UAHB  Moussa GAYE             Cheikh DIAGNEman_gaye@hotmail.fr   dchico2005@hotmail.com                                   ...
Plan IntroductionPrésentation de LdapRôle de LdapLimites de LdapSolution KerberosImplémentationsConclusion
IntroductionLes services que nous devons rendre aux utilisateurs denotre réseau sont divers et variés. Un point primordial...
Présentation de Ldap Ldap est un protocole d’accès a un annuaire. Il estcaractérisé par un accès rapide mais des mise à jo...
Présentation de Ldap         Schéma LDAPDIT                            .sn         Root                      UAHB     UCAD...
Rôle de LdapInitialement, Ldap pour Lightweight Directory AccessProtocol est un frontal d’accès à des bases d’annuairesX50...
Rôle de LdapLe protocole définit :Comment s’établit la communication client serveur:commande pour se connecter se déconnec...
Rôle de LdapÉtablissement de la connexion, échange et déconnexionentre un server Ldap et un client Ldap
Limites de LdapLorsque qu’un système d’authentification est architecturéautour de l’annuaire Ldap, le service est réalisé ...
Limites de LdapLes mots de passe des usagers doivent impérativementêtre acheminer en clair depuis les postes de travail qu...
Solution Kerberos                    Présentation de KerberosKerberos est un protocole dauthentification réseau qui repose...
Solution KerberosKerberos est un service sûr qui assure la confidentialité, lintégrité desdonnées ainsi que la non-répudia...
Solution KerberosLe TGS reçoit alors son ticket etil peut le déchiffrer avec sa clé                                       ...
Solution Kerberos                        Sécurité de KerberosUne fois quun client sest identifié, celui-ci obtient un tick...
Solution Kerberos                       Sécurité de KerberosLexpiration du ticket permet de limiter les problèmes liés au ...
Implémentation                 Implémentation de Ldap1 - Vérification des RPMs à installer pour la configurationd’openldap...
Implémentation2 - Configuration du DNS: declarations de la zone directet inverse dans /etc/named.conf
ImplémentationConfiguration du fichier zone directe: on édite le fichier/etc/var/named/admin.zoneConfiguration de la zone ...
Implémentationéditer le fichier /etc/resolv.conf ; y renseigner l’adresseIp et le nom de domaine du serveur DNSFaire des t...
ImplémentationÉditer le fichier /etc/openldap/slapd.conf
ImplémentationOn peut crypter le mot de passe Ldap en exécutant lacommande suivantePour les modification en compte on redé...
Implémentation
ImplémentationOn exporte les fichiers d’authentification /etc/passwd et/etc/group en des fichiers .ldif compréhensible par...
ImplémentationOn le renseigne au serveur Ldap
ImplémentationOn édite le fichier /etc/ldap.conf
ImplémentationÉditer le fichier /etc/nsswitch.confÉditer le fichier /etc/pam.d/login
ImplémentationÉditer le fichier /etc/pam.d/suÉditer le fichier /etc/pam.d/gdm
ImplémentationAjouter un nouvel utilisateur : vim /tmp/newuser.ldifAjouter un nouvel groupe : vim /tmp/newgroup.ldif
ImplémentationRenseigner le nouvel groupe et le nouvel utilisateur àl’annuaire Ldap par les commandes suivantes:
Implémentation on donne à l’utilisateur dchico tous les droits sur son répertoire et onconfigure Ldap et httpd afin qu’ils...
Implémentation         Implémentation de la solution KerberosVérification des paquets à utiliserModifiez les fichiers de c...
Implémentation
ImplémentationEnsuite : vim /var/kerberos/krb5kdc/kdc.conf
ImplémentationEnsuite on passe à la création de la base de donnéesKerberos en exécutant :/usr/kerberos/sbin/kdb5_util crea...
ImplémentationMaintenant on passe à la définition des administrateurs dela base de donnée kerberosPour cela éditons : vim ...
ImplémentationAjout d’un autre principalVérifions les différents principaux en exécutant toujourskadmin.local puis listpri...
ImplémentationA noter que pour administrer le serveur kerberos enréseau exécuter plutôt kadmin au lieu de kadmin.localOn r...
ImplémentationDémarrage automatique des services :A présent le serveur est en mesure de délivrer des ticketsPour un aperçu...
Implémentation
ConclusionL’authentification dans un système est d’une importancecapitale. Ldap bien qu’étant un excellant annuaireprésent...
Presentation new1
Prochain SlideShare
Chargement dans…5
×

Presentation new1

597 vues

Publié le

NoB presente

Publié dans : Formation
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
597
Sur SlideShare
0
Issues des intégrations
0
Intégrations
2
Actions
Partages
0
Téléchargements
15
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Presentation new1

