SlideShare une entreprise Scribd logo

Presentation new1

Télécharger en tant que PPTX, PDF
Bienvenu Nob
Bienvenu Nob

NoB presente

Formation
1  sur  41
UAHB Moussa GAYE Cheikh DIAGNE man_gaye@hotmail.fr dchico2005@hotmail.com 1
Plan  Introduction Présentation de Ldap Rôle de Ldap Limites de Ldap Solution Kerberos Implémentations Conclusion
Introduction Les services que nous devons rendre aux utilisateurs de notre réseau sont divers et variés. Un point primordiale est l’authentification. Il constitue le premier service rendu, le plus utilisé, mais aussi l’un de nos plus gros problèmes. Ainsi plusieurs solutions ont émergées parmi les quelles Samba ; Active Directory ou Ldap en présentant aux utilisateurs un identifiant unique : login/mot de passe. Cependant à tour de rôle ils ont chacun montrés leurs limites soit du point de vue de la sécurité ; soit de la taille du réseau ; soit de la lourdeur de traitement. Il faut donc fournir aux usagers un service Single Sign On (SSO) c’est-à-dire s’authentifier qu’une seule fois et qu’après tous les services compatibles ne redemandent pas une authentification : il s’agit de Kerberos avec son service de ticket
Présentation de Ldap Ldap est un protocole d’accès a un annuaire. Il est caractérisé par un accès rapide mais des mise à jours lentes. Il présente une structure d’arborescence et l’échange des données se fait le langage de recherche LDIF (LDAP Data Interchange Format) Chaque entrée est référencée de manière unique dans le DIT (Directoty Information Tree) par son distinguished name (DN). Le DN représente le nom de l'entrée sous la forme du chemin d'accès à celle-ci depuis le sommet de l'arbre. On peut comparer le DN au path d'un fichier Unix. CN (common name), il s'agit du nom de la personne OU (organizational unit), il s'agit du service de l'entreprise à laquelle appartient la personne O (organization), il s'agit de l'entreprise de la personne, DC (Domain Country) il du nom de domaine de l’entreprise.
Présentation de Ldap Schéma LDAP DIT .sn Root UAHB UCAD estm DC Science Gestion Droit O Licence Master I Master II OU Ababacar Moussa Cheikh CN
Rôle de Ldap Initialement, Ldap pour Lightweight Directory Access Protocol est un frontal d’accès à des bases d’annuaires X500. Il devient natif (standalone Ldap) utilisant sa propre base de données sous l’impulsion d’un groupe de l’université de Michigan. Ldap définit : Un protocole d’accès Un modèle d’information Un modèle de nommage Un modèle fonctionnel Un modèle de sécurité Un modèle de duplication Des API pour développer des applications clientes Des LDIF un format d’échange de données
Rôle de Ldap Le protocole définit : Comment s’établit la communication client serveur: commande pour se connecter se déconnecter, chercher, comparer, créer, modifier ou effacer des entrées. Comment s’établit la communication serveur serveur : échanger leur contenu, synchroniser, créer des liens permettant de relier des annuaires Le format de transport des données et mécanisme de sécurité: méthodes de chiffrement et d’authentification, mécanismes de règles d’accès au données Les opérations de base à savoir interrogation (search, compare), mise à jour (add, delete, modify, rename), connexion au service (bind, unbind,abandon)
Rôle de Ldap Établissement de la connexion, échange et déconnexion entre un server Ldap et un client Ldap
Limites de Ldap Lorsque qu’un système d’authentification est architecturé autour de l’annuaire Ldap, le service est réalisé par un fast bind sur l’annuaire du couple uid/password . Ainsi : les clients Unix se base sur le module pam_ldap ; Les clients Windows XP utilise le module pgina; Les montages NFS sont effectués sans authentification; Les applications web sont CASifiées; Les clients Windows impriment via des montages smb Les clients Unix impriment via pam_ldap Ldap est très adapté dans des environnements mixtes et est le plus disponible cependant:
Limites de Ldap Les mots de passe des usagers doivent impérativement être acheminer en clair depuis les postes de travail qui hébergent ses services jusqu’aux serveurs Ldap chargés des opérations de contrôle. L’utilisation de Ldaps (Ldap sur TLS) permet de contourner ce problème puisque impose une session TLS avant tout dialogue Ldap. Aussi pour chaque service il faut une réauthentification, ce parfois mal vu par l’usager car a chaque fois c’est le même couple uid/password à remettre ; mais aussi même si les mots de passe sont cryptés et que en théorie le chiffrement est non réversible une comparaison du mots de passe avec une table de mots de passe déjà utilisés est possible avec une telle fréquence de passage des mots de passe utilisateurs
Solution Kerberos Présentation de Kerberos Kerberos est un protocole d'authentification réseau qui repose sur un mécanisme de clés secrètes (chiffrement symétrique ) et l'utilisation de tickets, et non de mots de passe en clair, évitant ainsi le risque d'interception frauduleuse des mots de passe des utilisateurs. Créé au Massachusetts Institute of Technology (MIT), il porte le nom grec de Cerbère, gardien des Enfers (un chient à 3 tête). Kerberos fonctionne en environnement hétérogène, assurant la sécurité des échanges sur un réseau non sûr et permettant la mise en place d'un véritable service d'authentification unique. Kerberos utilise un système de chiffrement symétrique pour assurer un dialogue sécurisé entre deux protagonistes. Les dialogues s'opèrent en utilisant une clef secrète et partagée. Les algorithmes de chiffrement sont publics (AES, DES, 3DES, ...), toute la sécurité du système repose sur la confidentialité de la clef de chiffrement. Pour faciliter la gestion d'un tel système, Kerberos repose sur l'utilisation d'un tiers de confiance qui distribue les clefs aux utilisateurs et services abonnés (les principals). Un serveur Kerberos est appelé KDC
Solution Kerberos Kerberos est un service sûr qui assure la confidentialité, l'intégrité des données ainsi que la non-répudiation . Le service d'authentification assure l'identification unique du client et lui procure un ticket de session . Kerberos assure deux fonctionnalités : le service d'authentification et de délivrement de tickets de services. KDC : Key Distribution Center : base de données des clients et serveurs ainsi que les clés privées. TGS (Ticket Garanting Service) : c’est le service d’émission de tickets Principal : triplet composé du Primary name, l’insistance et Realm. Primary name : nom d’utilisateur ou du service Insistance : rôle ou groupe du Primary Realm : domaine d’administration associé à un serveur Kerberos Ticket : crédit temporaire permettant de vérifier l’identité du détenteur Client : entité pouvant obtenir un ticket TGT : ticket particulier permettant au détenteur d’obtenir d’autres tickets pour le même données
