Dispositif assurant le filtrage des accès aux ressources électroniques via un annuaire LDAP



Documents pareils
Vérification intégrée de l'utilisateur Guide d'implémentation client Confidentiel Version 2.9

Guide d'utilisation du portail d'authentification Cerbère à usage des professionnels et des particuliers

Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants

Sage CRM. 7.2 Guide de Portail Client

SQUID P r o x y L i b r e p o u r U n i x e t L i n u x

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Note Technique Sécurité. Système d'authentification. Authentification hors APN LuxGSM Authentification 3G/APN. Système de notification

AccessMaster PortalXpert

Manuel Utilisateur de l'installation du connecteur Pronote à l'ent

Windows Server Chapitre 3 : Le service d annuaire Active Directory: Concepts de base

Restriction sur matériels d impression

USERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Le rôle Serveur NPS et Protection d accès réseau

Guide d'administration

LDAP : pour quels besoins?

Écoles Rurales Numériques et AbulÉdu

Business et contrôle d'accès Web

Manuel d'utilisation

contact@nqicorp.com - Web :

Gestion des identités

GLPI (Gestion Libre. 2 ième édition. Nouvelle édition. de Parc Informatique)

Date de diffusion : Rédigé par : Version : Mars 2008 APEM 1.4. Sig-Artisanat : Guide de l'utilisateur 2 / 24

L'intégration de Moodle à l'université Rennes 2 Haute Bretagne

Cyberclasse L'interface web pas à pas

Protosafe : un service en ligne d archivage de données médicales

Transmission de données

1 LE L S S ERV R EURS Si 5

ESCALE MANUEL UTILISATEUR SIMPLIFIÉ ÉTAT : VERSION VALIDÉE DGFIP - BUREAU SI-2B - DEPS - ÉCHANGE DE DONNÉES. Version 1.

TP c Fonctions des listes de contrôle d'accès multiples (TP avancé)

WebSSO, synchronisation et contrôle des accès via LDAP

Description de la maquette fonctionnelle. Nombre de pages :

Le service d'accès à distance aux bases de données du SCD de Paris 10 Nanterre

Premiers pas sur e-lyco

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Solution Olfeo Guide d'intégration

État Réalisé En cours Planifié

La haute disponibilité de la CHAINE DE

Contrat d'hébergement application ERP/CRM - Dolihosting

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

A. À propos des annuaires

Paramétrage des navigateurs

Guide DinkeyWeb. DinkeyWeb solutions d authentification et de contrôle d accès WEB

Accès à la messagerie électronique HES

Installation du client Cisco VPN 5 (Windows)

Configurer ma Livebox Pro pour utiliser un serveur VPN

Installation et configuration de Vulture Lundi 2 février 2009

LANDPARK NETWORK IP LANDPARK NETWORK IP VOUS PERMET D'INVENTORIER FACILEMENT VOS POSTES EN RÉSEAU

NAS 224 Accès distant - Configuration manuelle

Installation du client Cisco VPN 5 (Windows)

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Installation du client Cisco VPN 5 (Windows)

Matrice snapshot Jacquelin Charbonnel ANF RNBM - Marseille, 23 mai 2013

NOMBRE DE PAGES : 13 NOTE SUR LE MODULE RESERVATIONS ET RESSOURCES PARAMETRAGE

CATALOGUE DE SERVICES DE LA DIRECTION DU SYSTEME D INFORMATION DE L UNIVERSITE DE LIMOGES

Cahier des charges de formation

TAGREROUT Seyf Allah TMRIM

Projet n 10 : Portail captif wifi

Claroline, un outil pour accompagner l'innovation en formation d'ingénieur agronome

InfraCenter Introduction

Manuel d'utilisation du client VPN Édition 1

Stratégie de groupe dans Active Directory

Conditions Générales d Utilisation de l Espace Client

Configuration de l'accès distant

Entrainement à l'évaluation des acquis Windows 2008 R2 et Active Directory

Authentification avec CAS sous PRONOTE.net Version du lundi 19 septembre 2011

Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks)

Licence professionnelle Réseaux et Sécurité Projets tutorés

Déploiement, administration et configuration

LANDPARK ACTIVE DIRECTORY OPEN/LDAP

Annuaire LDAP, SSO-CAS, ESUP Portail...

OBJET : Utilisation des données contenues dans les annuaires téléphoniques.

