Shibboleth sur REAUMUR

Documents pareils
REAUMUR-ACO-PRES. Wifi : Point et perspectives

Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants

LemonLDAP::NG / SAML2. Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA)

La fédération d identités, pourquoi et comment? Olivier Salaün, RENATER ANF Mathrice 2014

Drupal et les SSO Nicolas Bocquet < nbocquet@linalis.com >

Tour d horizon des différents SSO disponibles

Authentification et contrôle d'accès dans les applications web

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons Jérémie Jourdin

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO

Shibboleth. David Verdin - JOSY "Authentification centralisée pour les applications web" - Paris - 4 février mai

SAML et services hors web

La gestion des identités au CNRS Le projet Janus

Annuaire LDAP, SSO-CAS, ESUP Portail...

CAS, la théorie. R. Ferrere, S. Layrisse

d authentification SSO et Shibboleth

Retour sur les déploiements eduroam et Fédération Éducation/Recherche

JOSY. Paris - 4 février 2010

Emmanuel Dreyfus, janvier 2011 Emmanuel Dreyfus, janvier 2011

Implémentation libre de Liberty Alliance. Frédéric Péters

Single Sign-On open source avec CAS (Central Authentication Service)

Introduction. aux architectures web. de Single Sign-On

WebSSO, synchronisation et contrôle des accès via LDAP

Single Sign-On open source avec CAS (Central Authentication Service) Vincent Mathieu Pascal Aubry Julien Marchal

CAS, un SSO web open source. 14h35-15h25 - La Seine A

Explications sur l évolution de la maquette. Version : 1.0 Nombre de pages : 9. Projet cplm-admin

Plan. Présentation du logiciel Sympa Architecture La gestion des hôtes virtuels Listes avec inclusion des abonnés Les modules d authentification

Gestion des identités

Authentification avec CAS sous PRONOTE.net Version du lundi 19 septembre 2011

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

IPS-Firewalls NETASQ SPNEGO

La gestion des identités dans l'éducation Nationale, état des lieux et perspectives

Introduction aux architectures web de Single Sign-on

Cahier des charges fonctionnel

Support de sources d'authentification multiples dans un portail de travail collaboratif

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

Mémoire de fin d'études

Solutions d accès sécurisées pour opérer une Market Place Saas multitenante

La suite logicielle Lin ID. Paris Capitale du Libre 25 septembre 2008

Fédération d'identités et propagation d'attributs avec Shibboleth

Description de la maquette fonctionnelle. Nombre de pages :

L'AAA, késako? Bruno Bonfils, fr.org>, Novembre Sous ce terme d'apparence barbare est regroupé l'ensemble des concepts suivants :

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

AccessMaster PortalXpert

LemonLDAP::NG. LemonLDAP::NG 1.2. Clément OUDOT RMLL 9 juillet 2012

Politique de certification et procédures de l autorité de certification CNRS

Single Sign-On open-source avec CAS (Central Authentication Service)

L'intégration de Moodle à l'université Rennes 2 Haute Bretagne

Expérience : blocage de machines sur un campus

La mémorisation des mots de passe dans les navigateurs web modernes

ACCÈS AUX RESSOURCES NUMÉRIQUES

Guide Share France. Web Single Sign On. Panorama des solutions SSO

Formation SSO / Fédération

Présentation de la solution Open Source «Vulture» Version 2.0

Groupe Eyrolles, 2004 ISBN :

Mise en oeuvre d un intranet à partir de logiciels Open Source avec intégration des certificats numériques et login unique

Architecture et infrastructure Web

Innovation technologique dans les établissements scolaires : l ENT, les impacts sur l organisation du travail et les risques associés

educa.id Gestion d'identité et d'accès

Projet n 10 : Portail captif wifi

Note Technique Sécurité. Système d'authentification. Authentification hors APN LuxGSM Authentification 3G/APN. Système de notification

EoleSSO EOLE 2.3. Documentation sous licence Creative Commons by-nc-sa - EOLE (http ://eole.orion.education.fr) révisé : Septembre 2014

Authentification EoleSSO

Joomla! Création et administration d'un site web - Version numérique

Hébergement de sites Web

Introduction aux services Active Directory

Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition)

Sommaire: 1. Introduction 2. Objectif 3. Les applications 4. Installation _Java _Applications lourdes _Applications légères _Remarques générales

laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

Authentifications à W4 Engine en.net (SSO)

Utilisation de l espace personnel (Serveur DATA)

Chapitre 2 Rôles et fonctionnalités

Par KENFACK Patrick MIF30 19 Mai 2009

Sécurisation d une application ASP.NET

L authentification distribuée à l aide de Shibboleth

Authentification unique Eurécia

Catalogue «Intégration de solutions»