  1. 1. UAHB Moussa GAYE Cheikh DIAGNEman_gaye@hotmail.fr dchico2005@hotmail.com 1
  2. 2. Plan IntroductionPrésentation de LdapRôle de LdapLimites de LdapSolution KerberosImplémentationsConclusion
  3. 3. IntroductionLes services que nous devons rendre aux utilisateurs denotre réseau sont divers et variés. Un point primordiale estl’authentification. Il constitue le premier service rendu, leplus utilisé, mais aussi l’un de nos plus gros problèmes.Ainsi plusieurs solutions ont émergées parmi les quellesSamba ; Active Directory ou Ldap en présentant auxutilisateurs un identifiant unique : login/mot de passe.Cependant à tour de rôle ils ont chacun montrés leurslimites soit du point de vue de la sécurité ; soit de la tailledu réseau ; soit de la lourdeur de traitement.Il faut donc fournir aux usagers un service Single Sign On(SSO) c’est-à-dire s’authentifier qu’une seule fois etqu’après tous les services compatibles ne redemandentpas une authentification :il s’agit de Kerberos avec son service de ticket
  4. 4. Présentation de Ldap Ldap est un protocole d’accès a un annuaire. Il estcaractérisé par un accès rapide mais des mise à jourslentes. Il présente une structure d’arborescence etl’échange des données se fait le langage de rechercheLDIF (LDAP Data Interchange Format)Chaque entrée est référencée de manière unique dans leDIT (Directoty Information Tree) par son distinguishedname (DN). Le DN représente le nom de lentrée sous laforme du chemin daccès à celle-ci depuis le sommet delarbre. On peut comparer le DN au path dun fichier Unix.CN (common name), il sagit du nom de la personneOU (organizational unit), il sagit du service delentreprise à laquelle appartient la personne O(organization), il sagit de lentreprise de la personne, DC(Domain Country) il du nom de domaine de l’entreprise.
  5. 5. Présentation de Ldap Schéma LDAPDIT .sn Root UAHB UCAD estm DC Science Gestion Droit O Licence Master I Master II OU Ababacar Moussa Cheikh CN
  6. 6. Rôle de LdapInitialement, Ldap pour Lightweight Directory AccessProtocol est un frontal d’accès à des bases d’annuairesX500. Il devient natif (standalone Ldap) utilisant sapropre base de données sous l’impulsion d’un groupe del’université de Michigan. Ldap définit :Un protocole d’accèsUn modèle d’informationUn modèle de nommageUn modèle fonctionnelUn modèle de sécuritéUn modèle de duplicationDes API pour développer des applications clientesDes LDIF un format d’échange de données
  7. 7. Rôle de LdapLe protocole définit :Comment s’établit la communication client serveur:commande pour se connecter se déconnecter, chercher,comparer, créer, modifier ou effacer des entrées.Comment s’établit la communication serveur serveur :échanger leur contenu, synchroniser, créer des lienspermettant de relier des annuairesLe format de transport des données et mécanisme desécurité: méthodes de chiffrement et d’authentification,mécanismes de règles d’accès au donnéesLes opérations de base à savoir interrogation (search,compare), mise à jour (add, delete, modify, rename),connexion au service (bind, unbind,abandon)
  8. 8. Rôle de LdapÉtablissement de la connexion, échange et déconnexionentre un server Ldap et un client Ldap
  9. 9. Limites de LdapLorsque qu’un système d’authentification est architecturéautour de l’annuaire Ldap, le service est réalisé par un fastbind sur l’annuaire du couple uid/password . Ainsi :les clients Unix se base sur le module pam_ldap ;Les clients Windows XP utilise le module pgina;Les montages NFS sont effectués sans authentification;Les applications web sont CASifiées;Les clients Windows impriment via des montages smbLes clients Unix impriment via pam_ldapLdap est très adapté dans des environnements mixtes etest le plus disponible cependant:
  10. 10. Limites de LdapLes mots de passe des usagers doivent impérativementêtre acheminer en clair depuis les postes de travail quihébergent ses services jusqu’aux serveurs Ldap chargésdes opérations de contrôle.L’utilisation de Ldaps (Ldap sur TLS) permet decontourner ce problème puisque impose une session TLSavant tout dialogue Ldap.Aussi pour chaque service il faut une réauthentification,ce parfois mal vu par l’usager car a chaque fois c’est lemême couple uid/password à remettre ; mais aussi mêmesi les mots de passe sont cryptés et que en théorie lechiffrement est non réversible une comparaison du motsde passe avec une table de mots de passe déjà utilisés estpossible avec une telle fréquence de passage des mots depasse utilisateurs
