SlideShare une entreprise Scribd logo
FreeIPA
TutoJRES
Jérôme Fenal – Red Hat
jfenal@redhat.com
+33 6 88 06 51 15
Red Hat
Le modèle Red Hat
Red Hat
3
Le modèle technologique Red Hat
Open source = Innovation + Stabilité + Sécurité + Qualité
FreeIPA
Red Hat
5
Le défi
Utilisateurs Applications
Systèmes
Données
IPA
Red Hat
6
Quelles sont les autres options ?
● Intégration spécifique ?
● Options:
● LDAP ou Annuaire
● Ajout possible de Kerberos
● Inconvénients
● Complexe, choix de schémas
à faire
● Nécessite une expertise LDAP
& Kerberos
● Cher à maintenir et
personnaliser
● Intégration client complexe
● OK pour l'identité, difficile pour
les politiques
● Connecter Linux à Microsoft
Active Directory ?
● Solution propriétaire ?
● Options:
● CA Etrust Access Control for
OS
● IBM Tivoli Access Manager for
OS
● FoxT BOXS
● Symark Powerbroker
● Inconvénients :
● Très chers, peu flexibles
● Contrôlent une information
vitale sous un format
propriétaire
● Intégration parfois difficile
avec les OS
Red Hat
7
Pourquoi ne pas gérer les Linux avec AD?
● Options :
● Samba
● Likewise
● Centrify
● Quest Vintela
● Avantages :
● Ré-utilisation de l'infra Active Directory
● Fonctionne OK pour identité et
authentification
● Inconvénients :
● Dépendance accrue à Microsoft
● Difficulté de gérer et auditer correctement
les politiques
● Oblige à utiliser les politiques Microsoft sur
Unix
● Ne profite pas des capacités de la plate-
forme
● Analyse :
● Si Linux n'est pas une plate-forme
stratégique, cette option peut fonctionner
● Si Linux est une plate-forme stratégique,
IPA a plus à offrir
Red Hat
8
IPA v1
● Composants
● Distribution Linux (Fedora / Red Hat Enterprise Linux / CentOS)
● 389 Directory Server
● MIT Kerberos
● NTP
● Outils d'installation
● Outils d'administration (web et ligne de commande)
● Cas d'utilisation ciblés
● Authentification d'un utilisateur sur Kerberos & LDAP au lieu de NIS
● Mise en place simple et aisée de l'environnement LDAP & Kerberos
● Gestion centrale et aisée (IHM) des utilisateurs Linux/Unix
● Synchronisation de base avec AD, avec des plans pour la rendre robuste
● Raisons d'utiliser IPA
● Réglementations qui pousse à évacuer NIS
● Efficacité demandée quant à la gestion des identités
● Coût de maintenance élevé d'une solution maison LDAP/Kerberos
Red Hat
9
IPA v2 : Composants
● Distribution Linux (Fedora / Red Hat Enterprise Linux / CentOS)
● 389 Directory Server
● MIT Kerberos
● NTP
● Outils d'installation
● Outils d'administration (web et ligne de commande) extensible via
greffons
● Autorité de certification & Autorité d'Enregistrement (Dogtag Certificate
Server)
● DNS (Bind)
Red Hat
10
IPA v2 : Cas d'utilisation ciblés
● Gestion de l'identité des utilisateurs (basée sur IPA v1)
● Gestion de l'identité des machines
● Intégration des nouveaux systèmes
● En conséquence, un principal pour ce nouveau système doit être créé et déployé sur
le système
● Ses lettres de créances : keytab ou certificat pour le système
● Authentification des systèmes
● Les systèmes du réseau devant avoir accès au royaume IPA doivent être authentifiés
dans ce royaume
● Ces lettres de créances doivent permettre une authentification et une approbation
mutuelles, du chiffrement, et des capacités de SSO pour les services et applications
accédant aux ressources et autres services du royaume
● Gestion des systèmes
● Gestion des systèmes indivuels, des groupes, et des instances virtuelles
● Gestion centralisée des différents types de politiques applicables
● Contrôle d'Accès
● Gestion centralisée des contrôles d'accès PAM (HBAC - host based access
control)
Red Hat
11
IPA v2 : Raisons de l'utiliser
● Le respect et le contrôle du respect des réglementations obligent
les organisations à sortir de NIS, pour aller vers une solution
centralisée de gestion de l'identité et des contrôles d'accès dans
le monde Linux/Unix.
● Efficacité et productivité demandée quant à la gestion des
identités
● Coût de maintenance élevé d'une solution maison LDAP/Kerberos
● Utilisation de services qui s'appuie sur d'autres mécanismes de
sécurité
● Réglementation et productivité motivent une gestion centrale de la
délégation des droits administrateurs
Red Hat
12
Architecture
Red Hat
13
IPA v2
● Fonctionnalités
● Support i18n étendu, dont 8 traductions
