est pas        Extrait de man                               rpc.yppasswdd  un système centrali...
NIS: Beurk !  Donc:      L’utilisation de NIS est une très       grosse faille de sécurité      Récupérer un « password ...
Intégration des systèmesLinux, Mac et Unix dans ActiveDirectory Contés et légendes inachevés … Bénéfices fonctionnels L...
Contes et légendes inachevés…  Il était une fois…  Combattre les préjugés…      L’informatique est un monde d’intégristes...
Contes et légendes inachevés…  Intégrer les systèmes dans AD, un coup en 3  bandes:           3                  2        ...
Bénéfices fonctionnels  Un annuaire unique: pas de synchronisation !  Sécurité décuplée: politique de mot de passe  comple...
La Boite à outils CentrifyExpress  Une communauté (rien à voir avec l’anneau de  pouvoir)  Téléchargement:  http://centrif...
Centrify Express démo« Magneto Serge »
Encore plus fort !Les solutions commerciales apportent des élémentscomplémentaires:  Support technique professionnel  GPOs...
Encore plus fort ! Gestion du multiple-UIDs
Migration NIS vers ActiveDirectory Méthode de migration Impacts sur la DSI Retours d’expériences, cas clients
Méthode de migration  Définir les objectifs principaux: La sécurité ? Sécuriser  le stockage ? Le SSO ? Le confort utilisa...
Impacts sur la DSI  Collaboration accrue entre les administrateurs  Linux/Unix et les administrateurs Windows  Il faut un ...
Retours d’expériences, casclients  Société Générale:     Contexte: Celui de l’affaire Kerviel / Une dizaine de      domai...
Retours d’expériences, casclients  Amadeus:     Contexte: Gestion du système de réservation pour les      compagnies aéri...
Retours d’expériences, casclients  Geotherma:     Contexte: besoin de gérer les Mac OSX des      commerciaux itinérants, ...
Pour aller plus loin…
Pour aller plus loin…                                                 ***                             ***  http://blogs.te...
Pour aller plus loin…   http://centrifyexpress.cerberis.com
Pour aller plus loin…  http://www.microsoft.com/interop/                                      http://www.microsoft.com/fra...
palais descongrèsParis7, 8 et 9février 2012
Windows et linux: plus fort ensemble !
Windows et linux: plus fort ensemble !
Prochain SlideShare
Chargement dans…5
×

Windows et linux: plus fort ensemble !

1 473 vues

Publié le

Historique de la collaboration entre les deux systèmes - historique conjoint d'Unix et de Windows - structure de Linux # Présentation des systèmes d'authentification et d'autorisation - Modèle d'authentification - Modèle d'autorisation # comment intégrer des systèmes Linux ou Unix dans Active Directory - Intégration technique et déploiement - Politique de mot de passe commune - Politique de sécurité commune dans le cadre de PCI notamment - Application de GPOs sur les systèmes Linux et Unix # Migration de NIS vers Active Directory: méthode, retour de projet clients - quelle méthode de migration - impacts sur la DSI - qq exemples de cas clients # Boite à outils de l'intégration Linux et Unix dans Active Directory

Publié dans : Technologie
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
1 473
Sur SlideShare
0
Issues des intégrations
0
Intégrations
2
Actions
Partages
0
Téléchargements
25
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Windows et linux: plus fort ensemble !