Solution Kerberos Le TGS reçoit alors son ticket et il peut le déchiffrer avec sa clé Fonctionnement de Kerberos secrète KTGS Le TGS peut alors émettre un ticket d'accès au Le client envoie serveur. Ce ticket est chiffré son nom au grâce à la clé secrète du serveur serveur de clés et KS lui indique le TGS qui l'intéresse Après vérification sur 2 1 l'identité du client le serveur le client envoie une demande 2’ de clés lui envoie alors un de ticket auprès du TGS. 1’ ticket TTGS. Ce ticket autorise le client à faire des Cette requête contient un requêtes auprès du TGS. identifiant chiffré avec la clé de session Le client envoie aussi le ticket qui lui avait été transmis par le serveur de clés. 3 Le client reçoit le ticket pour accéder aux services kerberisés du serveur ainsi que l'information chiffrée contenant la clé de session entre lui et le serveur. Le serveur vérifie que le ticket est valide (il le déchiffre avec sa clé secrète KS) et autorise l'accès au service si tout est correct.
Solution Kerberos Sécurité de Kerberos Une fois qu'un client s'est identifié, celui-ci obtient un ticket (généralement, un fichier texte - mais son contenu peut aussi être stocké dans une zone de mémoire sécurisée). Le ticket joue le rôle d'une carte d'identité à péremption assez courte, huit heures généralement. Si nécessaire, celui-ci peut être annulé prématurément. Sous les systèmes Kerberos c’est via la commande « kdestroy ». La sécurité de Kerberos repose sur la sécurité des différentes machines qu'il utilise. Une attaque sur le serveur de clés serait dramatique car elle pourrait permettre à l'attaquant de s'emparer des clés privées des clients et donc de se faire passer pour eux. Un autre problème qui pourrait survenir sur la machine du client est le vol des tickets. Ils pourraient être utilisés par une tierce personne pour accéder aux services offerts par les serveurs (si la clé entre le client et le serveur est connue).
Solution Kerberos Sécurité de Kerberos L'expiration du ticket permet de limiter les problèmes liés au vol des tickets. De plus, un ticket peut contenir l'adresse IP du client et le ticket n'est alors valable que s'il est employé depuis cette IP (ce champ est toutefois optionnel dans Kerberos, qui peut tout à fait être utilisé sur un réseau attribuant dynamiquement les IP au travers de DHCP). Une attaque sur les identifiants échouera car Kerberos leur ajoute un élément. Cela évite les attaques par renvoi d'identifiants qui auraient été interceptés. Les serveurs conservent l'historique des communications précédentes et peuvent facilement détecter un envoi frauduleux. L'avantage de Kerberos est de limiter le nombre d'identifiants et de pouvoir travailler sur un réseau non-sécurisé. Les identifications sont uniquement nécessaires pour l'obtention de nouveaux tickets d'accès au TGS.
Implémentation Implémentation de Ldap 1 - Vérification des RPMs à installer pour la configuration d’openldap 2 - Vérification des RPMs à installer pour la configuration du DNS
Implémentation 2 - Configuration du DNS: declarations de la zone direct et inverse dans /etc/named.conf
Implémentation Configuration du fichier zone directe: on édite le fichier /etc/var/named/admin.zone Configuration de la zone indirecte: on édite le fichier /etc/var/named/minda.zone
Implémentation éditer le fichier /etc/resolv.conf ; y renseigner l’adresse Ip et le nom de domaine du serveur DNS Faire des test pour voir si notre serveur marche mais avant il faut penser à redemarrer le service named
Implémentation Éditer le fichier /etc/openldap/slapd.conf
Implémentation On peut crypter le mot de passe Ldap en exécutant la commande suivante Pour les modification en compte on redémarre le service Ldap On peut ainsi démarrer la migration des fichiers /etc/passwd et /etc/group ; éditer le fichier suivant :
Implémentation
Implémentation On exporte les fichiers d’authentification /etc/passwd et /etc/group en des fichiers .ldif compréhensible par Ldap pour l’échange de données On crée le fichier que l’on nomme /tmp/temps.ldif dans lequel est défini l’arborescence ou la structure de notre serveur Ldap : on fait : #vim /tmp/temps.ldif
Implémentation On le renseigne au serveur Ldap
Implémentation On édite le fichier /etc/ldap.conf
Implémentation Éditer le fichier /etc/nsswitch.conf Éditer le fichier /etc/pam.d/login
Implémentation Éditer le fichier /etc/pam.d/su Éditer le fichier /etc/pam.d/gdm
Implémentation Ajouter un nouvel utilisateur : vim /tmp/newuser.ldif Ajouter un nouvel groupe : vim /tmp/newgroup.ldif
Implémentation Renseigner le nouvel groupe et le nouvel utilisateur à l’annuaire Ldap par les commandes suivantes:
Implémentation on donne à l’utilisateur dchico tous les droits sur son répertoire et on configure Ldap et httpd afin qu’ils soient à START au démarrage ; puis on redémarre le serveur avec la commande reboot Et nous voyons qu’après redémarrage , le serveur nous demande de nous connecter avec le mot de passe Ldap
Implémentation Implémentation de la solution Kerberos Vérification des paquets à utiliser Modifiez les fichiers de configuration /etc/krb5.conf et /var/kerberos/krb5kdc/kdc.conf afin qu'ils reflètent le nom de votre zone (realm) et les mappages domaine-zone. Editons le fichier : vim /etc/krb5.conf
Implémentation
Implémentation Ensuite : vim /var/kerberos/krb5kdc/kdc.conf
Implémentation Ensuite on passe à la création de la base de données Kerberos en exécutant : /usr/kerberos/sbin/kdb5_util create -s Voila la base de données est ainsi créée. Pour le voir on fait un « ls » du répertoire /var/kerberos/krb5kdc/
Implémentation Maintenant on passe à la définition des administrateurs de la base de donnée kerberos Pour cela éditons : vim /var/kerberos/krb5kdc/kadm5.acl On ajoute les users (principal) définis dans le fichier précédent. Pour cela exécuter sur le KDC pour administrer la base de donnée kerberos : kadmin.local
Implémentation Ajout d’un autre principal Vérifions les différents principaux en exécutant toujours kadmin.local puis listprincs
Implémentation A noter que pour administrer le serveur kerberos en réseau exécuter plutôt kadmin au lieu de kadmin.local On redémarre les services krb5kdc, kadmin et krb524
Implémentation Démarrage automatique des services : A présent le serveur est en mesure de délivrer des tickets Pour un aperçu exécuter, pour s’authentifier et obtenir un ticket (certificat d’identité): kinit root/admin
Implémentation
Conclusion L’authentification dans un système est d’une importance capitale. Ldap bien qu’étant un excellant annuaire présente des limites quand il s’agit de l’authentification. Kerberos en lui-même apporte beaucoup d’ éléments de possibilités de services, de sécurité. Il existe depuis des années mais n’a pas vraiment percé. Son principal inconvénient reste sa configuration. Chaque client doit avoir un compte et chaque service un compte relié à ce client. Même si cela est automatisé il reste compliqué. Cependant avec Kerberos on bénéficie d’un SSO ; ce qui un gain en terme de sécurité pour l’ingénieur et un gain en terme de simplicité pour l’usager.
Presentation new1

Recommandé

La gestion des identités pour qui, pourquoi ?
La gestion des identités pour qui, pourquoi ?La gestion des identités pour qui, pourquoi ?
La gestion des identités pour qui, pourquoi ?Benoit Mortier
 
