Centre de Calcul de l Institut National de Physique Nucléaire et de Physique des Particules. Migration Kerberos V Présentation rapide

Documents pareils

Kerberos en environnement ISP UNIX/Win2K/Cisco

Tour d horizon des différents SSO disponibles

Authentification unifiée Unix/Windows

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

Clusters de PCs Linux

La citadelle électronique séminaire du 14 mars 2002

UC4 effectue tout l ordonnancement batch pour Allianz en Allemagne

Single Sign-On open source avec CAS (Central Authentication Service)

Gestion des identités Christian-Pierre Belin

Point de situation et plan d'action du SITEL. Présentation de A. Mokeddem, devant la Commission informatique le 2 octobre 2000

Innovation technologique dans les établissements scolaires : l ENT, les impacts sur l organisation du travail et les risques associés

OFFRES DE SERVICES SDS CONSULTING

Authentifications à W4 Engine en.net (SSO)

JOSY. Paris - 4 février 2010

Drupal et les SSO Nicolas Bocquet < nbocquet@linalis.com >

Architecture pour un référentiel d'annuaire et d'authentification Single Sign On interopérable en environnement hétérogène

DESCRIPTION DU PLUGIN D AUTHENTIFICATION AVEC CAS POUR SPIP

PortWise Access Management Suite

SECURITE DES SYSTEMES DʼINFORMATION FREEIPA Projet de semestre ITI 3eme année Etudiant RAZAFIMAHATRATRA LAURE Professeur : Gérald LITZISTORF

JOSY VIRTUALISATION 9 ET 10 JUIN 2011 POSTE DE TRAVAIL ET VIRTUALISATION. Sébastien Geiger IPHC

Sécurisation des architectures traditionnelles et des SOA

VOTRE SOLUTION OPTIMALE D AUTHENTIFICATION

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

ENVOLE 1.5. Calendrier Envole

Les modules SI5 et PPE2

A l'attention du Directeur général, du Directeur financier

LEADER DES SOLUTIONS D AUTHENTIFICATION FORTE

Augmenter l efficacité et la sécurité avec la gestion des identités et le SSO

Faiblesses des méthodes d administration en environnement Windows et état des lieux de l outillage intrusif 1/50

Introduction. aux architectures web. de Single Sign-On

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping)

Tarifs et services Dynamic Intranet

DMZ... as Architecture des Systèmes d Information

vsphere 5 TP2 La virtualisation avec VMware CNFETP F. GANGNEUX technologie GANGNEUX F. 17/12/2012

Traçabilité des administrateurs internes et externes : une garantie pour la conformité. Marc BALASKO Ingénieur Avant-vente

Single Sign-On open source avec CAS (Central Authentication Service) Vincent Mathieu Pascal Aubry Julien Marchal

Une unité organisationnelle (Staff) comporte une centaine d'utilisateur dans Active Directory.

Cegedim : la santé son marché premier

Déclarer un serveur MySQL dans l annuaire LDAP. Associer un utilisateur DiaClientSQL à son compte Windows (SSO)

Les applications Internet

Le monitoring de flux réseaux à l'in2p3 avec EXTRA

AUTHENTIFICATION MANAGEMENT

L'Online Banking en toute sécurité grâce au digipass. Guide d'utilisation rapide du digipass

De EnvOLE 1.5 à EnvOLE 2. Document pour l administrateur

Description de la maquette fonctionnelle. Nombre de pages :

Le protocole SSH (Secure Shell)

d authentification SSO et Shibboleth

Solutions d accès sécurisées pour opérer une Market Place Saas multitenante

Technologie SDS (Software-Defined Storage) de DataCore

Vers une fédération de Cloud Académique dans France Grilles J. Pansanel pour le groupe FG-Cloud (M. Airaj, C. Cavet, V. Hamar, M. Jouvin, C.