  1. 1. palais descongrèsParis7, 8 et 9février 2012
  2. 2. Windows et Linux:Plus forts ensemble !07/02/2012Sylvain Cortes Christophe DubosPartners & Alliance Architect LeadManager MicrosoftCerberis
  3. 3. Windows et Linux: Plus fortsensemble ! Introduction Historique de la collaboration entre les deux systèmes Historique conjoint dUnix et de Windows Linteropérabilité & Microsoft Présentation des systèmes Structure de Linux Unix et OSX Modèle dauthentification et dautorisation comparé NIS: beurk !!! Intégration des systèmes Linux, Mac et Unix dans Active Directory Contés et légendes inachevés … Bénéfices fonctionnels La Boite à outils gratuite Centrify Express Encore plus fort Migration NIS vers Active Directory Méthode de migration Impacts sur la DSI Retours d’expériences, cas clients Pour aller plus loin…
  4. 4. Pour ceux qui penseraientencore…
  5. 5. NFC (Near Field Communication Forum) Microsoft et LinuxOASIS (Organization for the Advancement of Structured The All-In-One Code FrameworkOMA (Open Mobile Alliance) Information Standards) Moonlight Les choses ont changé…OSTA (Optical Storage Technology Association) Windows 7 USB/DVD Download ToolPS/SC Workgroup Windows Cache Extension 1.0 for PHPPCI-SIG (PCI Special Interest Group) SilverlightPCMCIA (Personal Computer Memory Card International Association) OData SDK for PHPProject Inkwell Microsoft Live Services Plug-in for MoodlePTSC (Packet Technologies and Systems Committee) Hyper-V Linux Integration ComponentsPWG (The Printer Working Group) Device Driver Code for LinuxRosettaNet WinBioinfToolsSDA (SD Card Association) .Net Micro Framework DevelopmentSMPTE (Society of Motion Picture and Television Engineers) ZentitySNIA (Storage Networking Industry Association) Article Authoring Add-in for Word 2007TCG (Trusted Computing Group) Creative Commons Add-in for Word 2007TIA (Telecommunications Industry Association) Live Search Add-in for Mozilla FirefoxUEFI (Unified Extensible Firmware Interface Forum) Web SandboxUPnP (Universal Plug and Play Forum) PHP 5.3 on WindowsUSB-IF (USB Implementers Forum) Bing 404 for WordpressW3C (World Wide Web Consortium) PST File Format SDKWi-Fi Alliance WordPress Plugin for Azure Storage ServiceWiMAX Forum SQL Server Driver for PHP 2.0WiMedia Alliance CoAppWS-I (Web Services Interoperability Organization) jQuery
  6. 6. Active DirectoryPour ceux qui ont hiberné les 12 dernièresannées…
  7. 7. Active DirectoryPour ceux qui ont hiberné ses 12 dernières années Utilisation des protocoles Référentiel de d’authentification Kerberos, sécurité LDAP, NIS et SAML interopérable Support CIFS, NFS, HTTP, RDP, RPC Colonne Support des mode d’administration centralisés et vertébrale de délégués l’administration Un élément clé du TCO du poste de Windows de travail Support des Adaptation aux besoins applicatifs besoins Disponibilité et qualité de applicatifs l’information accrues
  8. 8. Active DirectoryRéférentiel de sécurité unique Intranet Autorisation Authentification Kerberos Ressources NIS/LDAP SAML/X.509 Tickets Kerberos Extranet Certificats Windows supporte plusieurs modèles d’authentification et un modèle d’autorisation unique Active Directory fournit un point focal d’administration, des services de certificats et un serveur de clés Kerberos
  9. 9. Active DirectoryAuthentification Kerberos en environnementhétérogène GINA Application Login Application (login) SSPI pam_krb5 GSSAPI (MIT de-facto) kinit klist Kerberos kdestroy LSA (MIT de-facto) kpasswd Credential Service Default Default (ticket) principal Credential Service cache key table (ticket) principal cache key table •RFC 1510 – Kerberos V5 •AS - Authentication Service •TGS - Ticket Granting Service •MIT de-facto •CPW - Change password service
  10. 10. KerberosExemple d’utilisation - Interopérabilité app 3-Tier IIS App IE 5/6/7/8 HTTP ISAPI Extension TCP Service SSPI/Krb SSPI/Krb GSS/Krb* *Generic Security Service (RFC 1509)
  11. 11. Hyper-VPour ceux qui penseraient encore qu’Hyper-V…
  12. 12. Hyper-V Fournisseur:Architecture Système Composants Hyper-V au sein du système Hyper-V VM Worker Composants Processes tiers VM Mgmt Service Applications Applications Applications Applications WMI Provider User Mode: Ring 3 Windows Server 2008 Windows Server SLES 10.x & 11, RHES Système non Hyper- R2 2000, 2003, 2008 et 5.x & 6, CENTOS 5.x V aware 2008 R2 WinHV WinHV LinuxHV Kernel VSP VSC VSC VMBus VMBus VMBus Emulation Drivers Kernel Mode: Ring 0Hyper-V Hypercalls MSRs APIC Scheduler Memory MgmtPartition Mgmt Root VMX operation CPU 64 bits et Intel VT ou AMD-V