LinSign : la signature électronique en Open Source
LinSign : la signature électronique en Open Source LinSign : la signature électronique en Open Source
LinSign : la signature électronique en Open Source LINAGORA
 
La signature numérique
La signature numériqueLa signature numérique
La signature numériqueBruno Bonfils
 
Bitcoin: A Peer-to-Peer Electronic Cash System (traduction fr)
Bitcoin: A Peer-to-Peer Electronic Cash System (traduction fr)Bitcoin: A Peer-to-Peer Electronic Cash System (traduction fr)
Bitcoin: A Peer-to-Peer Electronic Cash System (traduction fr)Nabil Bouzerna
 
Signature et certificat electroniques (2007)
Signature et certificat electroniques (2007)Signature et certificat electroniques (2007)
Signature et certificat electroniques (2007)Ardesi Midi-Pyrénées
 
Identity Days - 2020 Démystification d’Azure AD connect et ADConnect Health M...
Identity Days - 2020 Démystification d’Azure AD connect et ADConnect Health M...Identity Days - 2020 Démystification d’Azure AD connect et ADConnect Health M...
Identity Days - 2020 Démystification d’Azure AD connect et ADConnect Health M...Identity Days
 
Baromètre Hopscotch Like Me I'm Famous - 15 02 2012
Baromètre Hopscotch Like Me I'm Famous - 15 02 2012Baromètre Hopscotch Like Me I'm Famous - 15 02 2012
Baromètre Hopscotch Like Me I'm Famous - 15 02 2012Hopscotch
 
Et si on jouait au tdd 20131017
Et si on jouait au tdd 20131017Et si on jouait au tdd 20131017
Et si on jouait au tdd 20131017François-Xavier Maquaire
 

Recommandé

La gestion des identités pour qui, pourquoi ?
La gestion des identités pour qui, pourquoi ?La gestion des identités pour qui, pourquoi ?
La gestion des identités pour qui, pourquoi ?Benoit Mortier
 
LinSign : la signature électronique en Open Source
LinSign : la signature électronique en Open Source LinSign : la signature électronique en Open Source
LinSign : la signature électronique en Open Source LINAGORA
 
La signature numérique
La signature numériqueLa signature numérique
La signature numériqueBruno Bonfils
 
Bitcoin: A Peer-to-Peer Electronic Cash System (traduction fr)
Bitcoin: A Peer-to-Peer Electronic Cash System (traduction fr)Bitcoin: A Peer-to-Peer Electronic Cash System (traduction fr)
Bitcoin: A Peer-to-Peer Electronic Cash System (traduction fr)Nabil Bouzerna
 
Signature et certificat electroniques (2007)
Signature et certificat electroniques (2007)Signature et certificat electroniques (2007)
Signature et certificat electroniques (2007)Ardesi Midi-Pyrénées
 
Identity Days - 2020 Démystification d’Azure AD connect et ADConnect Health M...
Identity Days - 2020 Démystification d’Azure AD connect et ADConnect Health M...Identity Days - 2020 Démystification d’Azure AD connect et ADConnect Health M...
Identity Days - 2020 Démystification d’Azure AD connect et ADConnect Health M...Identity Days
 
Baromètre Hopscotch Like Me I'm Famous - 15 02 2012
Baromètre Hopscotch Like Me I'm Famous - 15 02 2012Baromètre Hopscotch Like Me I'm Famous - 15 02 2012
Baromètre Hopscotch Like Me I'm Famous - 15 02 2012Hopscotch
 
Et si on jouait au tdd 20131017
Et si on jouait au tdd 20131017Et si on jouait au tdd 20131017
Et si on jouait au tdd 20131017François-Xavier Maquaire
 
Proyecto de ley orgánica de comunicación
Proyecto de ley orgánica de comunicaciónProyecto de ley orgánica de comunicación
Proyecto de ley orgánica de comunicaciónFernando Cáceres
 
Kit smartphone-février 2015
Kit smartphone-février 2015Kit smartphone-février 2015
Kit smartphone-février 2015Maroc Telecom
 
Guide pratique pour un Etat de surveillance parfait
Guide pratique pour un Etat de surveillance parfaitGuide pratique pour un Etat de surveillance parfait
Guide pratique pour un Etat de surveillance parfaitKirsten Fiedler
 
El realismo
El realismoEl realismo
El realismoSílvia Montals
 
Projet Cloud / Big Data - Optimisation de la QOS
Projet Cloud / Big Data - Optimisation de la QOSProjet Cloud / Big Data - Optimisation de la QOS
Projet Cloud / Big Data - Optimisation de la QOSSébastien Kieger
 
Les aventures de José ficace je n'ai pas eu le temps de préparer mon rdv
Les aventures de José ficace je n'ai pas eu le temps de préparer mon rdvLes aventures de José ficace je n'ai pas eu le temps de préparer mon rdv
Les aventures de José ficace je n'ai pas eu le temps de préparer mon rdvCharles Verot
 
OpinionWay pour HelloAsso - Les Français et l'économie sociale et solidaire -...
OpinionWay pour HelloAsso - Les Français et l'économie sociale et solidaire -...OpinionWay pour HelloAsso - Les Français et l'économie sociale et solidaire -...
OpinionWay pour HelloAsso - Les Français et l'économie sociale et solidaire -...contactOpinionWay
 
Le Québec, votre destination d'affaires
Le Québec, votre destination d'affairesLe Québec, votre destination d'affaires
Le Québec, votre destination d'affairesInvestissement Québec
 
Cir0109
Cir0109Cir0109
Cir0109ustapha
 
Las Tics y los docentes
Las Tics y los docentesLas Tics y los docentes
Las Tics y los docenteslguevaragamboa
 
L'aparell circulatori cristian i andrea
L'aparell circulatori cristian i andreaL'aparell circulatori cristian i andrea
L'aparell circulatori cristian i andreaEscola Montseny
 
La baisse des ventes
La baisse des ventesLa baisse des ventes
La baisse des ventesLucas Jolivet
 
Analyse der Online-Strategien der Volksparteien - Can we auch?
Analyse der Online-Strategien der Volksparteien - Can we auch?Analyse der Online-Strategien der Volksparteien - Can we auch?
Analyse der Online-Strategien der Volksparteien - Can we auch?njwagner
 
Tarea de tecnologia
Tarea de tecnologiaTarea de tecnologia
Tarea de tecnologiajennifer1994
 
Trackoid Rescue
Trackoid RescueTrackoid Rescue
Trackoid RescueGis3W - Applicazione Web e WebGis
 
Pinceau d-or-2011-cornillon confoux2
Pinceau d-or-2011-cornillon confoux2Pinceau d-or-2011-cornillon confoux2
Pinceau d-or-2011-cornillon confoux2GRIPON-MURALS
 
Diseño Instruccional - Sesión 3
Diseño Instruccional - Sesión 3Diseño Instruccional - Sesión 3
Diseño Instruccional - Sesión 3Edgar Linares
 