  11. 11. Solution Kerberos Présentation de KerberosKerberos est un protocole dauthentification réseau qui repose sur unmécanisme de clés secrètes (chiffrement symétrique ) et lutilisationde tickets, et non de mots de passe en clair, évitant ainsi le risquedinterception frauduleuse des mots de passe des utilisateurs. Créé auMassachusetts Institute of Technology (MIT), il porte le nom grec deCerbère, gardien des Enfers (un chient à 3 tête). Kerberos fonctionneen environnement hétérogène, assurant la sécurité des échanges surun réseau non sûr et permettant la mise en place dun véritable servicedauthentification unique. Kerberos utilise un système de chiffrementsymétrique pour assurer un dialogue sécurisé entre deuxprotagonistes. Les dialogues sopèrent en utilisant une clef secrète etpartagée. Les algorithmes de chiffrement sont publics (AES, DES,3DES, ...), toute la sécurité du système repose sur la confidentialité dela clef de chiffrement. Pour faciliter la gestion dun tel système,Kerberos repose sur lutilisation dun tiers de confiance qui distribueles clefs aux utilisateurs et services abonnés (les principals). Unserveur Kerberos est appelé KDC
  12. 12. Solution KerberosKerberos est un service sûr qui assure la confidentialité, lintégrité desdonnées ainsi que la non-répudiation . Le service dauthentificationassure lidentification unique du client et lui procure un ticket desession . Kerberos assure deux fonctionnalités : le servicedauthentification et de délivrement de tickets de services.KDC : Key Distribution Center : base de données des clients etserveurs ainsi que les clés privées.TGS (Ticket Garanting Service) : c’est le service d’émission deticketsPrincipal : triplet composé du Primary name, l’insistance et Realm.Primary name : nom d’utilisateur ou du serviceInsistance : rôle ou groupe du PrimaryRealm : domaine d’administration associé à un serveur KerberosTicket : crédit temporaire permettant de vérifier l’identité dudétenteurClient : entité pouvant obtenir un ticketTGT : ticket particulier permettant au détenteur d’obtenir d’autrestickets pour le même données
  13. 13. Solution KerberosLe TGS reçoit alors son ticket etil peut le déchiffrer avec sa clé Fonctionnement de Kerberossecrète KTGS Le TGS peut alorsémettre un ticket daccès au Le client envoieserveur. Ce ticket est chiffré son nom augrâce à la clé secrète du serveur serveur de clés etKS lui indique le TGS qui lintéresse Après vérification sur 2 1 lidentité du client le serveurle client envoie une demande 2’ de clés lui envoie alors unde ticket auprès du TGS. 1’ ticket TTGS. Ce ticket autorise le client à faire desCette requête contient un requêtes auprès du TGS.identifiant chiffré avec la cléde session Le client envoieaussi le ticket qui lui avaitété transmis par le serveurde clés. 3 Le client reçoit le ticket pour accéder aux services kerberisés du serveur ainsi que linformation chiffrée contenant la clé de session entre lui et le serveur. Le serveur vérifie que le ticket est valide (il le déchiffre avec sa clé secrète KS) et autorise laccès au service si tout est correct.
  14. 14. Solution Kerberos Sécurité de KerberosUne fois quun client sest identifié, celui-ci obtient un ticket(généralement, un fichier texte - mais son contenu peut aussi êtrestocké dans une zone de mémoire sécurisée). Le ticket joue le rôledune carte didentité à péremption assez courte, huit heuresgénéralement. Si nécessaire, celui-ci peut être annulé prématurément.Sous les systèmes Kerberos c’est via la commande « kdestroy ».La sécurité de Kerberos repose sur la sécurité des différentesmachines quil utilise. Une attaque sur le serveur de clés seraitdramatique car elle pourrait permettre à lattaquant de semparer desclés privées des clients et donc de se faire passer pour eux. Un autreproblème qui pourrait survenir sur la machine du client est le vol destickets. Ils pourraient être utilisés par une tierce personne pouraccéder aux services offerts par les serveurs (si la clé entre le client etle serveur est connue).
  15. 15. Solution Kerberos Sécurité de KerberosLexpiration du ticket permet de limiter les problèmes liés au vol destickets. De plus, un ticket peut contenir ladresse IP du client et leticket nest alors valable que sil est employé depuis cette IP (cechamp est toutefois optionnel dans Kerberos, qui peut tout à fait êtreutilisé sur un réseau attribuant dynamiquement les IP au travers deDHCP). Une attaque sur les identifiants échouera car Kerberos leurajoute un élément. Cela évite les attaques par renvoi didentifiants quiauraient été interceptés. Les serveurs conservent lhistorique descommunications précédentes et peuvent facilement détecter un envoifrauduleux.Lavantage de Kerberos est de limiter le nombre didentifiants et depouvoir travailler sur un réseau non-sécurisé. Les identifications sontuniquement nécessaires pour lobtention de nouveaux tickets daccèsau TGS.
