SlideShare une entreprise Scribd logo

Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec LinID

Clément OUDOT
Clément OUDOT
Technologie
1  sur  16
Télécharger pour lire hors ligne
#mpclinid2014 Intégration du serveur Active Directory avec LinID Matinée pour comprendre – LinID – 3 avril 2014
2#mpclinid2014 Le serveur Active Directory
3#mpclinid2014 Active Directory ● Active Directory est le serveur de gestion de parc de Microsoft ● Parmi ses services, Active Directory propose un annuaire LDAP, toutefois quelques libertés ont été prises vis-à-vis du standard LDAP : – Chiffrement spécifique du mot de passe, pas d'export possible – Limites sur le nombre d'entrées retournées (page size) et le nombre de valeurs retournées par attributs (val range) – Schéma non standard, en particulier la classe d'objet « user » – Période de validité de l'ancien mot de passe même après son changement – Utilisation de nombreux attributs binaires – Format de temps spécifique (nombre de blocs de 100 ns depuis le 1er janvier 1601)
4#mpclinid2014 Synchronisation OpenLDAP ↔ AD
5#mpclinid2014 Objectifs de la synchronisation ● Utiliser LinID Directory Server (OpenLDAP) comme référentiel des identités ● Conserver Active Directory comme composant d'infrastructure ● Synchroniser utilisateurs et groupes entre les annuaires ● Le sens d'implémentation de la synchronisation dépend du serveur gérant les créations/modifications/suppressions d'utilisateur ● La synchronisation du mot de passe nécessite un traitement particulier
6#mpclinid2014 Démonstration ● Synchronisation en temps réel des utilisateurs de LinID Directory Server vers Active Directory LinID Directory Server Active DirectoryLinID Provisionning Manager
7#mpclinid2014 Stratégies de synchronisation du mot de passe ● 1ère solution : pas de synchronisation, conservation du mot de passe dans AD et utilisation de la délégation SASL dans OpenLDAP ● 2ème solution : modification du mot de passe sur OpenLDAP, utilisation d'un chiffrement réversible pour synchronisation vers AD ● 3ème solution : modification du mot de passe sur AD, utilisation d'une DLL (passwdHK) pour transmettre le mot de passe à OpenLDAP
8#mpclinid2014 Fonctionnement de la délégation SASL
9#mpclinid2014 Utilisation d'un chiffrement réversible ● LinID Provisionning Manager peut utiliser le chiffrement AES ● Un connecteur peut être écrit pour chiffrer à la volée un mot de passe en clair : – En SHA pour le mot de passe standard LDAP (userPassword) – EN AES réversible dans un attribut dédié ● Le connecteur AD peut ensuite utiliser l'attribut dédié pour déchiffrer le mot de passe avant de l'envoyer à AD ● On simule une authentification sur AD pour chaque entrée afin de ne mettre à jour le mot de passe que s'il a changé
10#mpclinid2014 Utilisation d'une DLL ● L'utilisation d'une DLL check password est un mécanisme standard proposé par Active Directory, initialement pour implémenter sa propre politique de vérification de mot de passe ● Cette DLL intercepte le mot de passe en clair lors du changement par l'utilisateur, et accepte ou non son changement dans Active Directory ● Une implémentation libre de la DLL existe : passwdHK ● On configure alors un script qui est appelé par la DLL et qui va faire la modification du mot de passe dans OpenLDAP
11#mpclinid2014 Authentification sur Active Directory
12#mpclinid2014 Support AD dans LinID A&F Manager ● LinID Access & Federation Manager sait s'interfacer avec l'authentification Active Directory : – Soit en utilisant l'authentification LDAP (identifiant et mot de passe) – Soit en utilisant l'authentification Windows intégrée (Kerberos) – Soit les deux, en testant d'abord Kerberos, puis LDAP ● Le changement du mot de passe dans Active Directory peut également se faire depuis le portail LinID A&F Manager
13#mpclinid2014 Support AD dans LinID A&F Manager ● LinID Access & Federation Manager sait s'interfacer avec l'authentification Active Directory : – Soit en utilisant l'authentification LDAP (identifiant et mot de passe) – Soit en utilisant l'authentification Windows intégrée (Kerberos) – Soit les deux, en testant d'abord Kerberos, puis LDAP ● Le changement du mot de passe dans Active Directory peut également se faire depuis le portail LinID A&F Manager
14#mpclinid2014 Utilisation de LDAP ● L'authentification se fait de manière standard au protocole LDAP ● Le module AD vérifie en plus le champ « changement du mot de passe à la prochaine connexion » et force l'utilisateur à faire ce changement au niveau du portail ● Le module AD traite ensuite l'opération de changement de mot de passe en utilisant l'attribut spécifique unicodePwd
15#mpclinid2014 Utilisation de Kerberos ● L'authentification de l'utilisateur est réalisée grâce au ticket Kerberos obtenu à l'ouverture de session et stocké dans le navigateur ● C'est un module d'authentification Apache qui traite les échanges Kerberos ● Le portail LinID A&F Manager peut ensuite consolider les informations de l'utilisateur en effectuant une recherche LDAP dans Active Directory ● Une configuration spécifique permet de présenter un formulaire d'authentification standard dans le cas où l'authentification Kerberos échoue
#mpclinid2014 Merci de votre attention

Recommandé

[Identity Days 2020] Politique des mots de passe des annuaires LDAP et outils...
[Identity Days 2020] Politique des mots de passe des annuaires LDAP et outils...[Identity Days 2020] Politique des mots de passe des annuaires LDAP et outils...
[Identity Days 2020] Politique des mots de passe des annuaires LDAP et outils...Worteks
 
[Identity Days 2021] Quel avenir pour OpenLDAP ?
[Identity Days 2021] Quel avenir pour OpenLDAP ?[Identity Days 2021] Quel avenir pour OpenLDAP ?
[Identity Days 2021] Quel avenir pour OpenLDAP ?Worteks
 
[Open Source Experience 2021] Une infrastructure Cloud et une solution IDaaS ...
[Open Source Experience 2021] Une infrastructure Cloud et une solution IDaaS ...[Open Source Experience 2021] Une infrastructure Cloud et une solution IDaaS ...
[Open Source Experience 2021] Une infrastructure Cloud et une solution IDaaS ...Worteks
 