Eurotel Group | L'histoire de notre succès
Eurotel Group | L'histoire de notre succèsEurotel Group | L'histoire de notre succès
Eurotel Group | L'histoire de notre succèsEurotelGroup France
 
SSL.TLS.pptx
SSL.TLS.pptxSSL.TLS.pptx
SSL.TLS.pptxkohay75604
 
Kerberoasting.pptx
Kerberoasting.pptxKerberoasting.pptx
Kerberoasting.pptxSamSung693711
 
application SSL_TLS.pptx
application SSL_TLS.pptxapplication SSL_TLS.pptx
application SSL_TLS.pptxkohay75604
 
5-Authentification.2P.pdf
5-Authentification.2P.pdf5-Authentification.2P.pdf
5-Authentification.2P.pdfBellaj Badr
 

Contenu connexe

En vedette

Proyecto de ley orgánica de comunicación
Proyecto de ley orgánica de comunicaciónProyecto de ley orgánica de comunicación
Proyecto de ley orgánica de comunicaciónFernando Cáceres
 
Kit smartphone-février 2015
Kit smartphone-février 2015Kit smartphone-février 2015
Kit smartphone-février 2015Maroc Telecom
 
Guide pratique pour un Etat de surveillance parfait
Guide pratique pour un Etat de surveillance parfaitGuide pratique pour un Etat de surveillance parfait
Guide pratique pour un Etat de surveillance parfaitKirsten Fiedler
 
Projet Cloud / Big Data - Optimisation de la QOS
Projet Cloud / Big Data - Optimisation de la QOSProjet Cloud / Big Data - Optimisation de la QOS
Projet Cloud / Big Data - Optimisation de la QOSSébastien Kieger
 
Les aventures de José ficace je n'ai pas eu le temps de préparer mon rdv
Les aventures de José ficace je n'ai pas eu le temps de préparer mon rdvLes aventures de José ficace je n'ai pas eu le temps de préparer mon rdv
Les aventures de José ficace je n'ai pas eu le temps de préparer mon rdvCharles Verot
 
OpinionWay pour HelloAsso - Les Français et l'économie sociale et solidaire -...
OpinionWay pour HelloAsso - Les Français et l'économie sociale et solidaire -...OpinionWay pour HelloAsso - Les Français et l'économie sociale et solidaire -...
OpinionWay pour HelloAsso - Les Français et l'économie sociale et solidaire -...contactOpinionWay
 
Le Québec, votre destination d'affaires
Le Québec, votre destination d'affairesLe Québec, votre destination d'affaires
Le Québec, votre destination d'affairesInvestissement Québec
 
Las Tics y los docentes
Las Tics y los docentesLas Tics y los docentes
Las Tics y los docenteslguevaragamboa
 
L'aparell circulatori cristian i andrea
L'aparell circulatori cristian i andreaL'aparell circulatori cristian i andrea
L'aparell circulatori cristian i andreaEscola Montseny
 
La baisse des ventes
La baisse des ventesLa baisse des ventes
La baisse des ventesLucas Jolivet
 
Analyse der Online-Strategien der Volksparteien - Can we auch?
Analyse der Online-Strategien der Volksparteien - Can we auch?Analyse der Online-Strategien der Volksparteien - Can we auch?
Analyse der Online-Strategien der Volksparteien - Can we auch?njwagner
 
Tarea de tecnologia
Tarea de tecnologiaTarea de tecnologia
Tarea de tecnologiajennifer1994
 
Pinceau d-or-2011-cornillon confoux2
Pinceau d-or-2011-cornillon confoux2Pinceau d-or-2011-cornillon confoux2
Pinceau d-or-2011-cornillon confoux2GRIPON-MURALS
 
Diseño Instruccional - Sesión 3
Diseño Instruccional - Sesión 3Diseño Instruccional - Sesión 3
Diseño Instruccional - Sesión 3Edgar Linares
 
Eurotel Group | L'histoire de notre succès
Eurotel Group | L'histoire de notre succèsEurotel Group | L'histoire de notre succès
Eurotel Group | L'histoire de notre succèsEurotelGroup France
 

En vedette (18)

Proyecto de ley orgánica de comunicación
Proyecto de ley orgánica de comunicaciónProyecto de ley orgánica de comunicación
Proyecto de ley orgánica de comunicación
 
Kit smartphone-février 2015
Kit smartphone-février 2015Kit smartphone-février 2015
Kit smartphone-février 2015
 
Guide pratique pour un Etat de surveillance parfait
Guide pratique pour un Etat de surveillance parfaitGuide pratique pour un Etat de surveillance parfait
Guide pratique pour un Etat de surveillance parfait
 
El realismo
El realismoEl realismo
El realismo
 
Projet Cloud / Big Data - Optimisation de la QOS
Projet Cloud / Big Data - Optimisation de la QOSProjet Cloud / Big Data - Optimisation de la QOS
Projet Cloud / Big Data - Optimisation de la QOS
 
Les aventures de José ficace je n'ai pas eu le temps de préparer mon rdv
Les aventures de José ficace je n'ai pas eu le temps de préparer mon rdvLes aventures de José ficace je n'ai pas eu le temps de préparer mon rdv
Les aventures de José ficace je n'ai pas eu le temps de préparer mon rdv
 
OpinionWay pour HelloAsso - Les Français et l'économie sociale et solidaire -...
OpinionWay pour HelloAsso - Les Français et l'économie sociale et solidaire -...OpinionWay pour HelloAsso - Les Français et l'économie sociale et solidaire -...
OpinionWay pour HelloAsso - Les Français et l'économie sociale et solidaire -...
 
Le Québec, votre destination d'affaires
Le Québec, votre destination d'affairesLe Québec, votre destination d'affaires
Le Québec, votre destination d'affaires
 
Cir0109
Cir0109Cir0109
Cir0109
 
Las Tics y los docentes
Las Tics y los docentesLas Tics y los docentes
Las Tics y los docentes
 
L'aparell circulatori cristian i andrea
L'aparell circulatori cristian i andreaL'aparell circulatori cristian i andrea
L'aparell circulatori cristian i andrea
 
La baisse des ventes
La baisse des ventesLa baisse des ventes
La baisse des ventes
 
Analyse der Online-Strategien der Volksparteien - Can we auch?
Analyse der Online-Strategien der Volksparteien - Can we auch?Analyse der Online-Strategien der Volksparteien - Can we auch?
Analyse der Online-Strategien der Volksparteien - Can we auch?
 