  16. 16. Implémentation Implémentation de Ldap1 - Vérification des RPMs à installer pour la configurationd’openldap2 - Vérification des RPMs à installer pour la configurationdu DNS
  17. 17. Implémentation2 - Configuration du DNS: declarations de la zone directet inverse dans /etc/named.conf
  18. 18. ImplémentationConfiguration du fichier zone directe: on édite le fichier/etc/var/named/admin.zoneConfiguration de la zone indirecte: on édite le fichier/etc/var/named/minda.zone
  19. 19. Implémentationéditer le fichier /etc/resolv.conf ; y renseigner l’adresseIp et le nom de domaine du serveur DNSFaire des test pour voir si notre serveur marche maisavant il faut penser à redemarrer le service named
  20. 20. ImplémentationÉditer le fichier /etc/openldap/slapd.conf
  21. 21. ImplémentationOn peut crypter le mot de passe Ldap en exécutant lacommande suivantePour les modification en compte on redémarre leservice LdapOn peut ainsi démarrer la migration des fichiers/etc/passwd et /etc/group ; éditer le fichier suivant :
  22. 22. Implémentation
  23. 23. ImplémentationOn exporte les fichiers d’authentification /etc/passwd et/etc/group en des fichiers .ldif compréhensible par Ldappour l’échange de donnéesOn crée le fichier que l’on nomme /tmp/temps.ldif dans lequel est défini l’arborescence ou la structure de notreserveur Ldap : on fait : #vim /tmp/temps.ldif
  24. 24. ImplémentationOn le renseigne au serveur Ldap
  25. 25. ImplémentationOn édite le fichier /etc/ldap.conf
  26. 26. ImplémentationÉditer le fichier /etc/nsswitch.confÉditer le fichier /etc/pam.d/login
  27. 27. ImplémentationÉditer le fichier /etc/pam.d/suÉditer le fichier /etc/pam.d/gdm
  28. 28. ImplémentationAjouter un nouvel utilisateur : vim /tmp/newuser.ldifAjouter un nouvel groupe : vim /tmp/newgroup.ldif
  29. 29. ImplémentationRenseigner le nouvel groupe et le nouvel utilisateur àl’annuaire Ldap par les commandes suivantes:
  30. 30. Implémentation on donne à l’utilisateur dchico tous les droits sur son répertoire et onconfigure Ldap et httpd afin qu’ils soient à START au démarrage ;puis on redémarre le serveur avec la commande rebootEt nous voyons qu’après redémarrage , le serveur nous demande denous connecter avec le mot de passe Ldap
  31. 31. Implémentation Implémentation de la solution KerberosVérification des paquets à utiliserModifiez les fichiers de configuration /etc/krb5.conf et/var/kerberos/krb5kdc/kdc.conf afin quils reflètent le nomde votre zone (realm) et les mappages domaine-zone.Editons le fichier : vim /etc/krb5.conf
  32. 32. Implémentation
  33. 33. ImplémentationEnsuite : vim /var/kerberos/krb5kdc/kdc.conf
  34. 34. ImplémentationEnsuite on passe à la création de la base de donnéesKerberos en exécutant :/usr/kerberos/sbin/kdb5_util create -sVoila la base de données est ainsi créée. Pour le voiron fait un « ls » du répertoire /var/kerberos/krb5kdc/
  35. 35. ImplémentationMaintenant on passe à la définition des administrateurs dela base de donnée kerberosPour cela éditons : vim /var/kerberos/krb5kdc/kadm5.aclOn ajoute les users (principal) définis dans le fichierprécédent. Pour cela exécuter sur le KDC pouradministrer la base de donnée kerberos : kadmin.local
  36. 36. ImplémentationAjout d’un autre principalVérifions les différents principaux en exécutant toujourskadmin.local puis listprincs
  37. 37. ImplémentationA noter que pour administrer le serveur kerberos enréseau exécuter plutôt kadmin au lieu de kadmin.localOn redémarre les services krb5kdc, kadmin et krb524
  38. 38. ImplémentationDémarrage automatique des services :A présent le serveur est en mesure de délivrer des ticketsPour un aperçu exécuter, pour s’authentifier et obtenir unticket (certificat d’identité): kinit root/admin
  39. 39. Implémentation
  40. 40. ConclusionL’authentification dans un système est d’une importancecapitale. Ldap bien qu’étant un excellant annuaireprésente des limites quand il s’agit de l’authentification.Kerberos en lui-même apporte beaucoup d’ éléments depossibilités de services, de sécurité. Il existe depuis desannées mais n’a pas vraiment percé. Son principalinconvénient reste sa configuration. Chaque client doitavoir un compte et chaque service un compte relié à ceclient. Même si cela est automatisé il reste compliqué.Cependant avec Kerberos on bénéficie d’un SSO ; ce quiun gain en terme de sécurité pour l’ingénieur et un gain enterme de simplicité pour l’usager.

×