Mise en place d annuaires LDAP et utilisation dans plusieurs applications

Service d'authentification LDAP et SSO avec CAS

TP réseaux 4 : Installation et configuration d'un serveur Web Apache

UCOPIA SOLUTION EXPRESS

Sécurité des réseaux sans fil

Hébergement de site web Damien Nouvel

ACCORD-CADRE DE TECHNIQUES DE L'INFORMATION ET DE LA COMMUNICATION. PROCEDURE ADAPTEE En application des articles 28 et 76 du Code des Marchés Publics

ADF Reverse Proxy. Thierry DOSTES

SQUID P r o x y L i b r e p o u r U n i x e t L i n u x

Business et contrôle d'accès Web

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

st etienne.fr

Introduction à Sign&go Guide d architecture

Programmation Web. Introduction

Sécurisation des architectures traditionnelles et des SOA

DESCRIPTION DU PLUGIN D AUTHENTIFICATION AVEC CAS POUR SPIP

Conception d'un système d'information WEB avec UML Par Ass SERGE KIKOBYA

Quel ENT pour Paris 5?

La haute disponibilité de la CHAINE DE

PRODIGE V3. Manuel utilisateurs. Consultation des métadonnées

Présentation d'un Réseau Escolan

Evolutions du guichet de la fédération et gestion des métadonnées SAML

Transcription:

REAUMUR / ACO TIC/PRES Université de Bordeaux Shibboleth sur REAUMUR Journée Fédération du CRU Paris, 25 Janvier 2007 Laurent FACQ - facq@u-bordeaux.fr www.reaumur.net REseau Aquitain des Utilisateurs des Milieux Universitaire et de Recherche Version du 24/01/2007 20:50:51 1 25/012007 Shibboleth sur REAUMUR L. Facq - Journée Fédération d'identité CRU

Plan de la présentation Format: Retour d'expérience chronologique contexte de réalisation première mise en place (portail captif) extensions et évolutions bilan 2 25/012007 Shibboleth sur REAUMUR L. Facq - Journée Fédération d'identité CRU

Contexte 2005 REAUMUR Service réseau inter-universitaire (7 personnes) Mission : gérer le réseau régional Aquitain Nord & campus inter-u Bordelais Partenaires : Établissements Enseignement Supérieur & Recherche (Universités, Écoles, EPST,...) Mission ACO (Aquitaine Campus Ouvert) du Pôle Universitaire de Bordeaux Mission : Développer l'usage des TIC en Aquitaine, mise en place d'ent (Environnement Numérique de Travail), mutualisation des compétences et moyens techniques 3 25/012007 Shibboleth sur REAUMUR L. Facq - Journée Fédération d'identité CRU

Mi-2005 La genèse Nouveau projet (ACO) confié à REAUMUR : déployer une infrastructure sans-fil inter-établissements contraintes : accès universel, simple, authentifié => portail captif (NoCatAuth) => authentification «Web» => être capable d'authentifier «tout le monde» => être capable d'inter-opérer avec les annuaires existants => le plus transparent possible pour les établissements Par ailleurs : Serveurs CAS (Central Authentication Service) en cours d'installation dans les universités (ENT) ==> Choix d'une authentification inter-établissement 4 25/012007 Shibboleth sur REAUMUR L. Facq - Journée Fédération d'identité CRU

Choix d'une authentification inter-établissements (1/2) Choix 1 : 100% maison? mécanisme d'authentification au cas par cas Avantages + Maîtrise totale + Simple? + Prêt à temps (rentrée 2005)? Inconvénients Développement spécifique Difficile à réutiliser ailleurs Manipulation des mots de passe en clair (formulaire web -> serveur d'authentification) 5 25/012007 Shibboleth sur REAUMUR L. Facq - Journée Fédération d'identité CRU

Choix d'une authentification inter-établissements (2/2) Choix 2 : Fédération d'identité Shibboleth? Conçue pour répondre à ce besoin Avantages + «Standard» de la Communauté (CRU + Univ. d'europe) + Single Sign On + Supporte «toutes» les authentifications (modules Apache) + Facilement réutilisable pour d'autres projets + Stable Inconvénients Complexité Aucune expérience Java/Tomcat ==> On se donne 15 jours pour tester shibboleth 6 25/012007 Shibboleth sur REAUMUR L. Facq - Journée Fédération d'identité CRU