● Évolution de l'API XMLRPC (non compatible avec IPA v1)
● Utilisation de mod_wsgi au lieu de mod_python
● Une Autorité de Certification est requise, et configurée par défaut
● Réutilisation possible par l'installeur de l'ancien certificat auto-signé via
--selfsign
● Pages de manuel
● Une règle HBAC (Host-Based Access Control) par défaut pour permettre
à tous de se connecter à tous les systèmes.
● Solution de facilité pour tester
● Cette règle allow_all doit être retirée pour le déploiement
● nscd désactivé, remplacé par sssd sur la gestion de cache
● Mais :
● La CA doit être installée en locale en_US (BZ#588375)
Red Hat
14
SSSD
● Remplacement des couches nss_ldap et pam_ldap
● Cache mémoire
● Cache disque
● Profil persistant (à la Windows)
● Permet de s'affranchir de nscd
● Introduit dans Fedora 11
● Utilisable seul ou avec IPA
Red Hat
15
certmonger
● Aims to manage certificates for services running on client
systems.
● Supports multiple certificate storage formats.
● Will warn administrators of certificates approaching the end of
their validity periods.
● Can attempt to re-enroll with a CA.
● Supports IPAv2 and certmaster CAs out of the box.
● Extensible to support additional CAs.
Red Hat
16
Enrôlement d'un système
IPA
Directory DNS
Certificate
System
Kerberos
2. System
certificates
1. Join
3. System principal
Service keytabs
Red Hat
17
IPA v3 : vos besoins
● http://www.freeipa.org/page/V3PRD
● http://www.freeipa.org/page/IPAv3_development_status
● For IPA to become integrated and trusted by AD, IPA needs to be able to pretend as if it is
an AD domain controller. This can be accomplished by integrating Samba 4 and IPA. The
two components need to be able to operate on the same data and share the KDC. The
following page gives deeper into the drivers and high level architecture of the proposed
solution: "IPA and AD" integration.
Red Hat
18
Participez !
● IPA v2 arrive d'ici quelques semaines
● Une vision unifiée de la gestion d'identité et du contrôle d'accès
pour Linux et Unix
● Rejoignez-nous :
● www.freeIPA.org
● freeIPA-devel@redhat.com
● freeIPA-interest@redhat.com
Red Hat
19
Red Hat
20
En détail (2/2)
● Provide feedback if a -mod command is executed and no changes are performed
● Don't log passwords into files during installation
● Add option to enable pam_mkhomedirs in the IPA client installer
● Fixed a number of bugs in the pwpolicy plugin
● More detailed error messages when entries are not found
● Viewing binary in the UI shouldn't cause it to fail
● dogtag is a required component and now configured by default
● Run the XML-RPC server under mod_wsgi instead of mod_python
● Fix the --all and --raw options
● 8 translations:
● Bengali India
● Indonesian
● Ukrainian
● Kannada
● Polish
● Russian
● Spanish
● Chinese Simplified
● Other minor polish and bug fixes
Red Hat
21
En détail (1/2)
● Fix memory crash-bug in ipa-join
● Add pwpolicy2 plugin, future replacement for
pwpolicy
● CSRs that don't include NEW in the
header/footer blocks should work now
● Lots of clean-ups in ipa-client-install
● ipa-server-install and ipa-client-install now
use backed-up files and state in /var/lib/ipa
and /var/lib/ipa-client to determine whether
they are already configured or not
● Fixed bug in some DNS entries that were
missing a trailing dot (.)
● Fix bug in password plugin that prevented
ldappasswd from working on non-kerberized
users
● In the client installer we will have
certmonger issue certificate requests using
the subject base that IPA is configured with.
This will make certmonger play nicer with
the selfsign CA.
● IPA works when using external CA option
again
● Stop using LDAPv2-style escaped DNs
where possible
● Updated MITM integration with dogtag
● Anonymous VLV is enabled when the
compat plugin is enabled making Solaris 10
clients happy
● Add a CRL URI to certificates that are
issued by dogtag
● Added an ipa man page
● XML-RPC signature change. This will affect
older alphas command-line utilities trying to
talk to a new server
● Fixed bug in host plugin where deleting a
non-qualified hostname would delete just
the host, not the service entries associated
with that host.
● ipa-replica-manage now uses kerberos to
delete and list servers. Add still requires the
DM password
●