  13. 13. Collaboration avec NovellMicrosoft & Novell collaborent afin de délivrer unsupport natif de l’environnement de virtualisationMicrosoft– Développement et support commun des composants d’intégration (VMBUS) pour SLES 10 et 11– Equipe de support commune • http://www.novell.com/products/server/virtualization.html • http://searchenterpriselinux.techtarget.com/originalConten t/0,289142,sid39_gci1243601,00.html
  14. 14. Collaboration avec Red HatMicrosoft & RedHat collaborent afin de délivrer unsupport natif de l’environnement de virtualisationMicrosoft– Intégration par Red Hat des des composants d’intégration (VMBUS) dans RHEL 5.4+– Certification de Hyper-V pour RHEL 5.2 5.3, 5.4 et 6 • https://hardware.redhat.com/show.cgi?id=502242 • http://www.redhat.com/promo/svvp/
  15. 15. Et les autres…Microsoft fournit les composants d’intégration pourCentOS– La disponibilité du code source des composants d’intégration sous licence GPL v2 et son intégration au noyau permet leur utilisation avec toute autre distribution utilisant un noyau 2.6.32+
  16. 16. System Center OperationManagerPour ceux qui penseraient encore que SystemCenter…
  17. 17. - Architecture PowerShell Console d’administration Console d’administration Web
  18. 18. - Architecture Unix / Linux Serveur Serveur Linux/UNIX dadministration géré Operations Manager M Config P Servic e ssh connection Agent M Daemo Library Maintenanc P n sshd client e M SDK ssh Actions P Port WS-Man request 1270 Agent Operations OpsMgr agent Manager pour Health Librairi HTTPS transport for UNIX/Linux Linux/Unix Servic e client (OpenPegasus e WinRM HTTPS transport CIMOM WS-Man response Server + providers) Providers)WinRM = Windows Remote ManagementWS-Man = Web Service Management protocolsshd = UNIX/Linux secure shell daemon
  19. 19. - Plates-formes supportées SCOM 2007 R2 SCOM 2012Windows 2000 Server Windows Server 2003 / R2  Windows Server 2008 / R2  Windows 2000/XP/Vista/7  Linux SUSE Enterprise 9 (x86)  & 10 & 11 (x86/x64)Linux Redhat Enterprise 4, 5 &  6 (x86/x64)AIX 5.3 & 6.1 (POWER)  HP-UX 11iv2 & 11iv3 (PA-  RISC/IA64)Solaris 8 & 9 (SPARC)  Solaris 10 (x86/SPARC)  
  20. 20. Présentation des systèmes Historique de Linux, Unix et OSX Modèle dauthentification et dautorisation comparé NIS: beurk !
  21. 21. Historique Source: Wikipédia
  22. 22. Comparaison des modèles Windows Linux / UnixMécanismes UserID-Password UserID-Passwordd’authentification SmartCard Smartcard (MacOS/Linux) Autres AutresAutorités pour Autorité locale Autorité locale (Passwd/Shadow)l’authentification Autorité centralisée (Active Autorité centralisée (NIS, NIS+, Directory) LDAP, Kerberos)Protocole pour Plain UserID-Password Plain UserID-Passwordl’authentification NTLM Fonction Hash Kerberos V5 Autres (Kerberos notamment) en utilisant les modules PAMIdentifiant principal SIDs UIDs, GIDsde sécuritéUserID Non case sensitive Case sensitive Ne peut pas être le même Peut être le même que celui d’un que le nom d’un groupe groupe
  23. 23. NIS: Beurk ! Utiliser NIS, c’est comme croiser les effluves: c’est
  24. 24. NIS: Beurk ! En fait NIS n’est pas Extrait de man rpc.yppasswdd un système centralisé d’authentification -> « As listed in the yppasswd.x c’est un annuaire de protocol definition, the pages jaunes (ypcat = YPPASSWDPROC_UPDATE procedure takes two arguments: a yellow pages !) V7-style passwd structure NIS contient un hash containing updated user information and the user’s existing du password qui est unencrypted (cleartext) envoyé au client NIS password. Since rpc.yppasswdd is supposed to handle update en clair sur le requests from remote NIS client réseau, c’est le client machines, this means that NIS lui-même qui yppasswd and similar client programs will in fact be
  25. 25. NIS: Beurk ! Donc:  L’utilisation de NIS est une très grosse faille de sécurité  Récupérer un « password » sur le réseau prend entre 5min et qq heures (tuto à venir)  Les entreprises doivent éliminer NIS de leur urbanisme informatique De plus:  NIS n’est plus supporté par SUN  NIS+ n’a jamais vraiment été Il faut implémenté migrer
  26. 26. Intégration des systèmesLinux, Mac et Unix dans ActiveDirectory Contés et légendes inachevés … Bénéfices fonctionnels La Boite à outils gratuite Centrify Express Encore plus fort !
  27. 27. Contes et légendes inachevés… Il était une fois… Combattre les préjugés…  L’informatique est un monde d’intégristes, chacun pense que son « dieu » est le meilleur…  Mieux vaut utiliser le meilleur des 2, 3 ou 4 mondes…  Difficile d’être « interopérable » sans ouverture d’esprit Une histoire à écrire et des projets passionnants  Beaucoup de technique  Mais aussi, des processus, la connexion avec le système de gestion des identités ou de provisionnement de l’organisation, une demande croissante des clients…
  28. 28. Contes et légendes inachevés… Intégrer les systèmes dans AD, un coup en 3 bandes: 3 2 1 1 1 1 1 1 Comment ?  À la main: arrrrggghhh !  Solutions communautaires  Solutions commerciales: Quest, Centrify et Likewise/BT