[AFUP Lyon 2021] LDAP Tool Box Self Service Password
[AFUP Lyon 2021] LDAP Tool Box Self Service Password[AFUP Lyon 2021] LDAP Tool Box Self Service Password
[AFUP Lyon 2021] LDAP Tool Box Self Service PasswordWorteks
 
SL2009 - Identity Management Cycle - LDAP synchronization and WebSSO
SL2009 - Identity Management Cycle - LDAP synchronization and WebSSOSL2009 - Identity Management Cycle - LDAP synchronization and WebSSO
SL2009 - Identity Management Cycle - LDAP synchronization and WebSSOClément OUDOT
 
OpenDS - Open Source Java LDAP server
OpenDS - Open Source Java LDAP serverOpenDS - Open Source Java LDAP server
OpenDS - Open Source Java LDAP serverAlexis Moussine-Pouchkine
 
JDLL 2014 - Introduction aux annuaires LDAP
JDLL 2014 - Introduction aux annuaires LDAPJDLL 2014 - Introduction aux annuaires LDAP
JDLL 2014 - Introduction aux annuaires LDAPClément OUDOT
 
[Identity Days 2021] W'IDaaS - Identity as a Service
[Identity Days 2021] W'IDaaS - Identity as a Service[Identity Days 2021] W'IDaaS - Identity as a Service
[Identity Days 2021] W'IDaaS - Identity as a ServiceWorteks
 

Recommandé

[Identity Days 2020] Politique des mots de passe des annuaires LDAP et outils...
[Identity Days 2020] Politique des mots de passe des annuaires LDAP et outils...[Identity Days 2020] Politique des mots de passe des annuaires LDAP et outils...
[Identity Days 2020] Politique des mots de passe des annuaires LDAP et outils...Worteks
 
[Identity Days 2021] Quel avenir pour OpenLDAP ?
[Identity Days 2021] Quel avenir pour OpenLDAP ?[Identity Days 2021] Quel avenir pour OpenLDAP ?
[Identity Days 2021] Quel avenir pour OpenLDAP ?Worteks
 
[Open Source Experience 2021] Une infrastructure Cloud et une solution IDaaS ...
[Open Source Experience 2021] Une infrastructure Cloud et une solution IDaaS ...[Open Source Experience 2021] Une infrastructure Cloud et une solution IDaaS ...
[Open Source Experience 2021] Une infrastructure Cloud et une solution IDaaS ...Worteks
 
[AFUP Lyon 2021] LDAP Tool Box Self Service Password
[AFUP Lyon 2021] LDAP Tool Box Self Service Password[AFUP Lyon 2021] LDAP Tool Box Self Service Password
[AFUP Lyon 2021] LDAP Tool Box Self Service PasswordWorteks
 
SL2009 - Identity Management Cycle - LDAP synchronization and WebSSO
SL2009 - Identity Management Cycle - LDAP synchronization and WebSSOSL2009 - Identity Management Cycle - LDAP synchronization and WebSSO
SL2009 - Identity Management Cycle - LDAP synchronization and WebSSOClément OUDOT
 
OpenDS - Open Source Java LDAP server
OpenDS - Open Source Java LDAP serverOpenDS - Open Source Java LDAP server
OpenDS - Open Source Java LDAP serverAlexis Moussine-Pouchkine
 
JDLL 2014 - Introduction aux annuaires LDAP
JDLL 2014 - Introduction aux annuaires LDAPJDLL 2014 - Introduction aux annuaires LDAP
JDLL 2014 - Introduction aux annuaires LDAPClément OUDOT
 
[Identity Days 2021] W'IDaaS - Identity as a Service
[Identity Days 2021] W'IDaaS - Identity as a Service[Identity Days 2021] W'IDaaS - Identity as a Service
[Identity Days 2021] W'IDaaS - Identity as a ServiceWorteks
 
[Campus du Libre 2020] Présentation de la solution W'Sweet
[Campus du Libre 2020] Présentation de la solution W'Sweet[Campus du Libre 2020] Présentation de la solution W'Sweet
[Campus du Libre 2020] Présentation de la solution W'SweetWorteks
 
Universitélang scala tools
Universitélang scala toolsUniversitélang scala tools
Universitélang scala toolsFabrice Sznajderman
 
Lagom, reactive framework(chtijug2016)
Lagom, reactive framework(chtijug2016) Lagom, reactive framework(chtijug2016)
Lagom, reactive framework(chtijug2016) Fabrice Sznajderman
 
Lagom, reactive framework(paris jug2017)
Lagom, reactive framework(paris jug2017)Lagom, reactive framework(paris jug2017)
Lagom, reactive framework(paris jug2017)Fabrice Sznajderman
 
YaJUG - Spring 3.0
YaJUG - Spring 3.0YaJUG - Spring 3.0
YaJUG - Spring 3.0Gildas Cuisinier
 
Maven c'est bien, SBT c'est mieux
Maven c'est bien, SBT c'est mieuxMaven c'est bien, SBT c'est mieux
Maven c'est bien, SBT c'est mieuxFabrice Sznajderman
 
LemonLDAP::NG, un WebSSO libre (ConFoo 2011)
LemonLDAP::NG, un WebSSO libre (ConFoo 2011)LemonLDAP::NG, un WebSSO libre (ConFoo 2011)
LemonLDAP::NG, un WebSSO libre (ConFoo 2011)Clément OUDOT
 
OpenLDAP - Astuces pour en faire l'annuaire d'entreprise idéal
OpenLDAP - Astuces pour en faire l'annuaire d'entreprise idéalOpenLDAP - Astuces pour en faire l'annuaire d'entreprise idéal
OpenLDAP - Astuces pour en faire l'annuaire d'entreprise idéalJonathan Clarke
 
10 03 clients ldap
10 03 clients ldap10 03 clients ldap
10 03 clients ldapNoël
 
Html5 par Florent Garin, au Toulouse JUG
Html5 par Florent Garin, au Toulouse JUGHtml5 par Florent Garin, au Toulouse JUG
Html5 par Florent Garin, au Toulouse JUGJUG Toulouse
 