Contenu connexe

Tendances

Cours 70 410 - J3
Cours 70 410 - J3Cours 70 410 - J3
Cours 70 410 - J3
Mohamed Diallo
 
Paris Kafka Meetup - Concepts & Architecture
Paris Kafka Meetup - Concepts & ArchitectureParis Kafka Meetup - Concepts & Architecture
Paris Kafka Meetup - Concepts & Architecture
Florian Hussonnois
 
Riak introduction
Riak introductionRiak introduction
Riak introduction
Damien Krotkine
 
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Microsoft Technet France
 
Petit potam slides-rtfm-ossir
Petit potam slides-rtfm-ossirPetit potam slides-rtfm-ossir
Petit potam slides-rtfm-ossir
LionelTopotam
 
Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...
Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...
Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...Clément OUDOT
 
MSCS : Hyperconvergence avec Windows Server 2016
MSCS : Hyperconvergence avec Windows Server 2016MSCS : Hyperconvergence avec Windows Server 2016
MSCS : Hyperconvergence avec Windows Server 2016
MickaelLOPES91
 
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
Microsoft Technet France
 
Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012
Microsoft Technet France
 
Cours 70 410 - J4
Cours 70 410 - J4Cours 70 410 - J4
Cours 70 410 - J4
Mohamed Diallo
 
Faciliter la publication de sessions et de bureaux virtuels (VDI) avec Window...
Faciliter la publication de sessions et de bureaux virtuels (VDI) avec Window...Faciliter la publication de sessions et de bureaux virtuels (VDI) avec Window...
Faciliter la publication de sessions et de bureaux virtuels (VDI) avec Window...
Microsoft Technet France
 
Optimisation de la plateforme de Supervision Zabbix
Optimisation de la plateforme de Supervision ZabbixOptimisation de la plateforme de Supervision Zabbix
Optimisation de la plateforme de Supervision Zabbix
Alain Ganuchaud
 
Windows Server 2012, quelles évolutions pour les services de stockage et de c...
Windows Server 2012, quelles évolutions pour les services de stockage et de c...Windows Server 2012, quelles évolutions pour les services de stockage et de c...
Windows Server 2012, quelles évolutions pour les services de stockage et de c...
Microsoft Décideurs IT
 
APACHE TOMCAT
APACHE TOMCATAPACHE TOMCAT
APACHE TOMCAT
Rachid NID SAID
 
Windows server 2008 R2 : Services de Bureau Distant
Windows server 2008 R2 : Services de Bureau DistantWindows server 2008 R2 : Services de Bureau Distant
Windows server 2008 R2 : Services de Bureau Distant
Microsoft Technet France
 
Présentation de Apache Zookeeper
Présentation de Apache ZookeeperPrésentation de Apache Zookeeper
Présentation de Apache Zookeeper
Michaël Morello
 
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm
 
Hyper-V Replica : Plan de Reprise d'Activité avec Windows Server 2012
Hyper-V Replica : Plan de Reprise d'Activité avec Windows Server 2012Hyper-V Replica : Plan de Reprise d'Activité avec Windows Server 2012
Hyper-V Replica : Plan de Reprise d'Activité avec Windows Server 2012
Microsoft Technet France
 
Plan de Reprise d'Activité avec Azure Site Recovery
Plan de Reprise d'Activité avec Azure Site RecoveryPlan de Reprise d'Activité avec Azure Site Recovery
Plan de Reprise d'Activité avec Azure Site Recovery
Microsoft
 
JDLL 2014 - Introduction aux annuaires LDAP
JDLL 2014 - Introduction aux annuaires LDAPJDLL 2014 - Introduction aux annuaires LDAP
JDLL 2014 - Introduction aux annuaires LDAPClément OUDOT
 

Tendances (20)

Cours 70 410 - J3
Cours 70 410 - J3Cours 70 410 - J3
Cours 70 410 - J3
 
Paris Kafka Meetup - Concepts & Architecture
Paris Kafka Meetup - Concepts & ArchitectureParis Kafka Meetup - Concepts & Architecture
Paris Kafka Meetup - Concepts & Architecture
 
Riak introduction
Riak introductionRiak introduction
Riak introduction
 
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
 
Petit potam slides-rtfm-ossir
Petit potam slides-rtfm-ossirPetit potam slides-rtfm-ossir
Petit potam slides-rtfm-ossir
 
Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...
Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...
Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...
 