Tarea de tecnologia
Tarea de tecnologiaTarea de tecnologia
Tarea de tecnologia
 
Trackoid Rescue
Trackoid RescueTrackoid Rescue
Trackoid Rescue
 
Pinceau d-or-2011-cornillon confoux2
Pinceau d-or-2011-cornillon confoux2Pinceau d-or-2011-cornillon confoux2
Pinceau d-or-2011-cornillon confoux2
 
Diseño Instruccional - Sesión 3
Diseño Instruccional - Sesión 3Diseño Instruccional - Sesión 3
Diseño Instruccional - Sesión 3
 
Eurotel Group | L'histoire de notre succès
Eurotel Group | L'histoire de notre succèsEurotel Group | L'histoire de notre succès
Eurotel Group | L'histoire de notre succès
 

Similaire à Presentation new1

application SSL_TLS.pptx
application SSL_TLS.pptxapplication SSL_TLS.pptx
application SSL_TLS.pptxkohay75604
 
5-Authentification.2P.pdf
5-Authentification.2P.pdf5-Authentification.2P.pdf
5-Authentification.2P.pdfBellaj Badr
 
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Identity Days
 
Webinar SSL Français
Webinar SSL FrançaisWebinar SSL Français
Webinar SSL FrançaisSSL247®
 
cours-gratuit.com--CoursInformatique-id3180.pdf
cours-gratuit.com--CoursInformatique-id3180.pdfcours-gratuit.com--CoursInformatique-id3180.pdf
cours-gratuit.com--CoursInformatique-id3180.pdfGodefroyCheumaniTche1
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécuritédihiaselma
 
Projet Pki Etapes Clefs
Projet Pki Etapes ClefsProjet Pki Etapes Clefs
Projet Pki Etapes Clefsfabricemeillon
 
Sécurisation des services WCF avec WS-Security
Sécurisation des services WCF avec WS-SecuritySécurisation des services WCF avec WS-Security
Sécurisation des services WCF avec WS-SecuritySlimen Belhaj Ali
 
Strong Authentication with PKI
Strong Authentication with PKIStrong Authentication with PKI
Strong Authentication with PKISylvain Maret
 
Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Sylvain Maret
 
Cours HTTPS pour UnPointZero
Cours HTTPS pour UnPointZeroCours HTTPS pour UnPointZero
Cours HTTPS pour UnPointZeroCHILDZ Laurent
 
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7Microsoft Technet France
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Microsoft Technet France
 

Similaire à Presentation new1 (20)

SSL.TLS.pptx
SSL.TLS.pptxSSL.TLS.pptx
SSL.TLS.pptx
 
Kerberoasting.pptx
Kerberoasting.pptxKerberoasting.pptx
Kerberoasting.pptx
 
application SSL_TLS.pptx
application SSL_TLS.pptxapplication SSL_TLS.pptx
application SSL_TLS.pptx
 
5-Authentification.2P.pdf
5-Authentification.2P.pdf5-Authentification.2P.pdf
5-Authentification.2P.pdf
 
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
 
Webinar SSL Français
Webinar SSL FrançaisWebinar SSL Français
Webinar SSL Français
 
cours-gratuit.com--CoursInformatique-id3180.pdf
cours-gratuit.com--CoursInformatique-id3180.pdfcours-gratuit.com--CoursInformatique-id3180.pdf
cours-gratuit.com--CoursInformatique-id3180.pdf
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
 
Cours si1
Cours si1Cours si1
Cours si1
 
Projet Pki Etapes Clefs
Projet Pki Etapes ClefsProjet Pki Etapes Clefs
Projet Pki Etapes Clefs
 
Sécurisation des services WCF avec WS-Security
Sécurisation des services WCF avec WS-SecuritySécurisation des services WCF avec WS-Security
Sécurisation des services WCF avec WS-Security
 
Strong Authentication with PKI
Strong Authentication with PKIStrong Authentication with PKI
Strong Authentication with PKI
 
Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002
 
radius
radiusradius
radius
 
Cours HTTPS pour UnPointZero
Cours HTTPS pour UnPointZeroCours HTTPS pour UnPointZero
Cours HTTPS pour UnPointZero
 
Le protocole tls
Le protocole tlsLe protocole tls
Le protocole tls
 
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7
 
Sécurité-Wifi
Sécurité-WifiSécurité-Wifi
Sécurité-Wifi
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365
 
Best practise Infrastructure pki
Best practise Infrastructure pkiBest practise Infrastructure pki
Best practise Infrastructure pki
 

Dernier

Grammaire pour les élèves de la 6ème.doc
Grammaire pour les élèves de la 6ème.docGrammaire pour les élèves de la 6ème.doc
Grammaire pour les élèves de la 6ème.docKarimKhrifech
 
MICROBIOLOGIE ENDODONTIQUE english and frensh 25 nov 2020.pdf
MICROBIOLOGIE ENDODONTIQUE english and frensh 25 nov 2020.pdfMICROBIOLOGIE ENDODONTIQUE english and frensh 25 nov 2020.pdf
MICROBIOLOGIE ENDODONTIQUE english and frensh 25 nov 2020.pdfssuser40e112
 
LA MONTÉE DE L'ÉDUCATION DANS LE MONDE DE LA PRÉHISTOIRE À L'ÈRE CONTEMPORAIN...
LA MONTÉE DE L'ÉDUCATION DANS LE MONDE DE LA PRÉHISTOIRE À L'ÈRE CONTEMPORAIN...LA MONTÉE DE L'ÉDUCATION DANS LE MONDE DE LA PRÉHISTOIRE À L'ÈRE CONTEMPORAIN...
LA MONTÉE DE L'ÉDUCATION DANS LE MONDE DE LA PRÉHISTOIRE À L'ÈRE CONTEMPORAIN...Faga1939
 
presentation l'interactionnisme symbolique finale.pptx
presentation l'interactionnisme symbolique finale.pptxpresentation l'interactionnisme symbolique finale.pptx
presentation l'interactionnisme symbolique finale.pptxMalikaIdseaid1
 
Approche-des-risques-par-l’analyse-des-accidents-1.pptx
Approche-des-risques-par-l’analyse-des-accidents-1.pptxApproche-des-risques-par-l’analyse-des-accidents-1.pptx
Approche-des-risques-par-l’analyse-des-accidents-1.pptxssusercbaa22
 
Formation M2i - Comprendre les neurosciences pour développer son leadership
Formation M2i - Comprendre les neurosciences pour développer son leadershipFormation M2i - Comprendre les neurosciences pour développer son leadership
Formation M2i - Comprendre les neurosciences pour développer son leadershipM2i Formation
 
gestion des conflits dans les entreprises
gestion des conflits dans les entreprisesgestion des conflits dans les entreprises
gestion des conflits dans les entreprisesMajdaKtiri2
 
présentation sur l'échafaudage dans des travaux en hauteur
présentation sur l'échafaudage dans des travaux en hauteurprésentation sur l'échafaudage dans des travaux en hauteur
présentation sur l'échafaudage dans des travaux en hauteurdinaelchaine
 
Cours-irrigation_et_drainage_cours1.pptx
Cours-irrigation_et_drainage_cours1.pptxCours-irrigation_et_drainage_cours1.pptx
Cours-irrigation_et_drainage_cours1.pptxlamourfrantz
 
A3iFormations, organisme de formations certifié qualiopi.
A3iFormations, organisme de formations certifié qualiopi.A3iFormations, organisme de formations certifié qualiopi.
A3iFormations, organisme de formations certifié qualiopi.Franck Apolis
 