IPS-Firewalls NETASQ SPNEGO

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

Personnalisation Fiche Annuaire

Science Direct - Cell Press

Cédric Gendre Inra, ESR Toulouse

Installation du point d'accès Wi-Fi au réseau

2010 Ing. Punzenberger COPA-DATA GmbH. Tous droits réservés.

INTERCONNEXION ENT / BCDI / E - SIDOC

inviu routes Installation et création d'un ENAiKOON ID

Livre blanc UCOPIA. La mobilité à la hauteur des exigences professionnelles

Les risques HERVE SCHAUER HSC

CONFIGURATION IP. HESTIA FRANCE S.A.S 2, rue du Zécart TEMPLEUVE +33 (0) (0) Site internet:

SIP A. Aoun - La Visioconférence SIP - 1

Aspects techniques : guide d interfaçage SSO

TECHNICAL NOTE. Configuration d un tunnel VPN entre un firewall NETASQ et le client VPN. Authentification par clé pré-partagée. Version 7.

Structure logique. Active Directory. Forêts Arborescences Domaines Unités d'organisation

Configuration Et Résolution Des Problèmes Des Services De Domaine Active Directory Windows Server Référence Cours : 6238B

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

GENERALITES. COURS TCP/IP Niveau 1

Description de l entreprise DG

SafeGuard Enterprise Web Helpdesk. Version du produit : 6

Comment utiliser mon compte alumni?

DIASER Pôle Assistance Rectorat

Systèmes vidéo Cisco TelePresence

Authentification centralisée et SSO Sujet. Table des matières. 1 ORGANISATION Mode de rendu Informations complémentaires 1 2 SUJET 2

Phase 1 : Introduction 1 jour : 31/10/13

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

Transcription:

Dispositif assurant le filtrage des accès aux ressources électroniques via un annuaire LDAP Document révisé en Mars 2006 Introduction, historique et rappels Le filtrage des accès aux ressources électroniques (bases de données et revues) achetées dans le cadre de la politique nationale, s'effectuait entièrement chez les éditeurs (à l'exception du Wok ) et de deux façons: - par reconnaissance de numéros IP de machines. Le filtrage est effectué sur la base des déclarations de numéros de machines faites par l'inra (déclarations établies à partir des inventaires du pôle SI). Les numéros déclarés appartiennent exclusivement aux tranches de réseaux IP gérées par l'établissement. Toutes les ressources contractualisées dans le cadre national étaient accessibles par ce moyen et rassemblées sur l'ancien Portail 1. - par reconnaissance de login/password collectifs ou personnels, transmis par le GRAP aux ayants droit via les DU. Cette procédure était réservée aux ayants droit hors réseaux INRA et ne permettait d'accéder qu'à une partie des ressources disponibles. Celles-ci étaient rassemblées sur l'ancien Portail 2. Ces deux procédures avaient chacune leurs avantages et leurs inconvénients, mais elles ne permettaient ni l'une ni l'autre d'exécuter pleinement les contrats en ce qui concerne les demandes de l'administration (en réponse aux besoins des chercheurs) et celles des éditeurs (délimitation précise des ayants droit). L'INRA assure désormais lui-même et nominativement le filtrage de ses ayants droit à l'aide d'un dispositif d'annuaire utilisant le protocole LDAP. Les intervenants et leur rôle Rôle du pôle SI - concevoir le dispositif - le réaliser et le mettre en production - le déployer pour l'ensemble des ayants droit (sur sites et hors sites INRA) Rôle du GRAP - délimiter les ayants droits (interfaçage avec l'équipe CompAct), tels que contractuellement décrits