MSCS : Hyperconvergence avec Windows Server 2016
MSCS : Hyperconvergence avec Windows Server 2016MSCS : Hyperconvergence avec Windows Server 2016
MSCS : Hyperconvergence avec Windows Server 2016
 
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
 
Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012
 
Cours 70 410 - J4
Cours 70 410 - J4Cours 70 410 - J4
Cours 70 410 - J4
 
Faciliter la publication de sessions et de bureaux virtuels (VDI) avec Window...
Faciliter la publication de sessions et de bureaux virtuels (VDI) avec Window...Faciliter la publication de sessions et de bureaux virtuels (VDI) avec Window...
Faciliter la publication de sessions et de bureaux virtuels (VDI) avec Window...
 
Optimisation de la plateforme de Supervision Zabbix
Optimisation de la plateforme de Supervision ZabbixOptimisation de la plateforme de Supervision Zabbix
Optimisation de la plateforme de Supervision Zabbix
 
Windows Server 2012, quelles évolutions pour les services de stockage et de c...
Windows Server 2012, quelles évolutions pour les services de stockage et de c...Windows Server 2012, quelles évolutions pour les services de stockage et de c...
Windows Server 2012, quelles évolutions pour les services de stockage et de c...
 
APACHE TOMCAT
APACHE TOMCATAPACHE TOMCAT
APACHE TOMCAT
 
Windows server 2008 R2 : Services de Bureau Distant
Windows server 2008 R2 : Services de Bureau DistantWindows server 2008 R2 : Services de Bureau Distant
Windows server 2008 R2 : Services de Bureau Distant
 
Présentation de Apache Zookeeper
Présentation de Apache ZookeeperPrésentation de Apache Zookeeper
Présentation de Apache Zookeeper
 
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
 
Hyper-V Replica : Plan de Reprise d'Activité avec Windows Server 2012
Hyper-V Replica : Plan de Reprise d'Activité avec Windows Server 2012Hyper-V Replica : Plan de Reprise d'Activité avec Windows Server 2012
Hyper-V Replica : Plan de Reprise d'Activité avec Windows Server 2012
 
Plan de Reprise d'Activité avec Azure Site Recovery
Plan de Reprise d'Activité avec Azure Site RecoveryPlan de Reprise d'Activité avec Azure Site Recovery
Plan de Reprise d'Activité avec Azure Site Recovery
 
JDLL 2014 - Introduction aux annuaires LDAP
JDLL 2014 - Introduction aux annuaires LDAPJDLL 2014 - Introduction aux annuaires LDAP
JDLL 2014 - Introduction aux annuaires LDAP
 

Similaire à Tutojres 13-jeromefenal

Sébastien Coutu: Copy this Meetup Devops - microservices - infrastructure imm...
Sébastien Coutu: Copy this Meetup Devops - microservices - infrastructure imm...Sébastien Coutu: Copy this Meetup Devops - microservices - infrastructure imm...
Sébastien Coutu: Copy this Meetup Devops - microservices - infrastructure imm...
MSDEVMTL
 
Saas Libre
Saas LibreSaas Libre
Saas Libre
grolland
 
Hug france - Administration Hadoop et retour d’expérience BI avec Impala, lim...
Hug france - Administration Hadoop et retour d’expérience BI avec Impala, lim...Hug france - Administration Hadoop et retour d’expérience BI avec Impala, lim...
Hug france - Administration Hadoop et retour d’expérience BI avec Impala, lim...
Modern Data Stack France
 
Construire son application web de gestion de contenu d'annuaire LDAP
Construire son application web de gestion de contenu d'annuaire LDAPConstruire son application web de gestion de contenu d'annuaire LDAP
Construire son application web de gestion de contenu d'annuaire LDAP
Clément OUDOT
 
20190520 - IBM Cloud Paris-Saclay Meetup - Hardis Group
20190520  - IBM Cloud Paris-Saclay Meetup - Hardis Group20190520  - IBM Cloud Paris-Saclay Meetup - Hardis Group
20190520 - IBM Cloud Paris-Saclay Meetup - Hardis Group
IBM France Lab
 
Propostion un Iaas
Propostion un IaasPropostion un Iaas
Propostion un Iaas
yacine sebihi
 