Matinée Pour Comprendre LinID - Présentation des composants LinID
Matinée Pour Comprendre LinID - Présentation des composants LinIDMatinée Pour Comprendre LinID - Présentation des composants LinID
Matinée Pour Comprendre LinID - Présentation des composants LinIDClément OUDOT
 
Construire son application web de gestion de contenu d'annuaire LDAP
Construire son application web de gestion de contenu d'annuaire LDAPConstruire son application web de gestion de contenu d'annuaire LDAP
Construire son application web de gestion de contenu d'annuaire LDAPClément OUDOT
 
Lagom, reactive framework
Lagom, reactive frameworkLagom, reactive framework
Lagom, reactive frameworkFabrice Sznajderman
 
Les Web APIs en .NET Core
Les Web APIs en .NET CoreLes Web APIs en .NET Core
Les Web APIs en .NET CoreFrançois Camus
 
[JSS2015] - Document db et nosql
[JSS2015] - Document db et nosql[JSS2015] - Document db et nosql
[JSS2015] - Document db et nosqlGUSS
 
Les nouveautés de MongoDB 3.6
Les nouveautés de MongoDB 3.6Les nouveautés de MongoDB 3.6
Les nouveautés de MongoDB 3.6MongoDB
 
The guide of Security Jerk
The guide of Security JerkThe guide of Security Jerk
The guide of Security JerkClément OUDOT
 
Matinée Pour Comprendre LinID - Retour d'expérience de l'AFNIC
Matinée Pour Comprendre LinID - Retour d'expérience de l'AFNICMatinée Pour Comprendre LinID - Retour d'expérience de l'AFNIC
Matinée Pour Comprendre LinID - Retour d'expérience de l'AFNICClément OUDOT
 
RMLL 2014 - Site statique avec Templer, Bootstrap et Git
RMLL 2014 - Site statique avec Templer, Bootstrap et GitRMLL 2014 - Site statique avec Templer, Bootstrap et Git
RMLL 2014 - Site statique avec Templer, Bootstrap et GitClément OUDOT
 
RMLL 2014 - LemonLDAP::NG - What's new under the SSOn
RMLL 2014 - LemonLDAP::NG - What's new under the SSOnRMLL 2014 - LemonLDAP::NG - What's new under the SSOn
RMLL 2014 - LemonLDAP::NG - What's new under the SSOnClément OUDOT
 
The OpenID Connect Protocol
The OpenID Connect ProtocolThe OpenID Connect Protocol
The OpenID Connect ProtocolClément OUDOT
 
Le Guide du Connard du Logiciel Libre
Le Guide du Connard du Logiciel LibreLe Guide du Connard du Logiciel Libre
Le Guide du Connard du Logiciel LibreClément OUDOT
 

Contenu connexe

Tendances

[Campus du Libre 2020] Présentation de la solution W'Sweet
[Campus du Libre 2020] Présentation de la solution W'Sweet[Campus du Libre 2020] Présentation de la solution W'Sweet
[Campus du Libre 2020] Présentation de la solution W'SweetWorteks
 
Lagom, reactive framework(chtijug2016)
Lagom, reactive framework(chtijug2016) Lagom, reactive framework(chtijug2016)
Lagom, reactive framework(chtijug2016) Fabrice Sznajderman
 
Lagom, reactive framework(paris jug2017)
Lagom, reactive framework(paris jug2017)Lagom, reactive framework(paris jug2017)
Lagom, reactive framework(paris jug2017)Fabrice Sznajderman
 
Maven c'est bien, SBT c'est mieux
Maven c'est bien, SBT c'est mieuxMaven c'est bien, SBT c'est mieux
Maven c'est bien, SBT c'est mieuxFabrice Sznajderman
 
LemonLDAP::NG, un WebSSO libre (ConFoo 2011)
LemonLDAP::NG, un WebSSO libre (ConFoo 2011)LemonLDAP::NG, un WebSSO libre (ConFoo 2011)
LemonLDAP::NG, un WebSSO libre (ConFoo 2011)Clément OUDOT
 
OpenLDAP - Astuces pour en faire l'annuaire d'entreprise idéal
OpenLDAP - Astuces pour en faire l'annuaire d'entreprise idéalOpenLDAP - Astuces pour en faire l'annuaire d'entreprise idéal
OpenLDAP - Astuces pour en faire l'annuaire d'entreprise idéalJonathan Clarke
 
10 03 clients ldap
10 03 clients ldap10 03 clients ldap
10 03 clients ldapNoël
 
Html5 par Florent Garin, au Toulouse JUG
Html5 par Florent Garin, au Toulouse JUGHtml5 par Florent Garin, au Toulouse JUG
Html5 par Florent Garin, au Toulouse JUGJUG Toulouse
 
Matinée Pour Comprendre LinID - Présentation des composants LinID
Matinée Pour Comprendre LinID - Présentation des composants LinIDMatinée Pour Comprendre LinID - Présentation des composants LinID
Matinée Pour Comprendre LinID - Présentation des composants LinIDClément OUDOT
 
Construire son application web de gestion de contenu d'annuaire LDAP
Construire son application web de gestion de contenu d'annuaire LDAPConstruire son application web de gestion de contenu d'annuaire LDAP
Construire son application web de gestion de contenu d'annuaire LDAPClément OUDOT
 
Les Web APIs en .NET Core
Les Web APIs en .NET CoreLes Web APIs en .NET Core
Les Web APIs en .NET CoreFrançois Camus
 
[JSS2015] - Document db et nosql
[JSS2015] - Document db et nosql[JSS2015] - Document db et nosql
[JSS2015] - Document db et nosqlGUSS
 
Les nouveautés de MongoDB 3.6
Les nouveautés de MongoDB 3.6Les nouveautés de MongoDB 3.6
Les nouveautés de MongoDB 3.6MongoDB
 

Tendances (16)

[Campus du Libre 2020] Présentation de la solution W'Sweet
[Campus du Libre 2020] Présentation de la solution W'Sweet[Campus du Libre 2020] Présentation de la solution W'Sweet
[Campus du Libre 2020] Présentation de la solution W'Sweet
 