Bolero. pptx . Film de A nnne Fontaine
Bolero. pptx . Film de A nnne FontaineBolero. pptx . Film de A nnne Fontaine
Bolero. pptx . Film de A nnne FontaineTxaruka
 
Sidonie au Japon . pptx Un film français
Sidonie au Japon . pptx Un film françaisSidonie au Japon . pptx Un film français
Sidonie au Japon . pptx Un film françaisTxaruka
 
systeme expert_systeme expert_systeme expert
systeme expert_systeme expert_systeme expertsysteme expert_systeme expert_systeme expert
systeme expert_systeme expert_systeme expertChristianMbip
 
Fondation Louis Vuitton. pptx
Fondation Louis Vuitton. pptxFondation Louis Vuitton. pptx
Fondation Louis Vuitton. pptxTxaruka
 
Présentation de cartes d'extension zhr..pptx
Présentation de cartes d'extension zhr..pptxPrésentation de cartes d'extension zhr..pptx
Présentation de cartes d'extension zhr..pptxpopzair
 
Mécanique Automobile LE TURBOCOMPRESSEUR.ppt
Mécanique Automobile LE TURBOCOMPRESSEUR.pptMécanique Automobile LE TURBOCOMPRESSEUR.ppt
Mécanique Automobile LE TURBOCOMPRESSEUR.pptssusercbaa22
 
MaintenanceLa Maintenance Corrective.ppt
MaintenanceLa Maintenance Corrective.pptMaintenanceLa Maintenance Corrective.ppt
MaintenanceLa Maintenance Corrective.pptssusercbaa22
 
SUPPORT DE SUR COURS_GOUVERNANCE_SI_M2.pptx
SUPPORT DE SUR COURS_GOUVERNANCE_SI_M2.pptxSUPPORT DE SUR COURS_GOUVERNANCE_SI_M2.pptx
SUPPORT DE SUR COURS_GOUVERNANCE_SI_M2.pptxssuserbd075f
 

Dernier (20)

Grammaire pour les élèves de la 6ème.doc
Grammaire pour les élèves de la 6ème.docGrammaire pour les élèves de la 6ème.doc
Grammaire pour les élèves de la 6ème.doc
 
Pâques de Sainte Marie-Euphrasie Pelletier
Pâques de Sainte Marie-Euphrasie PelletierPâques de Sainte Marie-Euphrasie Pelletier
Pâques de Sainte Marie-Euphrasie Pelletier
 
MICROBIOLOGIE ENDODONTIQUE english and frensh 25 nov 2020.pdf
MICROBIOLOGIE ENDODONTIQUE english and frensh 25 nov 2020.pdfMICROBIOLOGIE ENDODONTIQUE english and frensh 25 nov 2020.pdf
MICROBIOLOGIE ENDODONTIQUE english and frensh 25 nov 2020.pdf
 
LA MONTÉE DE L'ÉDUCATION DANS LE MONDE DE LA PRÉHISTOIRE À L'ÈRE CONTEMPORAIN...
LA MONTÉE DE L'ÉDUCATION DANS LE MONDE DE LA PRÉHISTOIRE À L'ÈRE CONTEMPORAIN...LA MONTÉE DE L'ÉDUCATION DANS LE MONDE DE LA PRÉHISTOIRE À L'ÈRE CONTEMPORAIN...
LA MONTÉE DE L'ÉDUCATION DANS LE MONDE DE LA PRÉHISTOIRE À L'ÈRE CONTEMPORAIN...
 
presentation l'interactionnisme symbolique finale.pptx
presentation l'interactionnisme symbolique finale.pptxpresentation l'interactionnisme symbolique finale.pptx
presentation l'interactionnisme symbolique finale.pptx
 
Approche-des-risques-par-l’analyse-des-accidents-1.pptx
Approche-des-risques-par-l’analyse-des-accidents-1.pptxApproche-des-risques-par-l’analyse-des-accidents-1.pptx
Approche-des-risques-par-l’analyse-des-accidents-1.pptx
 
Formation M2i - Comprendre les neurosciences pour développer son leadership
Formation M2i - Comprendre les neurosciences pour développer son leadershipFormation M2i - Comprendre les neurosciences pour développer son leadership
Formation M2i - Comprendre les neurosciences pour développer son leadership
 
gestion des conflits dans les entreprises
gestion des conflits dans les entreprisesgestion des conflits dans les entreprises
gestion des conflits dans les entreprises
 
Evaluación Alumnos de Ecole Victor Hugo
Evaluación Alumnos de Ecole Victor HugoEvaluación Alumnos de Ecole Victor Hugo
Evaluación Alumnos de Ecole Victor Hugo
 
présentation sur l'échafaudage dans des travaux en hauteur
présentation sur l'échafaudage dans des travaux en hauteurprésentation sur l'échafaudage dans des travaux en hauteur
présentation sur l'échafaudage dans des travaux en hauteur
 
Cours-irrigation_et_drainage_cours1.pptx
Cours-irrigation_et_drainage_cours1.pptxCours-irrigation_et_drainage_cours1.pptx
Cours-irrigation_et_drainage_cours1.pptx
 
A3iFormations, organisme de formations certifié qualiopi.
A3iFormations, organisme de formations certifié qualiopi.A3iFormations, organisme de formations certifié qualiopi.
A3iFormations, organisme de formations certifié qualiopi.
 
Bolero. pptx . Film de A nnne Fontaine
Bolero. pptx . Film de A nnne FontaineBolero. pptx . Film de A nnne Fontaine
Bolero. pptx . Film de A nnne Fontaine
 
Sidonie au Japon . pptx Un film français
Sidonie au Japon . pptx Un film françaisSidonie au Japon . pptx Un film français
Sidonie au Japon . pptx Un film français
 
systeme expert_systeme expert_systeme expert
systeme expert_systeme expert_systeme expertsysteme expert_systeme expert_systeme expert
systeme expert_systeme expert_systeme expert
 
Fondation Louis Vuitton. pptx
Fondation Louis Vuitton. pptxFondation Louis Vuitton. pptx
Fondation Louis Vuitton. pptx
 
Présentation de cartes d'extension zhr..pptx
Présentation de cartes d'extension zhr..pptxPrésentation de cartes d'extension zhr..pptx
Présentation de cartes d'extension zhr..pptx
 
Mécanique Automobile LE TURBOCOMPRESSEUR.ppt
Mécanique Automobile LE TURBOCOMPRESSEUR.pptMécanique Automobile LE TURBOCOMPRESSEUR.ppt
Mécanique Automobile LE TURBOCOMPRESSEUR.ppt
 
MaintenanceLa Maintenance Corrective.ppt
MaintenanceLa Maintenance Corrective.pptMaintenanceLa Maintenance Corrective.ppt
MaintenanceLa Maintenance Corrective.ppt
 
SUPPORT DE SUR COURS_GOUVERNANCE_SI_M2.pptx
SUPPORT DE SUR COURS_GOUVERNANCE_SI_M2.pptxSUPPORT DE SUR COURS_GOUVERNANCE_SI_M2.pptx
SUPPORT DE SUR COURS_GOUVERNANCE_SI_M2.pptx
 