[RMLL2017] Des logiciels libres pour la gestion des identités !
[RMLL2017] Des logiciels libres pour la gestion des identités ![RMLL2017] Des logiciels libres pour la gestion des identités !
[RMLL2017] Des logiciels libres pour la gestion des identités !
Clément OUDOT
 
[Open Source Experience 2021] Une infrastructure Cloud et une solution IDaaS ...
[Open Source Experience 2021] Une infrastructure Cloud et une solution IDaaS ...[Open Source Experience 2021] Une infrastructure Cloud et une solution IDaaS ...
[Open Source Experience 2021] Une infrastructure Cloud et une solution IDaaS ...
Worteks
 
Une infrastructure Cloud et une solution IDaaS 100% libres
Une infrastructure Cloud et une solution IDaaS 100% libresUne infrastructure Cloud et une solution IDaaS 100% libres
Une infrastructure Cloud et une solution IDaaS 100% libres
Open Source Experience
 
Infrastructure as code drupal
Infrastructure as code drupalInfrastructure as code drupal
Infrastructure as code drupal
Christophe Villeneuve
 
PHP et Performances - AFUP 2005
PHP et Performances - AFUP 2005PHP et Performances - AFUP 2005
PHP et Performances - AFUP 2005
Eric D.
 
Webinar bonnes pratiques securite
Webinar   bonnes pratiques securiteWebinar   bonnes pratiques securite
Webinar bonnes pratiques securite
jumeletArnaud
 
Développer et déployer WordPress en environnement microsoft
Développer et déployer WordPress en environnement microsoftDévelopper et déployer WordPress en environnement microsoft
Développer et déployer WordPress en environnement microsoft
LeTesteur
 
Alphorm.com Formation Les solutions de Haute Disponibilité sous Windows Serv...
Alphorm.com Formation Les solutions de  Haute Disponibilité sous Windows Serv...Alphorm.com Formation Les solutions de  Haute Disponibilité sous Windows Serv...
Alphorm.com Formation Les solutions de Haute Disponibilité sous Windows Serv...
Alphorm
 
OpenShift en production - Akram Ben Assi & Eloïse Faure
OpenShift en production - Akram Ben Assi & Eloïse FaureOpenShift en production - Akram Ben Assi & Eloïse Faure
OpenShift en production - Akram Ben Assi & Eloïse Faure
Paris Container Day
 
Lost in serverless AWS Lambda, Google Cloud Function, Azure Function quelle s...
Lost in serverless AWS Lambda, Google Cloud Function, Azure Function quelle s...Lost in serverless AWS Lambda, Google Cloud Function, Azure Function quelle s...
Lost in serverless AWS Lambda, Google Cloud Function, Azure Function quelle s...
sebastienmoreno
 
OpenLDAP - Astuces pour en faire l'annuaire d'entreprise idéal
OpenLDAP - Astuces pour en faire l'annuaire d'entreprise idéalOpenLDAP - Astuces pour en faire l'annuaire d'entreprise idéal
OpenLDAP - Astuces pour en faire l'annuaire d'entreprise idéal
Jonathan Clarke
 
08 01 mise en place d'un serveur web
08 01 mise en place d'un serveur web08 01 mise en place d'un serveur web
08 01 mise en place d'un serveur web
Noël
 
TechDays 2011 - VIR302 virtualiser vos applications métiers critiques sous hy...
TechDays 2011 - VIR302 virtualiser vos applications métiers critiques sous hy...TechDays 2011 - VIR302 virtualiser vos applications métiers critiques sous hy...
TechDays 2011 - VIR302 virtualiser vos applications métiers critiques sous hy...
Patrick Guimonet
 

Similaire à Tutojres 13-jeromefenal (20)

Sébastien Coutu: Copy this Meetup Devops - microservices - infrastructure imm...
Sébastien Coutu: Copy this Meetup Devops - microservices - infrastructure imm...Sébastien Coutu: Copy this Meetup Devops - microservices - infrastructure imm...
Sébastien Coutu: Copy this Meetup Devops - microservices - infrastructure imm...
 
Saas Libre
Saas LibreSaas Libre
Saas Libre
 
Hug france - Administration Hadoop et retour d’expérience BI avec Impala, lim...
Hug france - Administration Hadoop et retour d’expérience BI avec Impala, lim...Hug france - Administration Hadoop et retour d’expérience BI avec Impala, lim...
Hug france - Administration Hadoop et retour d’expérience BI avec Impala, lim...
 
