Interoprabilit des identits Intgration Linux dans Active Directory

1
Interopérabilité des identitésIntégration Linux
dans Active Directory

• Pascal Sauliere
• Consultant Principal
• Microsoft France

2
Référence

• Windows Security and Directory Services for UNIX
  Guide
• Download Center http//go.microsoft.com/fwlink/?l
  inkid36975
• TechNet online http//go.microsoft.com/fwlink/?li
  nkid68104

3
Objectif et vision

• Objectif intégrer Linux dans Active Directory
• Identifier les différents moyens
• Comment décider de la solution adaptée à
  lenvironnement
• Vision
• Chaque utilisateur a une et une seule identité et
  un mot de passe pour accéder à tous les services
  disponibles, une fois authentifié
• Toutes les informations dun utilisateur
  relatives à la sécurité sont stockées dans un
  seul endroit

4
Définitions

• Authentification action de prouver quun
  Principal est vraiment lentité quil prétend
  être
• Principal un participant dans une interaction,
  identifiable de manière unique utilisateur,
  hôte, service
• Autorisation action de déterminer quelles
  actions un Principal peut effectuer dans un
  contexte donné
• AuthZ Store Stockage des données sur les
  Principaux nécessaires pour effectuer les
  autorisations

5
Approches

• Converger vers un annuaire unique
• Une identité, un mot de passe, en un seul endroit
• Nécessite des standards de lindustrie
• Windows nécessite Active Directory
• Conserver linfrastructure existante
• Seul Kerberos v5 supporté
• Ce nest pas  en un seul endroit,  mais presque
• Synchroniser, interopérer
•  Un mot de passe,  mais pas  une identité 
• Plus complexe

6
Cinq solutions valides

• AD/Kerberos pour authentification uniquement
• AD/Kerberos pour authentification et AD/LDAP pour
  autorisations
• AD/LDAP pour authentification uniquement
• AD/LDAP pour authentification et autorisations
• Relation dapprobation entre AD/Kerberos et
  Kerberos UNIX pour authentification uniquement
• Lapproche recommandée est la solution 2

7
Utilisation de linfrastructure existante

• Solution 5
• Prérequis Kerberos V5 en place
• En général un seul royaume (realm)
• Architecture de domaine pas trop complexe
• Kerberos V5 sous UNIX supporte une hiérarchie de
  confiance dans une forêt (avec quelques efforts)
• Relations dapprobation inter-forêts délicates
• Nécessite AD/AM pour les informations
  dautorisation Windows pour les utilisateurs UNIX

8
Pourquoi nintégrer que lauthentification ?

• Solutions 1 (Kerberos) et 3 (LDAP)
• Solution existante pour les autorisations
• Demi-solution
• Réduit le nombre didentités
• Conserve les autorisations existantes
• Solution acceptable pour le  deprovisioning 

9
Authentification LDAP ?

• Certaines plateformes ne supportent pas Kerberos
• Applications (composants web)
• Ne pas confondre avec solutions de fédération
• Il sagit dun scénario interne
• LDAP na pas été conçu comme un protocole
  dauthentification
• Nécessite des précautions pour éviter les mots de
  passe en clair (SSL/TLS)
• Limitations en performance et évolutivité
•  Lauthentification  LDAP est un bind LDAP
• La seule preuve de lidentité est une connexion
  LDAP établie
• Pas de transitivité de lidentité

10
Solution recommandée

• Solution 2
• Authentification Kerberos
• LDAP pour les autorisations
• Consolidation de lannuaire, création/suppression
  ((de)provisioning) simplifiées, mot de passe
  unique, stratégie commune
• Utilise les protocoles et services tels quils
  ont été conçus
• Des produits commerciaux existent
• Quest (Vintela Authentication Service)
• Centrify (DirectControl)

11
Ouverture de session UNIX

• login récupère username, password
• login appelle PAM pour authentifier lutilisateur
• PAM utilise plusieurs modules pour tenter
  lauthentification
• login appelle getpwnam() pour obtenir les données
  dautorisation de lutilisateur
• getpwnam() appelle NSS
• NSS utilise plusieurs modules pour tenter
  dobtenir les données demandées
• login utilise les données dautorisation pour
  créer le processus initial (shell)

12
Authentification Kerberos
Linux
Windows
GINA(login)
Application
Application
Login
GSSAPI
SSPI
pam_krb5
Kerberos(MIT de-facto)
LSA
Credential (ticket)cache
DefaultCredential (ticket) cache
Service principalkey table
DefaultService principalkey table

• RFC 1510 Kerberos V5
• AS - Authentication Service
• TGS - Ticket Granting Service
• MIT de-facto
• CPW - Change password service

KRB
13
Authentification LDAP
Linux
login
Application
pam_ldap
LDAP (V3) - RFC 2251 LDAP API - RFC 1831 LDAP
search - RFC 2254 AD passwordchange protocol
Clear or SSLprotected
LDAPAPI

• OpenLDAP
• ...

LDAP

• Account Profile
• Password

14
Autorisations intégrées

• Schéma RFC 2307 ou SFU 3.0 pour les données
  dautorisation spécifiques à UNIX
• SFU 3.0 est aujourdhui dépassé
• Windows Server 2003 R2 (Identity Management for
  UNIX) inclut le schéma RFC 2307
• Différences très mineures avec la RFC La
  documentation contient les détails dans la
  section Migrating standard and nonstandard maps
• Certaines stratégies de groupe sappliquent
  automatiquement

15
LDAP
Linux
Windows
login
Application
Application
getpwnam
LDAP (V3) - RFC 2251 LDAP API - RFC 1831 LDAP
search - RFC 2254
ADSIActive DirectoryServices Interface
LDAPAPI
LDAPAPI
nss_ldap
nscd cache daemon
Cleartext, SSL, SASL
LDAP

• Account Profile
• UID
• GID
• Home directory
• Groups

• Account Profile
• Groups
• Tel
• Office

16
Composants UNIX pour la solution 2

• Kerberos
• MIT v1.3.7 ou plus
• Heimdal
• Spécifique au fournisseur (mais risques de
  problèmes)
• LDAP
• OpenLDAP 2.2
• PADL nss_ldap

17
Préparation du test

• Pour la démo
• Windows Server 2003 R2, Active Directory, DNS,
  Certificate Service
• Red Hat 9 installé en mode  Workstation 

18
Composants utilisés sur Red Hat 9

• Kerberos
• krb5-devel-1.2.7-10 (installé par défaut)
• krb5-libs-1.2.7-10 (installé par défaut)
• krb5-workstation-1.2.7-10
• css_adkadmin-2.2_linux (http//www.css-security.co
  m/)
• pam_krb5-1.60.1-css1_linux (http//www.css-securit
  y.com/)
• LDAP
• openldap-2.2.17
• nss_ldap-220
• krb5-1.3.5
• cyrus-sasl-2.1.19

19
Démarche de test

• Créer les OU, utilisateurs et groupes de test
  dans AD
• Configuration et test de Kerberos pour
  lauthentification
• Configuration et test de LDAP pour les
  autorisations
• Configuration et test de lauthentification
  Kerberos (SASL) pour LDAP

20
(No Transcript)
21
Référence

• Windows Security and Directory Services for UNIX
  Guide
• Download Center http//go.microsoft.com/fwlink/?l
  inkid36975
• TechNet online http//go.microsoft.com/fwlink/?li
  nkid68104

22
Microsoft France 18, avenue du Québec 91 957
Courtaboeuf Cedex www.microsoft.com/france 0
825 827 829 msfrance_at_microsoft.com