Universitélang scala tools
Universitélang scala toolsUniversitélang scala tools
Universitélang scala tools
 
Lagom, reactive framework(chtijug2016)
Lagom, reactive framework(chtijug2016) Lagom, reactive framework(chtijug2016)
Lagom, reactive framework(chtijug2016)
 
Lagom, reactive framework(paris jug2017)
Lagom, reactive framework(paris jug2017)Lagom, reactive framework(paris jug2017)
Lagom, reactive framework(paris jug2017)
 
YaJUG - Spring 3.0
YaJUG - Spring 3.0YaJUG - Spring 3.0
YaJUG - Spring 3.0
 
Maven c'est bien, SBT c'est mieux
Maven c'est bien, SBT c'est mieuxMaven c'est bien, SBT c'est mieux
Maven c'est bien, SBT c'est mieux
 
LemonLDAP::NG, un WebSSO libre (ConFoo 2011)
LemonLDAP::NG, un WebSSO libre (ConFoo 2011)LemonLDAP::NG, un WebSSO libre (ConFoo 2011)
LemonLDAP::NG, un WebSSO libre (ConFoo 2011)
 
OpenLDAP - Astuces pour en faire l'annuaire d'entreprise idéal
OpenLDAP - Astuces pour en faire l'annuaire d'entreprise idéalOpenLDAP - Astuces pour en faire l'annuaire d'entreprise idéal
OpenLDAP - Astuces pour en faire l'annuaire d'entreprise idéal
 
10 03 clients ldap
10 03 clients ldap10 03 clients ldap
10 03 clients ldap
 
Html5 par Florent Garin, au Toulouse JUG
Html5 par Florent Garin, au Toulouse JUGHtml5 par Florent Garin, au Toulouse JUG
Html5 par Florent Garin, au Toulouse JUG
 
Matinée Pour Comprendre LinID - Présentation des composants LinID
Matinée Pour Comprendre LinID - Présentation des composants LinIDMatinée Pour Comprendre LinID - Présentation des composants LinID
Matinée Pour Comprendre LinID - Présentation des composants LinID
 
Construire son application web de gestion de contenu d'annuaire LDAP
Construire son application web de gestion de contenu d'annuaire LDAPConstruire son application web de gestion de contenu d'annuaire LDAP
Construire son application web de gestion de contenu d'annuaire LDAP
 
Lagom, reactive framework
Lagom, reactive frameworkLagom, reactive framework
Lagom, reactive framework
 
Les Web APIs en .NET Core
Les Web APIs en .NET CoreLes Web APIs en .NET Core
Les Web APIs en .NET Core
 
[JSS2015] - Document db et nosql
[JSS2015] - Document db et nosql[JSS2015] - Document db et nosql
[JSS2015] - Document db et nosql
 
Les nouveautés de MongoDB 3.6
Les nouveautés de MongoDB 3.6Les nouveautés de MongoDB 3.6
Les nouveautés de MongoDB 3.6
 

En vedette

The guide of Security Jerk
The guide of Security JerkThe guide of Security Jerk
The guide of Security JerkClément OUDOT
 
Matinée Pour Comprendre LinID - Retour d'expérience de l'AFNIC
Matinée Pour Comprendre LinID - Retour d'expérience de l'AFNICMatinée Pour Comprendre LinID - Retour d'expérience de l'AFNIC
Matinée Pour Comprendre LinID - Retour d'expérience de l'AFNICClément OUDOT
 
RMLL 2014 - Site statique avec Templer, Bootstrap et Git
RMLL 2014 - Site statique avec Templer, Bootstrap et GitRMLL 2014 - Site statique avec Templer, Bootstrap et Git
RMLL 2014 - Site statique avec Templer, Bootstrap et GitClément OUDOT
 
RMLL 2014 - LemonLDAP::NG - What's new under the SSOn
RMLL 2014 - LemonLDAP::NG - What's new under the SSOnRMLL 2014 - LemonLDAP::NG - What's new under the SSOn
RMLL 2014 - LemonLDAP::NG - What's new under the SSOnClément OUDOT
 
The OpenID Connect Protocol
The OpenID Connect ProtocolThe OpenID Connect Protocol
The OpenID Connect ProtocolClément OUDOT
 
Le Guide du Connard du Logiciel Libre
Le Guide du Connard du Logiciel LibreLe Guide du Connard du Logiciel Libre
Le Guide du Connard du Logiciel LibreClément OUDOT
 
Présentation de LemonLDAP::NG aux Journées Perl 2016
Présentation de LemonLDAP::NG aux Journées Perl 2016Présentation de LemonLDAP::NG aux Journées Perl 2016
Présentation de LemonLDAP::NG aux Journées Perl 2016Clément OUDOT
 
KR2016 The Free Software Bastard Guide
KR2016 The Free Software Bastard GuideKR2016 The Free Software Bastard Guide
KR2016 The Free Software Bastard GuideClément OUDOT
 
RMLL 2014 - LDAP Synchronization Connector
RMLL 2014 - LDAP Synchronization ConnectorRMLL 2014 - LDAP Synchronization Connector
RMLL 2014 - LDAP Synchronization ConnectorClément OUDOT
 
[OW2Con 2015] LemonLDAP::NG 2.0 overview
[OW2Con 2015] LemonLDAP::NG 2.0 overview[OW2Con 2015] LemonLDAP::NG 2.0 overview
[OW2Con 2015] LemonLDAP::NG 2.0 overviewClément OUDOT
 
S2LQ - Authentification unique sur le Web avec le logiciel libre LemonLDAP::NG
S2LQ - Authentification unique sur le Web avec le logiciel libre LemonLDAP::NGS2LQ - Authentification unique sur le Web avec le logiciel libre LemonLDAP::NG
S2LQ - Authentification unique sur le Web avec le logiciel libre LemonLDAP::NGClément OUDOT
 
The wonderful story of Web Authentication and Single-Sign On
The wonderful story of Web Authentication and Single-Sign OnThe wonderful story of Web Authentication and Single-Sign On
The wonderful story of Web Authentication and Single-Sign OnClément OUDOT
 