- assurer l'interfaçage avec le pôle SI (cahier des charges, organisation du changement, ouvertures d'accès) et du 2R2E (tests, assistance aux utilisateurs finals) - assurer l'interfaçage avec les éditeurs (informations sur le dispositif et sa mise en place, déclaration d'ajouts et de retrait des numéros IP et des login/mots de passe) Rôle du 2R2E (et des utilisateurs finals volontaires) - acquérir la compréhension du dispositif mis en place - tester localement le dispositif et les solutions techniques, faire remonter au GRAP les résultats de ces tests - expliquer le dispositif aux utilisateurs finals Le dispositif de filtrage et ses composantes Principe du filtrage des accès Les requêtes d'un ayant droit sont dirigées vers des machines proxy dédiées qui assurent leur relayage, après que cet utilisateur ayant droit s'est identifié (via un nom d'utilisateur) et authentifié (via un mot de passe) soit: - dans le cas d'une procédure d'accès classique via un navigateur (ou profil) dédié, - ou dans le cas d'une procédure d'accès via un script de configuration automatique du proxy. Dans ce cas, seules les requêtes vers les ressources électroniques nationales sont redirigées automatiquement vers des machines proxy dédiées, toujours suivant le même principe après que l'utilisateur s'est identifié et authentifié. Schéma général du filtrage d'accès 1/ Configuration en dur des navigateurs. L'utilisateur ayant droit doit utiliser un navigateur (ou un autre profil de son navigateur habituel, nommé revelec du nom des machines composantes du dispositif) dédié à l'activité bibliographique. Ce navigateur est configuré avec l'adresse canonique revelec.inra.fr et le port 3128. Derrière cette adresse figurent une ou plusieurs machines qui interrogent un annuaire LDAP et contrôlent ainsi les accès. Lorsque l'utilisateur déclenche le navigateur ainsi configuré, il recoit une invite à entrer son nom d'utilisateur et son mot de passe LDAP. Après vérification du nom d'utilisateur et du mot de passe dans l'annuaire (identification et authentification), il reçoit la page qu'il a déclarée comme page d'accueil (c'est à dire celle du portail) et il est autorisé à accéder aux ressources électroniques. 2/ Utilisation d'un script de configuration automatique des proxy L'utilisateur ayant droit doit utiliser un navigateur avec l'url de configuration automatique du proxy dédié à l'application plateformes positionné dans son navigateur (ou dans un autre profil de son navigateur habituel). Dans une session, ce script redirige

automatiquement les requêtes vers un des proxy dédié et à la première utilisation d'une ressource éditoriale nationale, l'utilisateur reçoit l'invite à entrer son nom d'utilisateur et son mot de passe LDAP et il est autorisé à accéder. Accès aux ressources électroniques nationales

Ancien dispositif Les utilisateurs sur réseaux INRA, accèdaient par reconnaissance IP aux ressources de l'ancien portail 1. Les utilisateurs autorisés hors réseaux INRA, accèdaient par login/password éditeur, aux ressources de l'ancien portail 2 ou dans certains cas par reconnaissance IP, aux ressources de l'ancien portail 1 via un client VPN (Virtual Private Network). La plupart du temps les requêtes émises passent par un proxy/cache, serveur qui stocke provisoirement les résultats et les relaie vers la machine demandeuse, mais il existe aussi des connexions directes à l'internet sans proxy et des connexions via un FAI (fournisseur d'accès Internet). Les utilisateurs se servent du même navigateur pour accéder à toute les applications auxquelles ils ont droit (internet, intranet achat, CompAct, plateformes etc.) Nouveau dispositif / Dispositif revelec du nom des machines composantes du dispositif Tous les utilisateurs (sur réseaux et hors réseaux INRA) accèdent aux mêmes ressources par un seul portail d'orientation et d'information, avec un seul nom d'utilisateur/mot de passe donné par le ldapmaster, sur la base d'un fichier nominatif des ayants droit validé par le GRAP. Toutes les requêtes vers les ressources du Portail sont envoyées vers des proxy dédiés, fonctionnant en parallèle, qui procèdent à l'identification et à l'authentification des ayants droit via un annuaire LDAP et contrôlent leur habilitation.

Soit les utilisateurs disposent de deux navigateurs, ou de deux profils d'un même navigateur (schéma dispositif revelec ci-dessus). Le premier (navigateur 1 ou profil par défaut) est utilisé pour les applications autres que l'application plateformes. Le second (navigateur 2 ou profil revelec) est réservé à l'application plateformes et paramétré avec une adresse - revelec.inra.fr - commune aux machines dédiées à ce dispositif (voir Procédure d'accès nécessitant deux navigateurs). Soit les utilisateurs utilisent un seul navigateur pour toutes leurs applications, avec l'url du script de configuration automatique de proxy dédié à l'application plateformes positionné dans leur navigateur (voir Procédure d'accès via un seul navigateur). Les utilisateurs - qu'ils soient sur réseaux INRA ou hors réseaux INRA, (sur un site INRA ou non, en mission ou depuis leur domicile),- ont accès aux mêmes ressources, dans les mêmes conditions.

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back