Kerberos et interopérabilité

Documents pareils
Simplifier l authentification avec Kerberos

Kerberos: authentification unique

Gestion des identités Christian-Pierre Belin

Authentification unifiée Unix/Windows

Kerberos/AD/LDAP/Synchro

Tour d horizon des différents SSO disponibles

Kerberos, le SSO universel

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping)

AUTHENTIFICATION MANAGEMENT

La citadelle électronique séminaire du 14 mars 2002

Kerberos en environnement ISP UNIX/Win2K/Cisco

Référentiel d'authentification interopérable et ouvert: Kerberos

Licence professionnelle Réseaux et Sécurité Projets tutorés

Les applications Internet

SOMMAIRE. 3. Comment Faire? Description détaillée des étapes de configuration en fonction du logiciel de messagerie... 3

Protocoles et trafic réseau en environnement Active Directory

L'AAA, késako? Bruno Bonfils, fr.org>, Novembre Sous ce terme d'apparence barbare est regroupé l'ensemble des concepts suivants :

Architecture pour un référentiel d'annuaire et d'authentification Single Sign On interopérable en environnement hétérogène

Active Directory. Structure et usage

Protocoles utilisant des mécanismes d'authentification: TACACS+, RADIUS et Kerberos

Samson BISARO Christian MAILLARD

Paramétrage du portail de SSOX dans la Console d'administration AppliDis

18 TCP Les protocoles de domaines d applications

Kerberos : Linux, Windows et le SSO

Single Sign-On open source avec CAS (Central Authentication Service)

Evidian IAM Suite 8.0 Identity Management

A. À propos des annuaires

Chapitre 1 Windows Server

Guide de déploiement d'un mécanisme De SmartCardLogon par carte CPS Sur un réseau Microsoft

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Etude d Active Directory

NFS Maestro 8.0. Nouvelles fonctionnalités

Sécurisation du réseau

ENVOLE 1.5. Calendrier Envole

Polux Développement d'une maquette pour implémenter des tests de sécurité

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

LINUX Préparation à la certification LPIC-3 (examen LPI 300) - 2ième édition

Authentifications à W4 Engine en.net (SSO)

Utiliser Améliorer Prêcher. Introduction à LDAP

Gestionnaire des services Internet (IIS)

SUJET DES FINALES NATIONALES Sujet jour 1 version 1

DEMARREZ RAPIDEMENT VOTRE EVALUATION

UCOPIA EXPRESS SOLUTION

Evidian Secure Access Manager Standard Edition

MSP Center Plus. Vue du Produit

Spécialiste Systèmes et Réseaux

Fédération d identité territoriale

Introduction aux services Active Directory

UCOPIA SOLUTION EXPRESS

Manuel d installation

SAML et services hors web

vsphere 5 TP2 La virtualisation avec VMware CNFETP F. GANGNEUX technologie GANGNEUX F. 17/12/2012

JOSY. Paris - 4 février 2010

CASE-LINUX MAIL. Introduction. CHARLES ARNAUD Linux MAIL

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

CAHIER DES CHARGES D IMPLANTATION

LINUX REDHAT, SERVICES RÉSEAUX/INTERNET

DMZ... as Architecture des Systèmes d Information

Installation Windows 2000 Server

Sécurité & Authentification. Sécurité Authentification utilisateur Authentification applicative

OpenLDAP : retour d expérience sur l industrialisation d annuaires critiques

Livre blanc sur l authentification forte

Janus Consulting. 24 Janvier Janus Consulting 8, Rue de la Chapelle Vienne en Arthies

JRES 2005 : La mémorisation des mots de passe dans les navigateurs web modernes

Gestion des identités

Internet Information Services (versions 7 et 7.5) Installation, configuration et maintenance du serveur Web de Microsoft

SSL. Secure Socket Layer. R. Kobylanski janvier version 1.1 FC INPG. Protocole SSL Application avec stunnel

Description de la maquette fonctionnelle. Nombre de pages :

Authentification avec Kerberos

Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition)