[OSSParis 2015] The OpenID Connect Protocol
[OSSParis 2015] The OpenID Connect Protocol[OSSParis 2015] The OpenID Connect Protocol
[OSSParis 2015] The OpenID Connect ProtocolClément OUDOT
 
[JDLL 2016] OpenID Connect et FranceConnect
[JDLL 2016] OpenID Connect et FranceConnect[JDLL 2016] OpenID Connect et FranceConnect
[JDLL 2016] OpenID Connect et FranceConnectClément OUDOT
 
[LDAPCon 2015] The OpenID Connect Protocol
[LDAPCon 2015] The OpenID Connect Protocol[LDAPCon 2015] The OpenID Connect Protocol
[LDAPCon 2015] The OpenID Connect ProtocolClément OUDOT
 
Analyse OpenLDAP logs with ELK
Analyse OpenLDAP logs with ELKAnalyse OpenLDAP logs with ELK
Analyse OpenLDAP logs with ELKClément OUDOT
 
Matinée Pour Comprendre LinID - Mise en place de la fédération des identités...
Matinée Pour Comprendre LinID - Mise en place de la fédération des identités...Matinée Pour Comprendre LinID - Mise en place de la fédération des identités...
Matinée Pour Comprendre LinID - Mise en place de la fédération des identités...Clément OUDOT
 
RMLL 2014 - OpenLDAP - Manage password policy
RMLL 2014 - OpenLDAP - Manage password policyRMLL 2014 - OpenLDAP - Manage password policy
RMLL 2014 - OpenLDAP - Manage password policyClément OUDOT
 

En vedette (18)

The guide of Security Jerk
The guide of Security JerkThe guide of Security Jerk
The guide of Security Jerk
 
Matinée Pour Comprendre LinID - Retour d'expérience de l'AFNIC
Matinée Pour Comprendre LinID - Retour d'expérience de l'AFNICMatinée Pour Comprendre LinID - Retour d'expérience de l'AFNIC
Matinée Pour Comprendre LinID - Retour d'expérience de l'AFNIC
 
RMLL 2014 - Site statique avec Templer, Bootstrap et Git
RMLL 2014 - Site statique avec Templer, Bootstrap et GitRMLL 2014 - Site statique avec Templer, Bootstrap et Git
RMLL 2014 - Site statique avec Templer, Bootstrap et Git
 
RMLL 2014 - LemonLDAP::NG - What's new under the SSOn
RMLL 2014 - LemonLDAP::NG - What's new under the SSOnRMLL 2014 - LemonLDAP::NG - What's new under the SSOn
RMLL 2014 - LemonLDAP::NG - What's new under the SSOn
 
The OpenID Connect Protocol
The OpenID Connect ProtocolThe OpenID Connect Protocol
The OpenID Connect Protocol
 
Le Guide du Connard du Logiciel Libre
Le Guide du Connard du Logiciel LibreLe Guide du Connard du Logiciel Libre
Le Guide du Connard du Logiciel Libre
 
Présentation de LemonLDAP::NG aux Journées Perl 2016
Présentation de LemonLDAP::NG aux Journées Perl 2016Présentation de LemonLDAP::NG aux Journées Perl 2016
Présentation de LemonLDAP::NG aux Journées Perl 2016
 
KR2016 The Free Software Bastard Guide
KR2016 The Free Software Bastard GuideKR2016 The Free Software Bastard Guide
KR2016 The Free Software Bastard Guide
 
RMLL 2014 - LDAP Synchronization Connector
RMLL 2014 - LDAP Synchronization ConnectorRMLL 2014 - LDAP Synchronization Connector
RMLL 2014 - LDAP Synchronization Connector
 
[OW2Con 2015] LemonLDAP::NG 2.0 overview
[OW2Con 2015] LemonLDAP::NG 2.0 overview[OW2Con 2015] LemonLDAP::NG 2.0 overview
[OW2Con 2015] LemonLDAP::NG 2.0 overview
 
S2LQ - Authentification unique sur le Web avec le logiciel libre LemonLDAP::NG
S2LQ - Authentification unique sur le Web avec le logiciel libre LemonLDAP::NGS2LQ - Authentification unique sur le Web avec le logiciel libre LemonLDAP::NG
S2LQ - Authentification unique sur le Web avec le logiciel libre LemonLDAP::NG
 
The wonderful story of Web Authentication and Single-Sign On
The wonderful story of Web Authentication and Single-Sign OnThe wonderful story of Web Authentication and Single-Sign On
The wonderful story of Web Authentication and Single-Sign On
 
[OSSParis 2015] The OpenID Connect Protocol
[OSSParis 2015] The OpenID Connect Protocol[OSSParis 2015] The OpenID Connect Protocol
[OSSParis 2015] The OpenID Connect Protocol
 
[JDLL 2016] OpenID Connect et FranceConnect
[JDLL 2016] OpenID Connect et FranceConnect[JDLL 2016] OpenID Connect et FranceConnect
[JDLL 2016] OpenID Connect et FranceConnect
 
[LDAPCon 2015] The OpenID Connect Protocol
[LDAPCon 2015] The OpenID Connect Protocol[LDAPCon 2015] The OpenID Connect Protocol
[LDAPCon 2015] The OpenID Connect Protocol
 
Analyse OpenLDAP logs with ELK
Analyse OpenLDAP logs with ELKAnalyse OpenLDAP logs with ELK
Analyse OpenLDAP logs with ELK
 
Matinée Pour Comprendre LinID - Mise en place de la fédération des identités...
Matinée Pour Comprendre LinID - Mise en place de la fédération des identités...Matinée Pour Comprendre LinID - Mise en place de la fédération des identités...
Matinée Pour Comprendre LinID - Mise en place de la fédération des identités...
 