Première mise en place de Shibboleth Objectif : une maquette 1 stagiaire (Mathieu GELI ENSEIRB) + 1 titulaire à ~50% Objectifs : Tests avec la fédération pilote du CRU Maquette autonome : CAS U-Bx1 IdP WAYF TOMCAT SP printenv.cgi mod_shib APACHE APACHE Machine 1 Machine 2 IdP = Identity Provider Fournisseur d'identité SP = Service Provider Fournisseur de Service 7 25/012007 Shibboleth sur REAUMUR L. Facq - Journée Fédération d'identité CRU

Première mise en place de Shibboleth Premier Bilan ~2 semaines d'installation, configuration & compréhension => l'authentification fonctionne TOMCAT : très simple à installer Déploiement d'application java = copie d'un fichier Problème : il manque le login (problème d'attribut) + ~2 semaines de déboggage!! (problème de certificat) => occasion d'approfondir nos connaissances et de se familiariser avec les logs => du temps gagné en prévision de la résolution des futurs problèmes en phase d'exploitation Conclusion : ça marche, on continue! 8 25/012007 Shibboleth sur REAUMUR L. Facq - Journée Fédération d'identité CRU

«Shibbolethisation» du portail captif (1/2) modification de l'authentification Problématique : passer d'une authentification par formulaire «login» spécifique à l'application (NoCatAuth) à une authentification générique par module Apache (mod_shib) Première modification : protéger l'url de «login» par Shibboleth (Apache) modification du script «login» pour utiliser les variables fournies par mod_shib (REMOTE_USER & HTTP_SHIB_ORIGIN_SITE) et court-circuiter le formulaire Authentification ok, mais perte de l'affichage des informations spécifiques sur l'utilisation du service 9 25/012007 Shibboleth sur REAUMUR L. Facq - Journée Fédération d'identité CRU

«Shibbolethisation» du portail captif (2/2) ré-insertion d'une page d'infos Version originale : Avec shibboleth : Je veux www... Je veux www... capture Bienvenu sur...... Aide Infos... Login :... Passwd :... redirection Page www... capture WAYF Quel Etablissement? IdP/Serveur CAS Login :... Passwd :... redirection Page www... Bienvenu... Aide Infos Se connecter Problème : Plus d'espace pour informer l'usager (spécifique au portail captif) Deuxième modification : Ré-Insertion d'une page d'information (en conservant les paramètres de capture : adresse mac, page demandée,...) 10 25/012007 Shibboleth sur REAUMUR L. Facq - Journée Fédération d'identité CRU

Création de fournisseurs d'identité (IdP) par clonage Besoin : un fournisseur d'identité par établissement Contexte : tout sur le même serveur Solution : on duplique le premier IdP mis en place sur CAS copie des arborescences java & configuration procéder aux substitutions ad-hoc Durée : moins d'une heure par IdP 11 25/012007 Shibboleth sur REAUMUR L. Facq - Journée Fédération d'identité CRU

Extensions & Évolutions Autres Fournisseurs d'identité Shibbolethisation d'applications 12 25/012007 Shibboleth sur REAUMUR L. Facq - Journée Fédération d'identité CRU

Fournisseurs d'identité basés sur des modules d'authentification d'apache (1.3) Objectif : intégrer des entités sans CAS Encore plus simple : il suffit de protéger l'url «SSO» avec le module choisi le module doit remplir la variable REMOTE_USER Testé et en production avec : Radius (mod_auth_radius) POP (module mod_auth_pop) LDAP ( AD ) (module auth_ldap modifié) AuthType Basic Problème : comptes de test de certaines sources (POP) Si nécessaire : liste noire au niveau des applications en coopération avec l'entité 13 25/012007 Shibboleth sur REAUMUR L. Facq - Journée Fédération d'identité CRU

Comment authentifier les usagers de passage? Objectif : comptes temporaires pour les personnes de passage (congrès, formations, invités) Annuaires d'établissements inadaptés Solution rapide : un IdP de plus! basé sur un fichier htaccess (format login:passwd) génération de login/passwd à partir de listes de personnes En cours : automatisation de la gestion de l'idp Délégation aux organisateurs d'évènements (congrès, formations) Parrainage pour les invités 14 25/012007 Shibboleth sur REAUMUR L. Facq - Journée Fédération d'identité CRU

Et les certificats X509? Problème : nos applications existantes authentifient sur la base de certificats utilisateurs (CRU et CNRS) Solution actuelle : 2 URL pour le même service URL Principal : https://server/service Authentification X509 optionnelle (SSLVerifyClient optional) Absence de certificat client => affichage d'un lien 'login shibboleth' URL Shibboleth : https://server/shibauth/service protégé par Shibboleth lien symbolique sur le répertoire du service Inconvénients : L'application doit traiter les 2 cas (X509/Shib) «SSLVerifyClient optional» déconseillé (pb sur certains navigateurs) 15 25/012007 Shibboleth sur REAUMUR L. Facq - Journée Fédération d'identité CRU

