Intégration des environnements UNIX, Linux et MacOS dans Active Directory - comment migrer depuis NIS ou LDAP vers Active Directory et profiter des même fonctions que les systèmes Windows: kerberos, GPOs, etc.
5. crédit : Wikipédia
Sylvain Cortes
Linux, Unix et MacOS
dans Active Directory :
comment faire le bon
choix?
IAM, AD Hardening, AD bridging
et CyberSécurité
#aOSAixMarseille 12/06
Sponsors
@sylvaincortes
www.identitycosmos.com
9. Retour d’expérience sur les entreprises Françaises
1. Adresser les règles de conformité, notamment dans le cadre de PCI-
DSS: Elimination des comptes génériques et gestion des comptes à
pouvoir sur UNIX, Linux et Windows
2. Le contrôle d’accès centralisé aux systèmes et l’Audit « qui fait quoi,
quand et où ? » - Intégration simplifiées avec les Rôles métier IAM
3. Gestion des privilèges et des pouvoirs basée sur des rôles centralisés
pour les systèmes Unix, Linux et Windows
4. Obtenir une politique de sécurité et de mots de passe unifiée et
centralisée: Active Directory !
5. La migration NIS (une nécessité) et le besoin de gérer des collisions
d’UIDs: un même utilisateur physique possède plusieurs UIDs
Pourquoi les entreprises françaises intègrent les environnements UNIX, Linux et MacOS dans Active Directory ?
10. La problématique de la collision des UIDs
Luc: UID 10000 Luc: UID 20000 Luc: UID 12000Luc: UID 1200
Luc: UID ???
La problématique de la collision
des UIDs dans l’approche
« traditionnelle pure UNIX »
11. La problématique des maps NIS
Depuis Windows Server 2016, Microsoft a
enlevé le rôle permettant de gérer les
maps NIS: http://bit.ly/2KOap0Z
Sous UNIX, les maps NIS
permettent de stocker de façon
centrale les informations
« d’annuaire » pour les
machines clientes – technologie
extrêmement utilisée dans le
monde UNIX
12. Les différents types d’intégration UNIX, Linux, MacOS dans AD
1 – Intégration portée par l’OS
client, principalement basée
sur SAMBA – diffère
grandement / versions d’OS
2 – Intégration portée par les
attributs POSIX prévus dans
Active Directory +
configuration dédié sur client
3 – Intégration portée par les
solutions d’intégration dans
Active Directory (AD Bridge)
Gère la
problématique de
collision des UIDs et
des maps NIS (objets
SCP natifs AD)
yum install sssd realmd oddjob
oddjob-mkhomedir adcli samba-common
samba-common-tools krb5-workstation
openldap-clients policycoreutils-
python
realm join --user=adriend
linuxtricks.loc Password for adriend:
13. Gestion de la collision des UIDs
Notion de Zone ou de Cellule
portant les attributs POSIX
d’un objet UNIX pour un
ensemble de machines
considérées
Techniquement, aucun
besoin d’extension de
schéma, les profils UNIX sont
portés par des objets natifs
SCP (ServiceConnectionPoint)
14. Gestion des maps NIS
Pour un ensemble de
machines UNIX, le contrôleur
de domaine est vu comme un
serveur NIS master.
Déclaration d’un domaine NIS
associé à un ensemble de
machines UNIX
Depuis le client NIS, les
commandes ypcat classiques
continuent de fonctionner
La déclaration du domaine
NIS sur les machines UNIX
peut se faire par GPO
15. AD Bridge: les différents composants
Un agent sur les
systèmes: le « client
Active Directory »
Un stockage et des
services: Active
Directory
[ sans aucunes
modifications de
schéma ]
Des outils
d’administration et de
migration
Des connexions avec
d’autres outils
[Provisionnement,
portail IDM, etc...]
Votre
outil IAM
17. Conclusion
1 – Si environnement très simple, c’est à dire pas de collision d’UIDs, pas de
maps NIS et pas une multitude d’OS différents, vous pouvez partir sur les
fonctions natives de l’OS client (realm sous redhat/centOS)
2 – Si besoin de traiter un historique UNIX/Linux important (UIDs multiples,
maps NIS, etc.) et d’avoir un support professionnel, vous devez partir sur une
solution d’AD Bridge proposant des agents pour un ensemble de types
UNIX/Linux comme par exemple BeyondTrust AD Bridge
Pour toutes questions complémentaires:
sylvaincortes@hotmail.com
@sylvaincortes
Mon blog: www.identitycosmos.com