IIS, c est quoi? Installation de IIS Gestion de base de IIS Méthodes d authentification. Edy Joachim,

Groupe Eyrolles, 2004 ISBN :

Cisco CCVP. Gestion des comptes d utilisateurs

TELECOM- ANNEE 2003/2004

Serveurs de noms Protocoles HTTP et FTP

Les serveurs WEBUne introduction

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

Gestion des utilisateurs dans un environnement hétérogène

Mise en place d un serveur HTTPS sous Windows 2000

Le protocole SSH (Secure Shell)

IPS-Firewalls NETASQ SPNEGO

Compte rendu d'activité PTI n 2

Introduction aux Technologies de l Internet

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Responsable du cours : Héla Hachicha. Année Universitaire :

Les nouveautés d AppliDis Fusion 4 Service Pack 1

La sécurité dans les grilles

Le protocole RADIUS Remote Authentication Dial-In User Service

LemonLDAP::NG / SAML2. Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA)

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO

Services Réseaux - Couche Application. TODARO Cédric

AEROHIVE NETWORKS PRIVATE PRESHARED KEY. Le meilleur compromis entre sécurité et souplesse d utilisation pour l accès aux réseaux Wi-Fi OCTOBRE 2009

Catalogue «Intégration de solutions»

CS REMOTE CARE - WEBDAV

Les formations. Administrateur Systèmes et Réseaux. ENI Ecole Informatique

UE5A Administration Réseaux LP SIRI

SSH, le shell sécurisé

Transcription:

INRIA Saclay - Ile de France Mardi 24 mai 2010

Plan Kerberos, kezaco? 1 Kerberos, kezaco? Introduction Fonctionnement 2 Authentifier, mais comment? Authentifier, mais quoi? 3 4

Plan Kerberos, kezaco? Introduction Fonctionnement 1 Kerberos, kezaco? Introduction Fonctionnement 2 Authentifier, mais comment? Authentifier, mais quoi? 3 4

Présentation Kerberos, kezaco? Introduction Fonctionnement Description Kerberos est un protocole d authentification, sécurisé, de type SSO Caractéristiques authentification sécurisé SSO

Présentation Kerberos, kezaco? Introduction Fonctionnement Description Kerberos est un protocole d authentification, sécurisé, de type SSO Caractéristiques authentification sécurisé SSO

Histoire Kerberos, kezaco? Introduction Fonctionnement projet Athena projet commun MIT, DEC et IBM X Windows Kerberos 4 fin des années 1980 utilisation au sein d AFS Kerberos 5 1993 première spécification

Histoire Kerberos, kezaco? Introduction Fonctionnement projet Athena projet commun MIT, DEC et IBM X Windows Kerberos 4 fin des années 1980 utilisation au sein d AFS Kerberos 5 1993 première spécification

Histoire Kerberos, kezaco? Introduction Fonctionnement projet Athena projet commun MIT, DEC et IBM X Windows Kerberos 4 fin des années 1980 utilisation au sein d AFS Kerberos 5 1993 première spécification

Standardisation Kerberos, kezaco? Introduction Fonctionnement RFCs 1993 : RFC 1510 (kerberos) 2005 : RFC 3961 (encryption) 2005 : RFC 3962 (AES) 2005 : RFC 4120 (kerberos) 2005 : RFC 4121 (GSSAPI) Foire aux acronymes GSSAPI SPNEGO

Standardisation Kerberos, kezaco? Introduction Fonctionnement RFCs 1993 : RFC 1510 (kerberos) 2005 : RFC 3961 (encryption) 2005 : RFC 3962 (AES) 2005 : RFC 4120 (kerberos) 2005 : RFC 4121 (GSSAPI) Foire aux acronymes GSSAPI SPNEGO

Concepts Kerberos, kezaco? Introduction Fonctionnement Royaume Principal unité d organisation de Kerberos en général, MON.ROYAUME = mon.domaine entité correspondant à un utilisateur ou une machine utilisateur@mon.royaume utilisateur/instance@mon.royaume Key Distribution Center élément central d un royaume base de tous les principaux du royaume serveur d authentification et de distribution des clés