RMLL 2014 - OpenLDAP - Manage password policy
RMLL 2014 - OpenLDAP - Manage password policyRMLL 2014 - OpenLDAP - Manage password policy
RMLL 2014 - OpenLDAP - Manage password policy
 

Similaire à Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec LinID

La politique de mots de passe : de la théorie à la pratique avec OpenLDAP
La politique de mots de passe : de la théorie à la pratique avec OpenLDAPLa politique de mots de passe : de la théorie à la pratique avec OpenLDAP
La politique de mots de passe : de la théorie à la pratique avec OpenLDAPIdentity Days
 
Tutojres 13-jeromefenal
Tutojres 13-jeromefenalTutojres 13-jeromefenal
Tutojres 13-jeromefenalinf_med13
 
Présentation de l'offre IAM de LINAGORA LinID
Présentation de l'offre IAM de LINAGORA LinIDPrésentation de l'offre IAM de LINAGORA LinID
Présentation de l'offre IAM de LINAGORA LinIDMichel-Marie Maudet
 
WebSSO, synchronisation et contrôle des accès via LDAP
WebSSO, synchronisation et contrôle des accès via LDAPWebSSO, synchronisation et contrôle des accès via LDAP
WebSSO, synchronisation et contrôle des accès via LDAPLINAGORA
 
Séminaire LinID LINAGORA - juin 2009
Séminaire LinID LINAGORA - juin 2009Séminaire LinID LINAGORA - juin 2009
Séminaire LinID LINAGORA - juin 2009LINAGORA
 
Identity Days 2020 - Politique des mots de passe des annuaires LDAP et outils...
Identity Days 2020 - Politique des mots de passe des annuaires LDAP et outils...Identity Days 2020 - Politique des mots de passe des annuaires LDAP et outils...
Identity Days 2020 - Politique des mots de passe des annuaires LDAP et outils...Identity Days
 
PrésentationAD.pdf
PrésentationAD.pdfPrésentationAD.pdf
PrésentationAD.pdfSekmDidtech
 
Identity as a Service (IDaaS), un service prêt à l’usage avec Windows Azure AD
Identity as a Service (IDaaS), un service prêt à l’usage avec Windows Azure ADIdentity as a Service (IDaaS), un service prêt à l’usage avec Windows Azure AD
Identity as a Service (IDaaS), un service prêt à l’usage avec Windows Azure ADMicrosoft
 
Sécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielSécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielMicrosoft Décideurs IT
 
Sécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielSécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielMicrosoft Technet France
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà Microsoft Technet France
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà Microsoft Décideurs IT
 
Forum Zimbra 2012 Zimbra et la SSO
Forum Zimbra 2012 Zimbra et la SSOForum Zimbra 2012 Zimbra et la SSO
Forum Zimbra 2012 Zimbra et la SSOAntony Barroux
 
Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...
Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...
Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...LINAGORA
 
SQLSaturday Paris 2014 - Ce que tout DBA doit savoir sur la configuration et ...
SQLSaturday Paris 2014 - Ce que tout DBA doit savoir sur la configuration et ...SQLSaturday Paris 2014 - Ce que tout DBA doit savoir sur la configuration et ...
SQLSaturday Paris 2014 - Ce que tout DBA doit savoir sur la configuration et ...GUSS
 
Ce que tout DBA doit savoir sur SQL Server et SharePoint 2013
Ce que tout DBA doit savoir sur SQL Server et SharePoint 2013Ce que tout DBA doit savoir sur SQL Server et SharePoint 2013
Ce que tout DBA doit savoir sur SQL Server et SharePoint 2013serge luca
 
Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012Microsoft Technet France
 
Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...
Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...
Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...fabricemeillon
 
Matinée pour conmrendre consacrée à LinID.org, gestion, fédération et contrôl...
Matinée pour conmrendre consacrée à LinID.org, gestion, fédération et contrôl...Matinée pour conmrendre consacrée à LinID.org, gestion, fédération et contrôl...
Matinée pour conmrendre consacrée à LinID.org, gestion, fédération et contrôl...LINAGORA
 

Similaire à Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec LinID (20)

La politique de mots de passe : de la théorie à la pratique avec OpenLDAP
La politique de mots de passe : de la théorie à la pratique avec OpenLDAPLa politique de mots de passe : de la théorie à la pratique avec OpenLDAP
La politique de mots de passe : de la théorie à la pratique avec OpenLDAP
 
Tutojres 13-jeromefenal
Tutojres 13-jeromefenalTutojres 13-jeromefenal
Tutojres 13-jeromefenal
 
Présentation de l'offre IAM de LINAGORA LinID
Présentation de l'offre IAM de LINAGORA LinIDPrésentation de l'offre IAM de LINAGORA LinID
Présentation de l'offre IAM de LINAGORA LinID
 
WebSSO, synchronisation et contrôle des accès via LDAP
WebSSO, synchronisation et contrôle des accès via LDAPWebSSO, synchronisation et contrôle des accès via LDAP
WebSSO, synchronisation et contrôle des accès via LDAP
 
22462A_01.pptx
22462A_01.pptx22462A_01.pptx
22462A_01.pptx
 
Séminaire LinID LINAGORA - juin 2009
Séminaire LinID LINAGORA - juin 2009Séminaire LinID LINAGORA - juin 2009
Séminaire LinID LINAGORA - juin 2009
 
Identity Days 2020 - Politique des mots de passe des annuaires LDAP et outils...
Identity Days 2020 - Politique des mots de passe des annuaires LDAP et outils...Identity Days 2020 - Politique des mots de passe des annuaires LDAP et outils...
Identity Days 2020 - Politique des mots de passe des annuaires LDAP et outils...
 
PrésentationAD.pdf
PrésentationAD.pdfPrésentationAD.pdf
PrésentationAD.pdf
 
Identity as a Service (IDaaS), un service prêt à l’usage avec Windows Azure AD
Identity as a Service (IDaaS), un service prêt à l’usage avec Windows Azure ADIdentity as a Service (IDaaS), un service prêt à l’usage avec Windows Azure AD
Identity as a Service (IDaaS), un service prêt à l’usage avec Windows Azure AD
 
Sécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielSécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentiel
 
Sécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielSécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentiel
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà
 
Forum Zimbra 2012 Zimbra et la SSO
Forum Zimbra 2012 Zimbra et la SSOForum Zimbra 2012 Zimbra et la SSO
Forum Zimbra 2012 Zimbra et la SSO
 
Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...
Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...
Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...
 