Les commandes relatives aux réseaux

EVOLUTION ACTIVE DIRECTORY Windows 2012R2

ENVIRONNEMENT WINDOWS

Authentification centralisée et SSO Sujet. Table des matières. 1 ORGANISATION Mode de rendu Informations complémentaires 1 2 SUJET 2

M1101a Cours 4. Réseaux IP, Travail à distance. Département Informatique IUT2, UPMF 2014/2015

Déclarer un serveur MySQL dans l annuaire LDAP. Associer un utilisateur DiaClientSQL à son compte Windows (SSO)

Kerberos: authentification unique

Simplifier l authentification avec Kerberos

PRIMAVERA P6 ENTERPRISE PROJECT PORTFOLIO MANAGEMENT WEB SERVICES

NAS 109 Utiliser le NAS avec Linux

FORMATION INFORMATIQUE ET TECHNOLOGIE

Chapitre 01 Généralités

La nouvelle équation du poste de travail

Serveur de sauvegarde à moindre coût

Portage d applications sur le Cloud IaaS Portage d application

IPS-Firewalls NETASQ SPNEGO

GOUVERNANCE DES ACCÈS,

Gestion des Identités : 5 règles d'or. Patrice Kiotsekian Directeur Evidian France

Mise en œuvre d une infrastructure de virtualisation au CNRGV

Les risques HERVE SCHAUER HSC

ECE/TRANS/WP.15/AC.1/2015/21. Conseil économique et social. Nations Unies. Commission économique pour l Europe Comité des transports intérieurs

Le principe du moindre privilège appliqué aux systèmes Windows

GOOGLE, OUTILS EN LIGNE

Conditions Particulières de Maintenance. Table des matières. Ref : CPM-1.2 du 08/06/2011

arcopole Studio Annexe 4 Intégration LDAP et processus d authentification Site du programme arcopole :

Single Sign On (l apport déterminant du SSO dans un projet d IAM ) Yves RAISIN - biomérieux

Dossier de participation INSTALL PARTY «UBUNTU» Le Samedi 7 Juin 2014

INSTALLATION DEBIAN 7 (NETINSTALL) SUR VM

L'AAA, késako? Bruno Bonfils, fr.org>, Novembre Sous ce terme d'apparence barbare est regroupé l'ensemble des concepts suivants :

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO

Installation d un serveur DHCP sous Gnu/Linux

CommandCenter Secure Gateway

Retour d expérience Sénalia. Comment migrer progressivement vers Microsoft Office 365?

Mise à jour des compétences d'administrateur Exchange Server 2003 ou 2007 vers Exchange Server 2010

Authentification avec Kerberos

Livre Blanc - septembre 2007 MAC OS X & WINDOWS : RÉUSSIR LA COHABITATION

GEI 465 : Systèmes répartis

WebSSO, synchronisation et contrôle des accès via LDAP

La gestion des identités au CNRS Le projet Janus

Innovation technologique dans les établissements scolaires : l ENT, les impacts sur l organisation du travail et les risques associés

Single Sign-on (Gestion des accès sécurisés)

Introduction au protocole FTP. Guy Labasse

Installation de IBM SPSS Modeler Server Adapter

McAfee Web Gateway 7.5.1

2008 : Diplômé Master 2 ASR (Architecture Système et Réseaux) Université d Evry (Evry - 91)

I. Objectifs de ce document : II. Le changement d architecture :

Transcription:

Centre de Calcul de l Institut National de Physique Nucléaire et de Physique des Particules Migration Kerberos V Présentation rapide

Rappel : Pourquoi Kerberos V AFS utilise KAS (~ Kerberos 4) 5 > 4 => Kerberos 5 > Kerberos 4 Kerberos 4 => seulement support de Data Encryption Standard. 11/05/2011 2

Etat actuel de la plateforme Kerberos V 2 serveurs Solaris (ccafs0[67].in2p3.fr) 11/05/2011 3

Etat actuel de la plateforme Kerberos V 2 serveurs Solaris (ccafs0[67].in2p3.fr) Plateforme utilisée pour : Batch GE Connexion aux machines de services (tsm, openstack, ) Délégation de privilèges via remctl (création de repository puppet, ) 11/05/2011 4

Etat de la plateforme Kerberos V au 3 mars 2015 3 serveurs Linux (cckrb0[123].in2p3.fr) 11/05/2011 5

Etat de la plateforme Kerberos V au 3 mars 2015 3 serveurs Linux (cckrb0[123].in2p3.fr) Plateforme utilisée pour : Batch GE Connexion aux machines Délégation de privilèges via remctl Accès AFS authentifiés 11/05/2011 6

Changements à venir AUCUN changement à venir 11/05/2011 7

Changements à venir AUCUN changement à venir (ou presque) 11/05/2011 8

Changements à venir Mot de passe Token AFS Mot de passe * Ticket Kerberos Token AFS 11/05/2011 9