  29. 29. Bénéfices fonctionnels Un annuaire unique: pas de synchronisation ! Sécurité décuplée: politique de mot de passe complexe et unifiée-centralisée, Kerberos, etc… Comme un Windows ! Un seul compte utilisateur, un seul mot de passe, topologie Active Directory, Cache Credentials, SSO, etc… Traçabilité des actions dans les journaux Compatibilité avec les lois de régulation ou règles métier: SOX, PCI, HIPAA, etc…
  30. 30. La Boite à outils CentrifyExpress Une communauté (rien à voir avec l’anneau de pouvoir) Téléchargement: http://centrifyexpress.cerberis.com
  31. 31. Centrify Express démo« Magneto Serge »
  32. 32. Encore plus fort !Les solutions commerciales apportent des élémentscomplémentaires: Support technique professionnel GPOs sur les systèmes non-Microsoft (ADM/ADMX) Utilisation de Smartcard avec la CA MSFT + AD Gestion du multiple-UIDs Audit complet des actions réalisées sur les systèmes Intégration native à FIM Extension aux applications Apache / SAP / J2EE
  33. 33. Encore plus fort ! Gestion du multiple-UIDs
  34. 34. Migration NIS vers ActiveDirectory Méthode de migration Impacts sur la DSI Retours d’expériences, cas clients
  35. 35. Méthode de migration Définir les objectifs principaux: La sécurité ? Sécuriser le stockage ? Le SSO ? Le confort utilisateur ? La traçabilité des accès et des actions ? Les mots de passe ? Analyse de l’existant: étude des comptes locaux Etude des systèmes: tous PAM compatibles ? Définir les zones d’accès et les regroupements de machines par délégation administrative La gestion des UIDs multiples est bien souvent une obligation fonctionnelle pour permettre la migration Doit on inclure les applications ? (SAP, J2EE, etc…) Déploiement de l’agent, migration des profils POSIX NIS et locaux dans AD, migration des tables NIS vers AD, activation des agents et modification du
  36. 36. Impacts sur la DSI Collaboration accrue entre les administrateurs Linux/Unix et les administrateurs Windows Il faut un « sponsor » fort pour mener le projet Une partie du helpdesk fusionne: ex: gestion des mots de passe pour un compte Linux ou Windows Historiquement, le système de provisionnement de l’organisation gère rarement les systèmes UNIX, c’est l’occasion de modifier les règles Attention aux cadavres sortis des placards: très forte remise en cause des méthodes du « passé » Projet visible sur le confort des utilisateurs si il y a des Mac ou des stations Linux dans le projet
  37. 37. Retours d’expériences, casclients Société Générale:  Contexte: Celui de l’affaire Kerviel / Une dizaine de domaines NIS à migrer: un individu physique peut avoir jusqu’à 8 UIDs différents  Objectifs: Politique de sécurité des mots de passe commune sur les OS & besoins autour de SOX  Approche: Etude technique comparative:  Méthode via un Méta-annuaire  Méthode via un royaume Kerberos MIT en approbation avec Active Directory  Méthode via l’intégration des systèmes dans Active Directory  Choix technique, évaluation de deux offres commerciales, sélection puis lancement du projet: environ 20 000 serveurs
  38. 38. Retours d’expériences, casclients Amadeus:  Contexte: Gestion du système de réservation pour les compagnies aériennes / plusieurs domaines NIS à intégrer  Objectifs: Valider les audits liés à PCI  Approche: Etude technique comparative:  Méthode via une solution pilotée par TIM/TAM  Méthode via l’intégration des systèmes dans Active Directory  Choix technique, évaluation de deux offres commerciales, sélection puis lancement du projet: environ 2 000 serveurs et plusieurs dizaines de NAS NetApp intégrés via Kerberos et NFS V4
  39. 39. Retours d’expériences, casclients Geotherma:  Contexte: besoin de gérer les Mac OSX des commerciaux itinérants, population peu à l’aise avec l’informatique  Objectifs: Un seul mot de passe, faciliter les échanges via les serveurs de fichiers et d’impression entre le monde Windows et Mac OSX, bloquer par GPOs certaines options des portables Mac OSX  Approche: Etude technique comparative:  Méthode via la solution Apple Open Directory  Méthode via l’intégration des systèmes dans Active Directory  Choix technique, déploiement de la solution communautaire Centrify Express sur l’ensemble du parc de 65 Mac puis acquisition de la version commerciale pour 25 postes uniquement
  40. 40. Pour aller plus loin…
  41. 41. Pour aller plus loin… *** *** http://blogs.technet.com/b/chrisdu/ http://www.identitycosmos.com
  42. 42. Pour aller plus loin… http://centrifyexpress.cerberis.com
  43. 43. Pour aller plus loin… http://www.microsoft.com/interop/ http://www.microsoft.com/france/interop/
  44. 44. palais descongrèsParis7, 8 et 9février 2012

×