Et les certificats X509? Autre solution possible : 100% Shibboleth (non testée) IdP basé sur certificats Utilise le filtre «ClientCertTrustFilter» Avantages : simplicité maximale au niveau application plus de cas particulier Inconvénients : si un seul IdP X509 : casse la règle «un IdP par établissement» (pas pratique pour les statistiques) Solution : constituer des IdP par Autorité de Certification d'établissement ou exploitant le champ Subject,... 16 25/012007 Shibboleth sur REAUMUR L. Facq - Journée Fédération d'identité CRU

Shibbolethisation d'applications Développements locaux : simple Ex: applications pour nos correspondants techniques Application de gestion de la sécurité, «looking-glass»,... Open Source : basé sur une module d'authentification apache : simple formulaire login/password : à priori faisable facilement testé sur : NoCatAuth (perl), MediaWiki (php) Applications web «fermées»??? code source inaccessible logiciels embarqués 17 25/012007 Shibboleth sur REAUMUR L. Facq - Journée Fédération d'identité CRU

Shibbolethisation d'applications fermées Une solution : un proxy http (CGI) shibbolethisé (Apache) client proxy.cgi application Principe : accès au proxy contrôlé par shibboleth substitutions au vol en fonction de l'utilisateur (simple pour les applications sans état) dans la requête (get/post) dans la réponse => ajout/suppression de liens.. => contrôle fin des droits utilisateurs attributs utilisateurs stockés dans une base externe si besoin Inconvénients : cas par cas à re-valider à chaque mise à jour de l'application 18 25/012007 Shibboleth sur REAUMUR L. Facq - Journée Fédération d'identité CRU

Shibbolethisation d'applications fermées Utilisation de CGIProxy (Perl) shibbolethisé instances dédiées par application Applications traitées de cette façon : interface de gestion de visioconférence d'un pont propriétaire (codian) Pb : API XML insuffisante => création de comptes locaux sur l'équipement en bijection avec comptes shibboleth métrologie netmet (en cours) Pb : pas de notion de comptes/droits => un administrateur de site ne voit que les infos qui le concerne 19 25/012007 Shibboleth sur REAUMUR L. Facq - Journée Fédération d'identité CRU

Bilan 20 25/012007 Shibboleth sur REAUMUR L. Facq - Journée Fédération d'identité CRU

Shibboleth en exploitation En production depuis Septembre 2005 (V1.2.1 -> V1.3) Stable & peu gourmand Charge machine très faible ~ 1500 authentifications par jour = 6000 requêtes SSO&AA Plus gros problèmes : dus aux certificats des serveurs CAS se traduit par un message d'erreur dans le navigateur du client... Expiration de certificat Solution : l'établissement met à jour son certificat Changement d'ac (CRU -> Cybertrust) Solution : mise à jour du java.keystore Par précaution : Activer le maximum de logs même en production! 21 25/012007 Shibboleth sur REAUMUR L. Facq - Journée Fédération d'identité CRU

Périmètre & Particularités Fournisseurs d'identités : 10 (7 CAS, 1POP, 1Radius, 1 htpasswd) Universités Bordeaux 1,2,3,IV, ENSEIRB, IUFM-Aquitaine, UPPA > 50 000 usagers IdP non gérés par les établissements Activation des Attributs : non (test ok) Intégration CRU : non (100% compatible) Fournisseurs de service gérés par REAUMUR : 6 Fournisseur de service géré par des tiers : 0 22 25/012007 Shibboleth sur REAUMUR L. Facq - Journée Fédération d'identité CRU

Évolutions Haute Disponibilité A la demande des établissements : activation des attributs intégration des IdP dans Fédération CRU Statistiques Apache 1.3 -> Apache2 IPv6 23 25/012007 Shibboleth sur REAUMUR L. Facq - Journée Fédération d'identité CRU

Conclusion Première mise en place non triviale... Beaucoup de concepts nouveaux... mais énorme gain de temps par la suite ouverture & souplesse ==> une bonne opération! Le mécanisme de fédération est vraiment la bonne solution dans un environnement multi-établissements. Merci au CRU! 24 25/012007 Shibboleth sur REAUMUR L. Facq - Journée Fédération d'identité CRU

Fin Questions? 25 25/012007 Shibboleth sur REAUMUR L. Facq - Journée Fédération d'identité CRU

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back