Ce diaporama a bien été signalé.
Le téléchargement de votre SlideShare est en cours. ×

[RMLL2017] Des logiciels libres pour la gestion des identités !

Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité

Consultez-les par la suite

1 sur 37 Publicité
Publicité

Plus De Contenu Connexe

Diaporamas pour vous (16)

Similaire à [RMLL2017] Des logiciels libres pour la gestion des identités ! (20)

Publicité

Plus par Clément OUDOT (20)

Plus récents (20)

Publicité

[RMLL2017] Des logiciels libres pour la gestion des identités !

  1. 1. @SFLinux @clementoudot Des logiciels libres pour la gestion des identités !
  2. 2. 2 @SFLinux @clementoudot Clément OUDOT @clementoudot http://sflx.ca/coudot ● Créé en 1999 ● Montréal, Quebec, Toronto, ● Paris, Rennes, Lyon ● ISO 9001:2004 / ISO 14001:2008 ● contact@savoirfairelinux.com
  3. 3. 3 @SFLinux @clementoudot La gestion des identités
  4. 4. 4 @SFLinux @clementoudot Définition ● Les gestion des identités s’attache au cycle de vie des comptes dans le système d’information : – Création – Modification (renommage, changement de service, etc.) – Suppression ● La gestion des identités est liée à la gestion des accès : terme IAM en anglais (Identity and Access Management)
  5. 5. 5 @SFLinux @clementoudot Authentification , contrôle d’accès et libre-services Référentiel des identités Publication et gestion des identités Synchronisation des identités Les composants principaux d’un système de gestion des identités
  6. 6. 6 @SFLinux @clementoudot Des logiciels libres
  7. 7. 7 @SFLinux @clementoudot Une offre assez large ● Il existe de nombreux logiciels libres qui couvrent tout ou partie des composants nécessaires à un système de gestion des identités ● Pour faire son choix il faut analyser les fonctionnalités, les technologies utilisées, les licences, les aspects ergonomiques, la communauté… ● Liste non exhaustive de logiciels sur le forum Etalab : forum.etalab.gouv.fr
  8. 8. 8 @SFLinux @clementoudot Attention ! La suite de cette présentation est complètement subjective
  9. 9. 9 @SFLinux @clementoudot Référentiel des identités
  10. 10. 10 @SFLinux @clementoudot OpenLDAP ● Licence BSD ● C ● Respect du standard LDAPv3 ● Haute performance et volumétrie ● Configuration multi-maîtres ● Politique des mots de passe ● Ajouts de fonctionnalités par overlays : groupes dynamiques, intégrité référentielle, appartenance aux groupes, contraintes sur les valeurs
  11. 11. 11 @SFLinux @clementoudot LDAP Tool Box - OpenLDAP ● Paquets RPM ou Debian ● Script de démarrage ● Outils d’exploitation (sauvegarde/restauration/ indexation) ● Modules de contrôle de qualité du mot de passe
  12. 12. 12 @SFLinux @clementoudot LDAP Tool Box - Supervision ● Greffons Nagios ou Cacti : – Temps de réponse – Statut de la réplication – Verrous sur les bases BDB/HDB – Taux de remplissage des bases MDB – Statistiques sur les opérations
  13. 13. 13 @SFLinux @clementoudot LDAP Tool Box - Audit ● Configuration pour ELK : – Analyse des différentes opérations – Mesure des performances – Analyse des codes d’erreur
  14. 14. 14 @SFLinux @clementoudot Synchronisation des identités
  15. 15. 15 @SFLinux @clementoudot LDAP Synchronization Connector ● Licence BSD ● Java ● Paquets RPM ou Debian ● Ajout, modification et suppression des identités et groupes ● Support des annuaires standards LDAPv3 ● Support de Samba 4 et Active Directory ● Support bases de données et fichers CSV ● Utilisation possible de scripts externes ou API REST ● Synchronisation des mots de passe et des attributs de la politique des mots de passe
  16. 16. 16 @SFLinux @clementoudot LSC – Phase « sync »
  17. 17. 17 @SFLinux @clementoudot LSC – Phase « clean »