Construire son application web de gestion de contenu d'annuaire LDAP
Construire son application web de gestion de contenu d'annuaire LDAPConstruire son application web de gestion de contenu d'annuaire LDAP
Construire son application web de gestion de contenu d'annuaire LDAP
 
20190520 - IBM Cloud Paris-Saclay Meetup - Hardis Group
20190520  - IBM Cloud Paris-Saclay Meetup - Hardis Group20190520  - IBM Cloud Paris-Saclay Meetup - Hardis Group
20190520 - IBM Cloud Paris-Saclay Meetup - Hardis Group
 
Propostion un Iaas
Propostion un IaasPropostion un Iaas
Propostion un Iaas
 
[RMLL2017] Des logiciels libres pour la gestion des identités !
[RMLL2017] Des logiciels libres pour la gestion des identités ![RMLL2017] Des logiciels libres pour la gestion des identités !
[RMLL2017] Des logiciels libres pour la gestion des identités !
 
[Open Source Experience 2021] Une infrastructure Cloud et une solution IDaaS ...
[Open Source Experience 2021] Une infrastructure Cloud et une solution IDaaS ...[Open Source Experience 2021] Une infrastructure Cloud et une solution IDaaS ...
[Open Source Experience 2021] Une infrastructure Cloud et une solution IDaaS ...
 
Une infrastructure Cloud et une solution IDaaS 100% libres
Une infrastructure Cloud et une solution IDaaS 100% libresUne infrastructure Cloud et une solution IDaaS 100% libres
Une infrastructure Cloud et une solution IDaaS 100% libres
 
Infrastructure as code drupal
Infrastructure as code drupalInfrastructure as code drupal
Infrastructure as code drupal
 
PHP et Performances - AFUP 2005
PHP et Performances - AFUP 2005PHP et Performances - AFUP 2005
PHP et Performances - AFUP 2005
 
Webinar bonnes pratiques securite
Webinar   bonnes pratiques securiteWebinar   bonnes pratiques securite
Webinar bonnes pratiques securite
 
Développer et déployer WordPress en environnement microsoft
Développer et déployer WordPress en environnement microsoftDévelopper et déployer WordPress en environnement microsoft
Développer et déployer WordPress en environnement microsoft
 
Alphorm.com Formation Les solutions de Haute Disponibilité sous Windows Serv...
Alphorm.com Formation Les solutions de  Haute Disponibilité sous Windows Serv...Alphorm.com Formation Les solutions de  Haute Disponibilité sous Windows Serv...
Alphorm.com Formation Les solutions de Haute Disponibilité sous Windows Serv...
 
OpenShift en production - Akram Ben Assi & Eloïse Faure
OpenShift en production - Akram Ben Assi & Eloïse FaureOpenShift en production - Akram Ben Assi & Eloïse Faure
OpenShift en production - Akram Ben Assi & Eloïse Faure
 
Ocs
OcsOcs
Ocs
 
Lost in serverless AWS Lambda, Google Cloud Function, Azure Function quelle s...
Lost in serverless AWS Lambda, Google Cloud Function, Azure Function quelle s...Lost in serverless AWS Lambda, Google Cloud Function, Azure Function quelle s...
Lost in serverless AWS Lambda, Google Cloud Function, Azure Function quelle s...
 
OpenLDAP - Astuces pour en faire l'annuaire d'entreprise idéal
OpenLDAP - Astuces pour en faire l'annuaire d'entreprise idéalOpenLDAP - Astuces pour en faire l'annuaire d'entreprise idéal
OpenLDAP - Astuces pour en faire l'annuaire d'entreprise idéal
 
08 01 mise en place d'un serveur web
08 01 mise en place d'un serveur web08 01 mise en place d'un serveur web
08 01 mise en place d'un serveur web
 
TechDays 2011 - VIR302 virtualiser vos applications métiers critiques sous hy...
TechDays 2011 - VIR302 virtualiser vos applications métiers critiques sous hy...TechDays 2011 - VIR302 virtualiser vos applications métiers critiques sous hy...
TechDays 2011 - VIR302 virtualiser vos applications métiers critiques sous hy...
 