Presentation new1

  • 1. UAHB Moussa GAYE Cheikh DIAGNE man_gaye@hotmail.fr dchico2005@hotmail.com 1
  • 2. Plan  Introduction Présentation de Ldap Rôle de Ldap Limites de Ldap Solution Kerberos Implémentations Conclusion
  • 3. Introduction Les services que nous devons rendre aux utilisateurs de notre réseau sont divers et variés. Un point primordiale est l’authentification. Il constitue le premier service rendu, le plus utilisé, mais aussi l’un de nos plus gros problèmes. Ainsi plusieurs solutions ont émergées parmi les quelles Samba ; Active Directory ou Ldap en présentant aux utilisateurs un identifiant unique : login/mot de passe. Cependant à tour de rôle ils ont chacun montrés leurs limites soit du point de vue de la sécurité ; soit de la taille du réseau ; soit de la lourdeur de traitement. Il faut donc fournir aux usagers un service Single Sign On (SSO) c’est-à-dire s’authentifier qu’une seule fois et qu’après tous les services compatibles ne redemandent pas une authentification : il s’agit de Kerberos avec son service de ticket
  • 4. Présentation de Ldap Ldap est un protocole d’accès a un annuaire. Il est caractérisé par un accès rapide mais des mise à jours lentes. Il présente une structure d’arborescence et l’échange des données se fait le langage de recherche LDIF (LDAP Data Interchange Format) Chaque entrée est référencée de manière unique dans le DIT (Directoty Information Tree) par son distinguished name (DN). Le DN représente le nom de l'entrée sous la forme du chemin d'accès à celle-ci depuis le sommet de l'arbre. On peut comparer le DN au path d'un fichier Unix. CN (common name), il s'agit du nom de la personne OU (organizational unit), il s'agit du service de l'entreprise à laquelle appartient la personne O (organization), il s'agit de l'entreprise de la personne, DC (Domain Country) il du nom de domaine de l’entreprise.
  • 5. Présentation de Ldap Schéma LDAP DIT .sn Root UAHB UCAD estm DC Science Gestion Droit O Licence Master I Master II OU Ababacar Moussa Cheikh CN
  • 6. Rôle de Ldap Initialement, Ldap pour Lightweight Directory Access Protocol est un frontal d’accès à des bases d’annuaires X500. Il devient natif (standalone Ldap) utilisant sa propre base de données sous l’impulsion d’un groupe de l’université de Michigan. Ldap définit : Un protocole d’accès Un modèle d’information Un modèle de nommage Un modèle fonctionnel Un modèle de sécurité Un modèle de duplication Des API pour développer des applications clientes Des LDIF un format d’échange de données
  • 7. Rôle de Ldap Le protocole définit : Comment s’établit la communication client serveur: commande pour se connecter se déconnecter, chercher, comparer, créer, modifier ou effacer des entrées. Comment s’établit la communication serveur serveur : échanger leur contenu, synchroniser, créer des liens permettant de relier des annuaires Le format de transport des données et mécanisme de sécurité: méthodes de chiffrement et d’authentification, mécanismes de règles d’accès au données Les opérations de base à savoir interrogation (search, compare), mise à jour (add, delete, modify, rename), connexion au service (bind, unbind,abandon)
  • 8. Rôle de Ldap Établissement de la connexion, échange et déconnexion entre un server Ldap et un client Ldap
  • 9. Limites de Ldap Lorsque qu’un système d’authentification est architecturé autour de l’annuaire Ldap, le service est réalisé par un fast bind sur l’annuaire du couple uid/password . Ainsi : les clients Unix se base sur le module pam_ldap ; Les clients Windows XP utilise le module pgina; Les montages NFS sont effectués sans authentification; Les applications web sont CASifiées; Les clients Windows impriment via des montages smb Les clients Unix impriment via pam_ldap Ldap est très adapté dans des environnements mixtes et est le plus disponible cependant:
  • 10. Limites de Ldap Les mots de passe des usagers doivent impérativement être acheminer en clair depuis les postes de travail qui hébergent ses services jusqu’aux serveurs Ldap chargés des opérations de contrôle. L’utilisation de Ldaps (Ldap sur TLS) permet de contourner ce problème puisque impose une session TLS avant tout dialogue Ldap. Aussi pour chaque service il faut une réauthentification, ce parfois mal vu par l’usager car a chaque fois c’est le même couple uid/password à remettre ; mais aussi même si les mots de passe sont cryptés et que en théorie le chiffrement est non réversible une comparaison du mots de passe avec une table de mots de passe déjà utilisés est possible avec une telle fréquence de passage des mots de passe utilisateurs
  • 11. Solution Kerberos Présentation de Kerberos Kerberos est un protocole d'authentification réseau qui repose sur un mécanisme de clés secrètes (chiffrement symétrique ) et l'utilisation de tickets, et non de mots de passe en clair, évitant ainsi le risque d'interception frauduleuse des mots de passe des utilisateurs. Créé au Massachusetts Institute of Technology (MIT), il porte le nom grec de Cerbère, gardien des Enfers (un chient à 3 tête). Kerberos fonctionne en environnement hétérogène, assurant la sécurité des échanges sur un réseau non sûr et permettant la mise en place d'un véritable service d'authentification unique. Kerberos utilise un système de chiffrement symétrique pour assurer un dialogue sécurisé entre deux protagonistes. Les dialogues s'opèrent en utilisant une clef secrète et partagée. Les algorithmes de chiffrement sont publics (AES, DES, 3DES, ...), toute la sécurité du système repose sur la confidentialité de la clef de chiffrement. Pour faciliter la gestion d'un tel système, Kerberos repose sur l'utilisation d'un tiers de confiance qui distribue les clefs aux utilisateurs et services abonnés (les principals). Un serveur Kerberos est appelé KDC
  • 12. Solution Kerberos Kerberos est un service sûr qui assure la confidentialité, l'intégrité des données ainsi que la non-répudiation . Le service d'authentification assure l'identification unique du client et lui procure un ticket de session . Kerberos assure deux fonctionnalités : le service d'authentification et de délivrement de tickets de services. KDC : Key Distribution Center : base de données des clients et serveurs ainsi que les clés privées. TGS (Ticket Garanting Service) : c’est le service d’émission de tickets Principal : triplet composé du Primary name, l’insistance et Realm. Primary name : nom d’utilisateur ou du service Insistance : rôle ou groupe du Primary Realm : domaine d’administration associé à un serveur Kerberos Ticket : crédit temporaire permettant de vérifier l’identité du détenteur Client : entité pouvant obtenir un ticket TGT : ticket particulier permettant au détenteur d’obtenir d’autres tickets pour le même données