Changements à venir : pour nos utilisateurs ssh ccage.in2p3.fr Saisie du mot de passe Kerberos Obtention d'un ticket Kerberos de façon transparente (non utilisé pour le moment) Obtention d'un token AFS de façon transparente (comme avant) 11/05/2011 10

Changements à venir : pour nos utilisateurs ssh ccage.in2p3.fr Saisie du mot de passe Kerberos Obtention d'un ticket Kerberos de façon transparente (non utilisé pour le moment) Obtention d'un token AFS de façon transparente (comme avant) klog n'existera plus => kinit + aklog (pour les accès AFS) 11/05/2011 11

Changements à venir : pour nos utilisateurs ssh ccage.in2p3.fr Saisie du mot de passe Kerberos Obtention d'un ticket Kerberos de façon transparente (non utilisé pour le moment) Obtention d'un token AFS de façon transparente (comme avant) klog n'existera plus => kinit + aklog (pour les accès AFS) Dans un premier temps, plus de notion de «lock après N tentatives». 11/05/2011 12

Changements à venir : pour nos machines internes au CC-IN2P3 ssh ccsvli*.in2p3.fr (machine de service) Deux possibilités : Utilisation de la fonctionnalité Single Sign On pour se connecter sur les machines sans avoir à saisir de mot de passe. Pour cela il faut avoir fait un kinit auparavant. 11/05/2011 13

Changements à venir : pour nos machines internes au CC-IN2P3 ssh ccsvli*.in2p3.fr (machine de service) Deux possibilités : Utilisation de la fonctionnalité Single Sign On pour se connecter sur les machines sans avoir à saisir de mot de passe. Pour cela il faut avoir fait un kinit auparavant. Saisie du mot de passe Kerberos et fonctionnement habituel. 11/05/2011 14

Changements à venir : pour nos machines internes au CC-IN2P3 ssh ccsvli*.in2p3.fr (machine de service) Deux possibilités : Utilisation de la fonctionnalité Single Sign On pour se connecter sur les machines sans avoir à saisir de mot de passe. Pour cela il faut avoir fait un kinit auparavant. Saisie du mot de passe Kerberos et fonctionnement habituel. Obtention d'un ticket Kerberos de façon transparente (permet d'utiliser la fonctionnalité SSO) 11/05/2011 15

Changements à venir : pour nos machines internes au CC-IN2P3 ssh ccsvli*.in2p3.fr (machine de service) Deux possibilités : Utilisation de la fonctionnalité Single Sign On pour se connecter sur les machines sans avoir à saisir de mot de passe. Pour cela il faut avoir fait un kinit auparavant. Saisie du mot de passe Kerberos et fonctionnement habituel. Obtention d'un ticket Kerberos de façon transparente (permet d'utiliser la fonctionnalité SSO) Obtention d'un token AFS de façon transparente (comme avant) klog n'existera plus => kinit + aklog (pour les accès AFS) 11/05/2011 16

Changements à venir : rappels AUCUN changement à venir (ou presque) Logon en charge de la création des utilisateurs 11/05/2011 17

Changements à venir : rappels AUCUN changement à venir (ou presque) Logon en charge de la création des utilisateurs Aucun changement côté G.E 11/05/2011 18

Plan d'action du 3 mars Migration prévue sur 8 heures (!!) : Matinée (4hr) réservée à la migration complète (AFS et autres services) et à la validation du bon fonctionnement de chacun des services migrés. 11/05/2011 19

Plan d'action du 3 mars Migration prévue sur 8 heures (!!) : Matinée (4hr) réservée à la migration complète (AFS et autres services) et à la validation du bon fonctionnement de chacun des services migrés. Après midi (4hr), les administrateurs de services du CC peuvent commencer leurs opérations => remontée de comportements anormaux 11/05/2011 20

Plan d'action du 3 mars Migration prévue sur 8 heures (!!) : Matinée (4hr) réservée à la migration complète (AFS et autres services) et à la validation du bon fonctionnement de chacun des services migrés. Après midi (4hr), les administrateurs de services du CC peuvent commencer leurs opérations => remontée de comportements anormaux 18hr : Champagne (qui dort au frais depuis +10 ans) :-) 11/05/2011 21