Tutojres 13-jeromefenal

  • 1. FreeIPA TutoJRES Jérôme Fenal – Red Hat jfenal@redhat.com +33 6 88 06 51 15
  • 3. Red Hat 3 Le modèle technologique Red Hat Open source = Innovation + Stabilité + Sécurité + Qualité
  • 5. Red Hat 5 Le défi Utilisateurs Applications Systèmes Données IPA
  • 6. Red Hat 6 Quelles sont les autres options ? ● Intégration spécifique ? ● Options: ● LDAP ou Annuaire ● Ajout possible de Kerberos ● Inconvénients ● Complexe, choix de schémas à faire ● Nécessite une expertise LDAP & Kerberos ● Cher à maintenir et personnaliser ● Intégration client complexe ● OK pour l'identité, difficile pour les politiques ● Connecter Linux à Microsoft Active Directory ? ● Solution propriétaire ? ● Options: ● CA Etrust Access Control for OS ● IBM Tivoli Access Manager for OS ● FoxT BOXS ● Symark Powerbroker ● Inconvénients : ● Très chers, peu flexibles ● Contrôlent une information vitale sous un format propriétaire ● Intégration parfois difficile avec les OS
  • 7. Red Hat 7 Pourquoi ne pas gérer les Linux avec AD? ● Options : ● Samba ● Likewise ● Centrify ● Quest Vintela ● Avantages : ● Ré-utilisation de l'infra Active Directory ● Fonctionne OK pour identité et authentification ● Inconvénients : ● Dépendance accrue à Microsoft ● Difficulté de gérer et auditer correctement les politiques ● Oblige à utiliser les politiques Microsoft sur Unix ● Ne profite pas des capacités de la plate- forme ● Analyse : ● Si Linux n'est pas une plate-forme stratégique, cette option peut fonctionner ● Si Linux est une plate-forme stratégique, IPA a plus à offrir
  • 8. Red Hat 8 IPA v1 ● Composants ● Distribution Linux (Fedora / Red Hat Enterprise Linux / CentOS) ● 389 Directory Server ● MIT Kerberos ● NTP ● Outils d'installation ● Outils d'administration (web et ligne de commande) ● Cas d'utilisation ciblés ● Authentification d'un utilisateur sur Kerberos & LDAP au lieu de NIS ● Mise en place simple et aisée de l'environnement LDAP & Kerberos ● Gestion centrale et aisée (IHM) des utilisateurs Linux/Unix ● Synchronisation de base avec AD, avec des plans pour la rendre robuste ● Raisons d'utiliser IPA ● Réglementations qui pousse à évacuer NIS ● Efficacité demandée quant à la gestion des identités ● Coût de maintenance élevé d'une solution maison LDAP/Kerberos
  • 9. Red Hat 9 IPA v2 : Composants ● Distribution Linux (Fedora / Red Hat Enterprise Linux / CentOS) ● 389 Directory Server ● MIT Kerberos ● NTP ● Outils d'installation ● Outils d'administration (web et ligne de commande) extensible via greffons ● Autorité de certification & Autorité d'Enregistrement (Dogtag Certificate Server) ● DNS (Bind)
  • 10. Red Hat 10 IPA v2 : Cas d'utilisation ciblés ● Gestion de l'identité des utilisateurs (basée sur IPA v1) ● Gestion de l'identité des machines ● Intégration des nouveaux systèmes ● En conséquence, un principal pour ce nouveau système doit être créé et déployé sur le système ● Ses lettres de créances : keytab ou certificat pour le système ● Authentification des systèmes ● Les systèmes du réseau devant avoir accès au royaume IPA doivent être authentifiés dans ce royaume ● Ces lettres de créances doivent permettre une authentification et une approbation mutuelles, du chiffrement, et des capacités de SSO pour les services et applications accédant aux ressources et autres services du royaume ● Gestion des systèmes ● Gestion des systèmes indivuels, des groupes, et des instances virtuelles ● Gestion centralisée des différents types de politiques applicables ● Contrôle d'Accès ● Gestion centralisée des contrôles d'accès PAM (HBAC - host based access control)
  • 11. Red Hat 11 IPA v2 : Raisons de l'utiliser ● Le respect et le contrôle du respect des réglementations obligent les organisations à sortir de NIS, pour aller vers une solution centralisée de gestion de l'identité et des contrôles d'accès dans le monde Linux/Unix. ● Efficacité et productivité demandée quant à la gestion des identités ● Coût de maintenance élevé d'une solution maison LDAP/Kerberos ● Utilisation de services qui s'appuie sur d'autres mécanismes de sécurité ● Réglementation et productivité motivent une gestion centrale de la délégation des droits administrateurs