  • 13. Solution Kerberos Le TGS reçoit alors son ticket et il peut le déchiffrer avec sa clé Fonctionnement de Kerberos secrète KTGS Le TGS peut alors émettre un ticket d'accès au Le client envoie serveur. Ce ticket est chiffré son nom au grâce à la clé secrète du serveur serveur de clés et KS lui indique le TGS qui l'intéresse Après vérification sur 2 1 l'identité du client le serveur le client envoie une demande 2’ de clés lui envoie alors un de ticket auprès du TGS. 1’ ticket TTGS. Ce ticket autorise le client à faire des Cette requête contient un requêtes auprès du TGS. identifiant chiffré avec la clé de session Le client envoie aussi le ticket qui lui avait été transmis par le serveur de clés. 3 Le client reçoit le ticket pour accéder aux services kerberisés du serveur ainsi que l'information chiffrée contenant la clé de session entre lui et le serveur. Le serveur vérifie que le ticket est valide (il le déchiffre avec sa clé secrète KS) et autorise l'accès au service si tout est correct.
  • 14. Solution Kerberos Sécurité de Kerberos Une fois qu'un client s'est identifié, celui-ci obtient un ticket (généralement, un fichier texte - mais son contenu peut aussi être stocké dans une zone de mémoire sécurisée). Le ticket joue le rôle d'une carte d'identité à péremption assez courte, huit heures généralement. Si nécessaire, celui-ci peut être annulé prématurément. Sous les systèmes Kerberos c’est via la commande « kdestroy ». La sécurité de Kerberos repose sur la sécurité des différentes machines qu'il utilise. Une attaque sur le serveur de clés serait dramatique car elle pourrait permettre à l'attaquant de s'emparer des clés privées des clients et donc de se faire passer pour eux. Un autre problème qui pourrait survenir sur la machine du client est le vol des tickets. Ils pourraient être utilisés par une tierce personne pour accéder aux services offerts par les serveurs (si la clé entre le client et le serveur est connue).
  • 15. Solution Kerberos Sécurité de Kerberos L'expiration du ticket permet de limiter les problèmes liés au vol des tickets. De plus, un ticket peut contenir l'adresse IP du client et le ticket n'est alors valable que s'il est employé depuis cette IP (ce champ est toutefois optionnel dans Kerberos, qui peut tout à fait être utilisé sur un réseau attribuant dynamiquement les IP au travers de DHCP). Une attaque sur les identifiants échouera car Kerberos leur ajoute un élément. Cela évite les attaques par renvoi d'identifiants qui auraient été interceptés. Les serveurs conservent l'historique des communications précédentes et peuvent facilement détecter un envoi frauduleux. L'avantage de Kerberos est de limiter le nombre d'identifiants et de pouvoir travailler sur un réseau non-sécurisé. Les identifications sont uniquement nécessaires pour l'obtention de nouveaux tickets d'accès au TGS.
  • 16. Implémentation Implémentation de Ldap 1 - Vérification des RPMs à installer pour la configuration d’openldap 2 - Vérification des RPMs à installer pour la configuration du DNS
  • 17. Implémentation 2 - Configuration du DNS: declarations de la zone direct et inverse dans /etc/named.conf
  • 18. Implémentation Configuration du fichier zone directe: on édite le fichier /etc/var/named/admin.zone Configuration de la zone indirecte: on édite le fichier /etc/var/named/minda.zone
  • 19. Implémentation éditer le fichier /etc/resolv.conf ; y renseigner l’adresse Ip et le nom de domaine du serveur DNS Faire des test pour voir si notre serveur marche mais avant il faut penser à redemarrer le service named
  • 20. Implémentation Éditer le fichier /etc/openldap/slapd.conf
  • 21. Implémentation On peut crypter le mot de passe Ldap en exécutant la commande suivante Pour les modification en compte on redémarre le service Ldap On peut ainsi démarrer la migration des fichiers /etc/passwd et /etc/group ; éditer le fichier suivant :
  • 23. Implémentation On exporte les fichiers d’authentification /etc/passwd et /etc/group en des fichiers .ldif compréhensible par Ldap pour l’échange de données On crée le fichier que l’on nomme /tmp/temps.ldif dans lequel est défini l’arborescence ou la structure de notre serveur Ldap : on fait : #vim /tmp/temps.ldif
  • 25. Implémentation On édite le fichier /etc/ldap.conf
  • 26. Implémentation Éditer le fichier /etc/nsswitch.conf Éditer le fichier /etc/pam.d/login
  • 27. Implémentation Éditer le fichier /etc/pam.d/su Éditer le fichier /etc/pam.d/gdm
  • 28. Implémentation Ajouter un nouvel utilisateur : vim /tmp/newuser.ldif Ajouter un nouvel groupe : vim /tmp/newgroup.ldif
  • 29. Implémentation Renseigner le nouvel groupe et le nouvel utilisateur à l’annuaire Ldap par les commandes suivantes:
  • 30. Implémentation on donne à l’utilisateur dchico tous les droits sur son répertoire et on configure Ldap et httpd afin qu’ils soient à START au démarrage ; puis on redémarre le serveur avec la commande reboot Et nous voyons qu’après redémarrage , le serveur nous demande de nous connecter avec le mot de passe Ldap
  • 31. Implémentation Implémentation de la solution Kerberos Vérification des paquets à utiliser Modifiez les fichiers de configuration /etc/krb5.conf et /var/kerberos/krb5kdc/kdc.conf afin qu'ils reflètent le nom de votre zone (realm) et les mappages domaine-zone. Editons le fichier : vim /etc/krb5.conf
  • 33. Implémentation Ensuite : vim /var/kerberos/krb5kdc/kdc.conf
  • 34. Implémentation Ensuite on passe à la création de la base de données Kerberos en exécutant : /usr/kerberos/sbin/kdb5_util create -s Voila la base de données est ainsi créée. Pour le voir on fait un « ls » du répertoire /var/kerberos/krb5kdc/
  • 35. Implémentation Maintenant on passe à la définition des administrateurs de la base de donnée kerberos Pour cela éditons : vim /var/kerberos/krb5kdc/kadm5.acl On ajoute les users (principal) définis dans le fichier précédent. Pour cela exécuter sur le KDC pour administrer la base de donnée kerberos : kadmin.local
  • 36. Implémentation Ajout d’un autre principal Vérifions les différents principaux en exécutant toujours kadmin.local puis listprincs
  • 37. Implémentation A noter que pour administrer le serveur kerberos en réseau exécuter plutôt kadmin au lieu de kadmin.local On redémarre les services krb5kdc, kadmin et krb524
  • 38. Implémentation Démarrage automatique des services : A présent le serveur est en mesure de délivrer des tickets Pour un aperçu exécuter, pour s’authentifier et obtenir un ticket (certificat d’identité): kinit root/admin
  • 40. Conclusion L’authentification dans un système est d’une importance capitale. Ldap bien qu’étant un excellant annuaire présente des limites quand il s’agit de l’authentification. Kerberos en lui-même apporte beaucoup d’ éléments de possibilités de services, de sécurité. Il existe depuis des années mais n’a pas vraiment percé. Son principal inconvénient reste sa configuration. Chaque client doit avoir un compte et chaque service un compte relié à ce client. Même si cela est automatisé il reste compliqué. Cependant avec Kerberos on bénéficie d’un SSO ; ce qui un gain en terme de sécurité pour l’ingénieur et un gain en terme de simplicité pour l’usager.