SQLSaturday Paris 2014 - Ce que tout DBA doit savoir sur la configuration et ...
SQLSaturday Paris 2014 - Ce que tout DBA doit savoir sur la configuration et ...SQLSaturday Paris 2014 - Ce que tout DBA doit savoir sur la configuration et ...
SQLSaturday Paris 2014 - Ce que tout DBA doit savoir sur la configuration et ...
 
Ce que tout DBA doit savoir sur SQL Server et SharePoint 2013
Ce que tout DBA doit savoir sur SQL Server et SharePoint 2013Ce que tout DBA doit savoir sur SQL Server et SharePoint 2013
Ce que tout DBA doit savoir sur SQL Server et SharePoint 2013
 
Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012
 
Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...
Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...
Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...
 
Matinée pour conmrendre consacrée à LinID.org, gestion, fédération et contrôl...
Matinée pour conmrendre consacrée à LinID.org, gestion, fédération et contrôl...Matinée pour conmrendre consacrée à LinID.org, gestion, fédération et contrôl...
Matinée pour conmrendre consacrée à LinID.org, gestion, fédération et contrôl...
 

Plus de Clément OUDOT

[FOSDEM 2019] LemonLDAP::NG 2.0
[FOSDEM 2019] LemonLDAP::NG 2.0[FOSDEM 2019] LemonLDAP::NG 2.0
[FOSDEM 2019] LemonLDAP::NG 2.0Clément OUDOT
 
[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...
[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...
[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...Clément OUDOT
 
[OW2Con 2018] The FusionIAM project
[OW2Con 2018] The FusionIAM project[OW2Con 2018] The FusionIAM project
[OW2Con 2018] The FusionIAM projectClément OUDOT
 
[JDLL 2018] Templer, Git, Bootstrap, PHP : des outils libres pour concevoir l...
[JDLL 2018] Templer, Git, Bootstrap, PHP : des outils libres pour concevoir l...[JDLL 2018] Templer, Git, Bootstrap, PHP : des outils libres pour concevoir l...
[JDLL 2018] Templer, Git, Bootstrap, PHP : des outils libres pour concevoir l...Clément OUDOT
 
[OSSPARIS17] Le guide du connard du logiciel libre
[OSSPARIS17] Le guide du connard du logiciel libre[OSSPARIS17] Le guide du connard du logiciel libre
[OSSPARIS17] Le guide du connard du logiciel libreClément OUDOT
 
[OSSPARIS17] Des logiciels libres pour la gestion des identités !
[OSSPARIS17] Des logiciels libres pour la gestion des identités ![OSSPARIS17] Des logiciels libres pour la gestion des identités !
[OSSPARIS17] Des logiciels libres pour la gestion des identités !Clément OUDOT
 
[RMLL2017] Templer, Git, Bootstrap, PHP : des outils libres pour concevoir le...
[RMLL2017] Templer, Git, Bootstrap, PHP : des outils libres pour concevoir le...[RMLL2017] Templer, Git, Bootstrap, PHP : des outils libres pour concevoir le...
[RMLL2017] Templer, Git, Bootstrap, PHP : des outils libres pour concevoir le...Clément OUDOT
 
[RMLL2017] le guide du connard du logiciel libre
[RMLL2017] le guide du connard du logiciel libre[RMLL2017] le guide du connard du logiciel libre
[RMLL2017] le guide du connard du logiciel libreClément OUDOT
 
[RMLL2017] LDAPCon 2017
[RMLL2017] LDAPCon 2017[RMLL2017] LDAPCon 2017
[RMLL2017] LDAPCon 2017Clément OUDOT
 
[RMLL2017] Des logiciels libres pour la gestion des identités !
[RMLL2017] Des logiciels libres pour la gestion des identités ![RMLL2017] Des logiciels libres pour la gestion des identités !
[RMLL2017] Des logiciels libres pour la gestion des identités !Clément OUDOT
 
[OW2Con 2017] News from LemonLDAP::NG
[OW2Con 2017] News from LemonLDAP::NG[OW2Con 2017] News from LemonLDAP::NG
[OW2Con 2017] News from LemonLDAP::NGClément OUDOT
 
[JDLL 2017] Le Guide du Connard du Logiciel Libre
[JDLL 2017] Le Guide du Connard du Logiciel Libre[JDLL 2017] Le Guide du Connard du Logiciel Libre
[JDLL 2017] Le Guide du Connard du Logiciel LibreClément OUDOT
 

Plus de Clément OUDOT (12)

[FOSDEM 2019] LemonLDAP::NG 2.0
[FOSDEM 2019] LemonLDAP::NG 2.0[FOSDEM 2019] LemonLDAP::NG 2.0
[FOSDEM 2019] LemonLDAP::NG 2.0
 
[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...
[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...
[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...
 
[OW2Con 2018] The FusionIAM project
[OW2Con 2018] The FusionIAM project[OW2Con 2018] The FusionIAM project
[OW2Con 2018] The FusionIAM project
 
[JDLL 2018] Templer, Git, Bootstrap, PHP : des outils libres pour concevoir l...
[JDLL 2018] Templer, Git, Bootstrap, PHP : des outils libres pour concevoir l...[JDLL 2018] Templer, Git, Bootstrap, PHP : des outils libres pour concevoir l...
[JDLL 2018] Templer, Git, Bootstrap, PHP : des outils libres pour concevoir l...
 
[OSSPARIS17] Le guide du connard du logiciel libre
[OSSPARIS17] Le guide du connard du logiciel libre[OSSPARIS17] Le guide du connard du logiciel libre
[OSSPARIS17] Le guide du connard du logiciel libre
 
[OSSPARIS17] Des logiciels libres pour la gestion des identités !
[OSSPARIS17] Des logiciels libres pour la gestion des identités ![OSSPARIS17] Des logiciels libres pour la gestion des identités !
[OSSPARIS17] Des logiciels libres pour la gestion des identités !
 
[RMLL2017] Templer, Git, Bootstrap, PHP : des outils libres pour concevoir le...
[RMLL2017] Templer, Git, Bootstrap, PHP : des outils libres pour concevoir le...[RMLL2017] Templer, Git, Bootstrap, PHP : des outils libres pour concevoir le...
[RMLL2017] Templer, Git, Bootstrap, PHP : des outils libres pour concevoir le...
 