  • 13. Red Hat 13 IPA v2 ● Fonctionnalités ● Support i18n étendu, dont 8 traductions ● Évolution de l'API XMLRPC (non compatible avec IPA v1) ● Utilisation de mod_wsgi au lieu de mod_python ● Une Autorité de Certification est requise, et configurée par défaut ● Réutilisation possible par l'installeur de l'ancien certificat auto-signé via --selfsign ● Pages de manuel ● Une règle HBAC (Host-Based Access Control) par défaut pour permettre à tous de se connecter à tous les systèmes. ● Solution de facilité pour tester ● Cette règle allow_all doit être retirée pour le déploiement ● nscd désactivé, remplacé par sssd sur la gestion de cache ● Mais : ● La CA doit être installée en locale en_US (BZ#588375)
  • 14. Red Hat 14 SSSD ● Remplacement des couches nss_ldap et pam_ldap ● Cache mémoire ● Cache disque ● Profil persistant (à la Windows) ● Permet de s'affranchir de nscd ● Introduit dans Fedora 11 ● Utilisable seul ou avec IPA
  • 15. Red Hat 15 certmonger ● Aims to manage certificates for services running on client systems. ● Supports multiple certificate storage formats. ● Will warn administrators of certificates approaching the end of their validity periods. ● Can attempt to re-enroll with a CA. ● Supports IPAv2 and certmaster CAs out of the box. ● Extensible to support additional CAs.
  • 16. Red Hat 16 Enrôlement d'un système IPA Directory DNS Certificate System Kerberos 2. System certificates 1. Join 3. System principal Service keytabs
  • 17. Red Hat 17 IPA v3 : vos besoins ● http://www.freeipa.org/page/V3PRD ● http://www.freeipa.org/page/IPAv3_development_status ● For IPA to become integrated and trusted by AD, IPA needs to be able to pretend as if it is an AD domain controller. This can be accomplished by integrating Samba 4 and IPA. The two components need to be able to operate on the same data and share the KDC. The following page gives deeper into the drivers and high level architecture of the proposed solution: "IPA and AD" integration.
  • 18. Red Hat 18 Participez ! ● IPA v2 arrive d'ici quelques semaines ● Une vision unifiée de la gestion d'identité et du contrôle d'accès pour Linux et Unix ● Rejoignez-nous : ● www.freeIPA.org ● freeIPA-devel@redhat.com ● freeIPA-interest@redhat.com
  • 20. Red Hat 20 En détail (2/2) ● Provide feedback if a -mod command is executed and no changes are performed ● Don't log passwords into files during installation ● Add option to enable pam_mkhomedirs in the IPA client installer ● Fixed a number of bugs in the pwpolicy plugin ● More detailed error messages when entries are not found ● Viewing binary in the UI shouldn't cause it to fail ● dogtag is a required component and now configured by default ● Run the XML-RPC server under mod_wsgi instead of mod_python ● Fix the --all and --raw options ● 8 translations: ● Bengali India ● Indonesian ● Ukrainian ● Kannada ● Polish ● Russian ● Spanish ● Chinese Simplified ● Other minor polish and bug fixes
  • 21. Red Hat 21 En détail (1/2) ● Fix memory crash-bug in ipa-join ● Add pwpolicy2 plugin, future replacement for pwpolicy ● CSRs that don't include NEW in the header/footer blocks should work now ● Lots of clean-ups in ipa-client-install ● ipa-server-install and ipa-client-install now use backed-up files and state in /var/lib/ipa and /var/lib/ipa-client to determine whether they are already configured or not ● Fixed bug in some DNS entries that were missing a trailing dot (.) ● Fix bug in password plugin that prevented ldappasswd from working on non-kerberized users ● In the client installer we will have certmonger issue certificate requests using the subject base that IPA is configured with. This will make certmonger play nicer with the selfsign CA. ● IPA works when using external CA option again ● Stop using LDAPv2-style escaped DNs where possible ● Updated MITM integration with dogtag ● Anonymous VLV is enabled when the compat plugin is enabled making Solaris 10 clients happy ● Add a CRL URI to certificates that are issued by dogtag ● Added an ipa man page ● XML-RPC signature change. This will affect older alphas command-line utilities trying to talk to a new server ● Fixed bug in host plugin where deleting a non-qualified hostname would delete just the host, not the service entries associated with that host. ● ipa-replica-manage now uses kerberos to delete and list servers. Add still requires the DM password ●