Concepts Kerberos, kezaco? Introduction Fonctionnement Royaume Principal unité d organisation de Kerberos en général, MON.ROYAUME = mon.domaine entité correspondant à un utilisateur ou une machine utilisateur@mon.royaume utilisateur/instance@mon.royaume Key Distribution Center élément central d un royaume base de tous les principaux du royaume serveur d authentification et de distribution des clés

Concepts Kerberos, kezaco? Introduction Fonctionnement Royaume Principal unité d organisation de Kerberos en général, MON.ROYAUME = mon.domaine entité correspondant à un utilisateur ou une machine utilisateur@mon.royaume utilisateur/instance@mon.royaume Key Distribution Center élément central d un royaume base de tous les principaux du royaume serveur d authentification et de distribution des clés

Plan Kerberos, kezaco? Introduction Fonctionnement 1 Kerberos, kezaco? Introduction Fonctionnement 2 Authentifier, mais comment? Authentifier, mais quoi? 3 4

Principe Kerberos, kezaco? Introduction Fonctionnement Acteurs client service KDC Actes le client s authentifie auprès du KDC le client demande un ticket de service au KDC le client accède au service

Principe Kerberos, kezaco? Introduction Fonctionnement Acteurs client service KDC Actes le client s authentifie auprès du KDC le client demande un ticket de service au KDC le client accède au service

Authentification Kerberos, kezaco? Introduction Fonctionnement

Demande de ticket de service Introduction Fonctionnement

Accès au service Kerberos, kezaco? Introduction Fonctionnement

Points remarquables Introduction Fonctionnement Points forts le mot de passe ne circule jamais limitation des attaques par rejeu Points faibles authentification sujette à attaque hors-ligne

Points remarquables Introduction Fonctionnement Points forts le mot de passe ne circule jamais limitation des attaques par rejeu Points faibles authentification sujette à attaque hors-ligne

Pré-authentification Kerberos, kezaco? Introduction Fonctionnement

Plan Kerberos, kezaco? Authentifier, mais comment? Authentifier, mais quoi? 1 Kerberos, kezaco? Introduction Fonctionnement 2 Authentifier, mais comment? Authentifier, mais quoi? 3 4

Ticket vs mot de passe Authentifier, mais comment? Authentifier, mais quoi? Authentification Kerberos utilisation d un ticket support nécessaire au niveau du client et du protocole SSO et sécurité Validation de mot de passe utilisation d un mot de passe pas besoin de support spécifique ni SSO ni sécurité

Ticket vs mot de passe Authentifier, mais comment? Authentifier, mais quoi? Authentification Kerberos utilisation d un ticket support nécessaire au niveau du client et du protocole SSO et sécurité Validation de mot de passe utilisation d un mot de passe pas besoin de support spécifique ni SSO ni sécurité

Authentification Kerberos Authentifier, mais comment? Authentifier, mais quoi?

Validation de mots de passe Authentifier, mais comment? Authentifier, mais quoi?

Plan Kerberos, kezaco? Authentifier, mais comment? Authentifier, mais quoi? 1 Kerberos, kezaco? Introduction Fonctionnement 2 Authentifier, mais comment? Authentifier, mais quoi? 3 4

Site web Kerberos, kezaco? Authentifier, mais comment? Authentifier, mais quoi? Negociate Extension protocole Support serveur Apache + mod_auth_kerb IIS Support client Gecko (Firefox,...) Webkit (Safari,...) IE

Site web Kerberos, kezaco? Authentifier, mais comment? Authentifier, mais quoi? Negociate Extension protocole Support serveur Apache + mod_auth_kerb IIS Support client Gecko (Firefox,...) Webkit (Safari,...) IE

Site web Kerberos, kezaco? Authentifier, mais comment? Authentifier, mais quoi? Negociate Extension protocole Support serveur Apache + mod_auth_kerb IIS Support client Gecko (Firefox,...) Webkit (Safari,...) IE