  18. 18. 18 @SFLinux @clementoudot LSC – Exemple d’utilisation de code JS <forceValues> <string> <![CDATA[rjs: var membersSrcDn = srcBean.getDatasetValuesById("uniqueMember"); var membersDstDn = []; for (var i=0; i<membersSrcDn.size(); i++) { var memberSrcDn = membersSrcDn.get(i); var uid = ""; try { uid = srcLdap.attribute(memberSrcDn, "uid").get(0); } catch(e) { continue; } var destDn = ldap.search("ou=users,ou=demo", "(sAMAccountName=" + uid + ")"); if (destDn.size() == 0 || destDn.size() > 1) { continue; } var destMemberDn = destDn.get(0) + "," + ldap.getContextDn(); membersDstDn.push(destMemberDn); } membersDstDn ]]> </string> </forceValues>
  19. 19. 19 @SFLinux @clementoudot Publication et gestion des identités
  20. 20. 20 @SFLinux @clementoudot FusionDirectory ● Licence GPL ● PHP ● Paquets RPM ou Debian ● Gestion des données de l’annuaire LDAP : – Utilisateurs – Groupes – Machines – Comptes techniques – Organisations – Rôles ● Moteur d’autorisation permettant la délégation de la gestion des données
  21. 21. 21 @SFLinux @clementoudot
  22. 22. 22 @SFLinux @clementoudot LDAP Tool Box – White Pages ● Licence GPL ● PHP ● Paquets RPM ou Debian ● Publication des données de l’annuaire LDAP « pages blanches » : – Recherche rapide – Recherche avancée – Trombinoscope ● Affichage des valeurs en fonction du type d’attribut ● Lien direct vers les fiches ● Configuration de l’activation des différentes fonctions ● Personnalisation graphique
  23. 23. 23 @SFLinux @clementoudot https://ltb-project.org/star-pages
  24. 24. 24 @SFLinux @clementoudot Authentification, contrôle d’accès et libre-services
  25. 25. 25 @SFLinux @clementoudot LemonLDAP::NG ● Licence GPL ● Perl ● Paquets RPM ou Debian ● Portail d’authentification ● Liste dynamique des applications ● Fournisseur d’identités CAS, SAML et OpenID Connect ● Authentification Kerberos ● Authentification sociale (Twitter, Facebook) ● Authentification forte/multi-facteurs ● Personnalisation graphique des interfaces
  26. 26. 26 @SFLinux @clementoudot Historique 2003 2006 2010 2016 Création du projet Version NG SAML CAS OpenID OpenID Connect
  27. 27. 27 @SFLinux @clementoudot Composants CommonCommon ManagerManager HandlerHandler PortalPortal Interface de configuration Formulaires et menu Protection des applications
  28. 28. 28 @SFLinux @clementoudot
  29. 29. 29 @SFLinux @clementoudot
  30. 30. 30 @SFLinux @clementoudot Modules d'authentification LDAPLDAP ADAD ApacheApache SAMLSAML CASCAS RadiusRadius OpenIDOpenID WebIDWebID BrowserBrowser IDID DBIDBI YubikeyYubikey
  31. 31. 31 @SFLinux @clementoudot Passerelle multi-protocoles SAMLSAMLCASCAS OpenIDOpenID ConnectConnect
  32. 32. 32 @SFLinux @clementoudot Fonctions libre-service ChangementChangement de mot dede mot de passepasse RéinitialisatiRéinitialisati on de moton de mot de passede passe CréationCréation dede comptecompte
  33. 33. 33 @SFLinux @clementoudot LDAP Tool Box – Self Service Password ● Licence GPL ● PHP ● Paquets RPM ou Debian ● Changement de mot de passe ● Réinitialisation de mot de passe par mail ● Réinitialisation de mot de passe par questions ● Réinitialisation de mot de passe par jeton (SMS) ● Changement de clé SSH
  34. 34. 34 @SFLinux @clementoudot
  35. 35. 35 @SFLinux @clementoudot Pour aller plus loin
  36. 36. 36 @SFLinux @clementoudot http://www.openldap.org @openldaporg https://ltb-project.org @LTB_Project https://lsc-project.org @LSC_Project https://www.fusiondirectory.org @fusiondirectory https://lemonldap-ng.org @lemonldapng
  37. 37. 37 @SFLinux @clementoudot Merci pour votre attention Blog : http://sflx.ca/coudot Twitter : @clementoudot

×