[RMLL2017] le guide du connard du logiciel libre
[RMLL2017] le guide du connard du logiciel libre[RMLL2017] le guide du connard du logiciel libre
[RMLL2017] le guide du connard du logiciel libre
 
[RMLL2017] LDAPCon 2017
[RMLL2017] LDAPCon 2017[RMLL2017] LDAPCon 2017
[RMLL2017] LDAPCon 2017
 
[RMLL2017] Des logiciels libres pour la gestion des identités !
[RMLL2017] Des logiciels libres pour la gestion des identités ![RMLL2017] Des logiciels libres pour la gestion des identités !
[RMLL2017] Des logiciels libres pour la gestion des identités !
 
[OW2Con 2017] News from LemonLDAP::NG
[OW2Con 2017] News from LemonLDAP::NG[OW2Con 2017] News from LemonLDAP::NG
[OW2Con 2017] News from LemonLDAP::NG
 
[JDLL 2017] Le Guide du Connard du Logiciel Libre
[JDLL 2017] Le Guide du Connard du Logiciel Libre[JDLL 2017] Le Guide du Connard du Logiciel Libre
[JDLL 2017] Le Guide du Connard du Logiciel Libre
 

Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec LinID

  • 1. #mpclinid2014 Intégration du serveur Active Directory avec LinID Matinée pour comprendre – LinID – 3 avril 2014
  • 3. 3#mpclinid2014 Active Directory ● Active Directory est le serveur de gestion de parc de Microsoft ● Parmi ses services, Active Directory propose un annuaire LDAP, toutefois quelques libertés ont été prises vis-à-vis du standard LDAP : – Chiffrement spécifique du mot de passe, pas d'export possible – Limites sur le nombre d'entrées retournées (page size) et le nombre de valeurs retournées par attributs (val range) – Schéma non standard, en particulier la classe d'objet « user » – Période de validité de l'ancien mot de passe même après son changement – Utilisation de nombreux attributs binaires – Format de temps spécifique (nombre de blocs de 100 ns depuis le 1er janvier 1601)
  • 5. 5#mpclinid2014 Objectifs de la synchronisation ● Utiliser LinID Directory Server (OpenLDAP) comme référentiel des identités ● Conserver Active Directory comme composant d'infrastructure ● Synchroniser utilisateurs et groupes entre les annuaires ● Le sens d'implémentation de la synchronisation dépend du serveur gérant les créations/modifications/suppressions d'utilisateur ● La synchronisation du mot de passe nécessite un traitement particulier
  • 6. 6#mpclinid2014 Démonstration ● Synchronisation en temps réel des utilisateurs de LinID Directory Server vers Active Directory LinID Directory Server Active DirectoryLinID Provisionning Manager
  • 7. 7#mpclinid2014 Stratégies de synchronisation du mot de passe ● 1ère solution : pas de synchronisation, conservation du mot de passe dans AD et utilisation de la délégation SASL dans OpenLDAP ● 2ème solution : modification du mot de passe sur OpenLDAP, utilisation d'un chiffrement réversible pour synchronisation vers AD ● 3ème solution : modification du mot de passe sur AD, utilisation d'une DLL (passwdHK) pour transmettre le mot de passe à OpenLDAP
  • 9. 9#mpclinid2014 Utilisation d'un chiffrement réversible ● LinID Provisionning Manager peut utiliser le chiffrement AES ● Un connecteur peut être écrit pour chiffrer à la volée un mot de passe en clair : – En SHA pour le mot de passe standard LDAP (userPassword) – EN AES réversible dans un attribut dédié ● Le connecteur AD peut ensuite utiliser l'attribut dédié pour déchiffrer le mot de passe avant de l'envoyer à AD ● On simule une authentification sur AD pour chaque entrée afin de ne mettre à jour le mot de passe que s'il a changé
  • 10. 10#mpclinid2014 Utilisation d'une DLL ● L'utilisation d'une DLL check password est un mécanisme standard proposé par Active Directory, initialement pour implémenter sa propre politique de vérification de mot de passe ● Cette DLL intercepte le mot de passe en clair lors du changement par l'utilisateur, et accepte ou non son changement dans Active Directory ● Une implémentation libre de la DLL existe : passwdHK ● On configure alors un script qui est appelé par la DLL et qui va faire la modification du mot de passe dans OpenLDAP
  • 12. 12#mpclinid2014 Support AD dans LinID A&F Manager ● LinID Access & Federation Manager sait s'interfacer avec l'authentification Active Directory : – Soit en utilisant l'authentification LDAP (identifiant et mot de passe) – Soit en utilisant l'authentification Windows intégrée (Kerberos) – Soit les deux, en testant d'abord Kerberos, puis LDAP ● Le changement du mot de passe dans Active Directory peut également se faire depuis le portail LinID A&F Manager
  • 13. 13#mpclinid2014 Support AD dans LinID A&F Manager ● LinID Access & Federation Manager sait s'interfacer avec l'authentification Active Directory : – Soit en utilisant l'authentification LDAP (identifiant et mot de passe) – Soit en utilisant l'authentification Windows intégrée (Kerberos) – Soit les deux, en testant d'abord Kerberos, puis LDAP ● Le changement du mot de passe dans Active Directory peut également se faire depuis le portail LinID A&F Manager
  • 14. 14#mpclinid2014 Utilisation de LDAP ● L'authentification se fait de manière standard au protocole LDAP ● Le module AD vérifie en plus le champ « changement du mot de passe à la prochaine connexion » et force l'utilisateur à faire ce changement au niveau du portail ● Le module AD traite ensuite l'opération de changement de mot de passe en utilisant l'attribut spécifique unicodePwd
  • 15. 15#mpclinid2014 Utilisation de Kerberos ● L'authentification de l'utilisateur est réalisée grâce au ticket Kerberos obtenu à l'ouverture de session et stocké dans le navigateur ● C'est un module d'authentification Apache qui traite les échanges Kerberos ● Le portail LinID A&F Manager peut ensuite consolider les informations de l'utilisateur en effectuant une recherche LDAP dans Active Directory ● Une configuration spécifique permet de présenter un formulaire d'authentification standard dans le cas où l'authentification Kerberos échoue