Système de fichiers réseau Authentifier, mais comment? Authentifier, mais quoi? NFS support GSSAPI dans NFSv4, backporté en NFSv3 authentification, chiffrement et contrôle d intégrité CIFS implicite au sein d un domaine Active Directory

Système de fichiers réseau Authentifier, mais comment? Authentifier, mais quoi? NFS support GSSAPI dans NFSv4, backporté en NFSv3 authentification, chiffrement et contrôle d intégrité CIFS implicite au sein d un domaine Active Directory

Ouverture de session utilisateur Authentifier, mais comment? Authentifier, mais quoi? Session distante OpenSSH telnet Session locale via pam sous Linux implicite au sein d un domaine Active Directory

Ouverture de session utilisateur Authentifier, mais comment? Authentifier, mais quoi? Session distante OpenSSH telnet Session locale via pam sous Linux implicite au sein d un domaine Active Directory

Autres applications Kerberos, kezaco? Authentifier, mais comment? Authentifier, mais quoi? Support GSSAPI ftp (proftpd,...) mail (dovecot,... SASL (OpenLDAP, Postfix, etc...)

Plan Kerberos, kezaco? 1 Kerberos, kezaco? Introduction Fonctionnement 2 Authentifier, mais comment? Authentifier, mais quoi? 3 4

Différentes implémentations MIT Heimdal implémentation originale gros effort de nettoyage en cours multi-plateforme conséquence des restrictions US à l export base Kerberos pour Samba 4 Microsoft depuis windows 2000 extension protocole : PAC

Différentes implémentations MIT Heimdal implémentation originale gros effort de nettoyage en cours multi-plateforme conséquence des restrictions US à l export base Kerberos pour Samba 4 Microsoft depuis windows 2000 extension protocole : PAC

Différentes implémentations MIT Heimdal implémentation originale gros effort de nettoyage en cours multi-plateforme conséquence des restrictions US à l export base Kerberos pour Samba 4 Microsoft depuis windows 2000 extension protocole : PAC

Différentes intégrations Linux clients ligne de commande (kinit, klist,...) clients graphique configuration PAM MacOS implémentation MIT incluse interface graphique native Windows application natives : support intégré à Active Directory certaines application tierces utilisent l implémentation MIT

Différentes intégrations Linux clients ligne de commande (kinit, klist,...) clients graphique configuration PAM MacOS implémentation MIT incluse interface graphique native Windows application natives : support intégré à Active Directory certaines application tierces utilisent l implémentation MIT

Différentes intégrations Linux clients ligne de commande (kinit, klist,...) clients graphique configuration PAM MacOS implémentation MIT incluse interface graphique native Windows application natives : support intégré à Active Directory certaines application tierces utilisent l implémentation MIT

Différents comportements Canonicalisation des principaux de service

Différents comportements Principaux de service sans canonicalisation

Différents algorithmes de chiffrement Heimdal et MIT AES, RC4, 3DES,... DES, mais plus par défaut Microsoft 2000 : DES 2003R2 : RC4 2008 : AES

Différents algorithmes de chiffrement Heimdal et MIT AES, RC4, 3DES,... DES, mais plus par défaut Microsoft 2000 : DES 2003R2 : RC4 2008 : AES

Différents environnements Base de comptes pas de comptes utilisateur base de comptes Posix base de comptes Windows Royaumes Kerberos royaume unique royaumes multiples

Différents environnements Base de comptes pas de comptes utilisateur base de comptes Posix base de comptes Windows Royaumes Kerberos royaume unique royaumes multiples

Plan Kerberos, kezaco? 1 Kerberos, kezaco? Introduction Fonctionnement 2 Authentifier, mais comment? Authentifier, mais quoi? 3 4

Identifier une resource : problème Identités multiples pour une même resource addresse(s) IP nom(s) local nom(s) pleinement qualifié Objectif du protocole Authentification réciproque

Identifier une resource : problème Identités multiples pour une même resource addresse(s) IP nom(s) local nom(s) pleinement qualifié Objectif du protocole Authentification réciproque

Identifier une resource : solutions Canonicalisation Résolution du nom en principal coté client Alias Résolution du nom en principal coté serveur Multiplication des principaux Multiple principaux pour un même service

Identifier une resource : solutions Canonicalisation Résolution du nom en principal coté client Alias Résolution du nom en principal coté serveur Multiplication des principaux Multiple principaux pour un même service

Identifier une resource : solutions Canonicalisation Résolution du nom en principal coté client Alias Résolution du nom en principal coté serveur Multiplication des principaux Multiple principaux pour un même service

Domaine Kerberos multiples : problème Problème accéder à une ressource dans un autre domaine obtenir un ticket pour cette ressource de son KDC impossible de s authentifier auprès de ce KDC

Service du domaine Kerberos, kezaco?

Service d un autre domaine, sans confiance

Domaine Kerberos multiples : solution Solution Relation de confiance entre royaumes Kerberos

Relation de confiance

Service d un autre domaine, avec confiance

Confiance entre implémentations différentes Heimdal et MIT Aucun souci Microsoft et non-microsoft configuration base de registre sur chaque client configuration relation de confiance : type de la clé protocole transport (TCP conseillé)

Confiance entre implémentations différentes Heimdal et MIT Aucun souci Microsoft et non-microsoft configuration base de registre sur chaque client configuration relation de confiance : type de la clé protocole transport (TCP conseillé)

Duplication des données : problème Plusieurs listes d utilisateur compte(s) utilisateur principaux Kerberos Plusieurs mots de passe mot de passe lié au compte mot de passe Kerberos

Duplication des données : problème Plusieurs listes d utilisateur compte(s) utilisateur principaux Kerberos Plusieurs mots de passe mot de passe lié au compte mot de passe Kerberos

Duplication des données : solutions Synchronisation Les données d un système sont répliquées vers un autre protocole LDAP pour les annuaires protocole kadmin pour Kerberos Intégration Deux système utilisent une même source de données stockage LDAP pour la base Kerberos

Duplication des données : solutions Synchronisation Les données d un système sont répliquées vers un autre protocole LDAP pour les annuaires protocole kadmin pour Kerberos Intégration Deux système utilisent une même source de données stockage LDAP pour la base Kerberos

Duplication des données : solutions (suite) Délégation Une fonctionalité d un des systèmes est réalisée par un autre authentification pass-through dans OpenLDAP greffon krb5smb pour OpenLDAP altsecurityidentities dans Active Directory Remplacement Un système remplace un autre Active Directory + winbind Active Directory + SFU LDAP + Kerberos + Samba 4?

Duplication des données : solutions (suite) Délégation Une fonctionalité d un des systèmes est réalisée par un autre authentification pass-through dans OpenLDAP greffon krb5smb pour OpenLDAP altsecurityidentities dans Active Directory Remplacement Un système remplace un autre Active Directory + winbind Active Directory + SFU LDAP + Kerberos + Samba 4?

Plan Kerberos, kezaco? 1 Kerberos, kezaco? Introduction Fonctionnement 2 Authentifier, mais comment? Authentifier, mais quoi? 3 4

Kerberos, c est bien(tm) Avantages multiples authentification forte standardisation SSO de bout en bout

Mais pas trivial Complexité certaine objectif ambitieux hétérogénéité environnement Non insurmontable peu d impact sur l utilisateur final évolution de la spécification

Mais pas trivial Complexité certaine objectif ambitieux hétérogénéité environnement Non insurmontable peu d impact sur l utilisateur final évolution de la spécification

Et surtout pas suffisant Solutions plausibles Active Directory + émulation POSIX Active Directory + annuaire LDAP + base Kerberos Contexte utilisateurs systèmes d exploitation modes d administration

Et surtout pas suffisant Solutions plausibles Active Directory + émulation POSIX Active Directory + annuaire LDAP + base Kerberos Contexte utilisateurs systèmes d exploitation modes d administration

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back