Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Loading in …3
×
1 of 38

[JDLL 2017] Des logiciels libres pour la gestion des identités

1

Share

Download to read offline

Présentation des logiciels OpenLDAP, LSC (LDAP Synchronization Connector), LTB (LDAP Tool Box), FusionDirectory et LemonLDAP::NG

Related Books

Free with a 30 day trial from Scribd

See all

[JDLL 2017] Des logiciels libres pour la gestion des identités

  1. 1. @SFLinux @clementoudot Des logiciels libres pour la gestion des identités !
  2. 2. 2 @SFLinux @clementoudot Clément OUDOT @clementoudot http://sflx.ca/coudot ● Créé en 1999 ● >140 personnes ● Montréal, Quebec, Toronto, Paris ● ISO 9001:2004 / ISO 14001:2008 ● contact@savoirfairelinux.com
  3. 3. 3 @SFLinux @clementoudot La gestion des identités
  4. 4. 4 @SFLinux @clementoudot Définition ● Les gestion des identités s’attache au cycle de vie des comptes dans le système d’information : – Création – Modification (renommage, changement de service, etc.) – Suppression ● La gestion des identités est liée à la gestion des accès : terme IAM en anglais (Identity and Access Management)
  5. 5. 5 @SFLinux @clementoudot Authentification , contrôle d’accès et libre-services Référentiel des identités Publication et gestion des identités Synchronisation des identités Les composants principaux d’un système de gestion des identités
  6. 6. 6 @SFLinux @clementoudot Des logiciels libres
  7. 7. 7 @SFLinux @clementoudot Une offre assez large ● Il existe de nombreux logiciels libres qui couvrent tout ou partie des composants nécessaires à un système de gestion des identités ● Pour faire son choix il faut analyser les fonctionnalités, les technologies utilisées, les licences, les aspects ergonomiques, la communauté… ● Liste non exhaustive de logiciels sur le forum Etalab : forum.etalab.gouv.fr
  8. 8. 8 @SFLinux @clementoudot Attention ! La suite de cette présentation est complètement subjective
  9. 9. 9 @SFLinux @clementoudot Référentiel des identités
  10. 10. 10 @SFLinux @clementoudot OpenLDAP ● Licence BSD ● C ● Respect du standard LDAPv3 ● Haute performance et volumétrie ● Configuration multi-maîtres ● Politique des mots de passe ● Ajouts de fonctionnalités par overlays : groupes dynamiques, intégrité référentielle, appartenance aux groupes, contraintes sur les valeurs
  11. 11. 11 @SFLinux @clementoudot LDAP Tool Box - OpenLDAP ● Paquets RPM ou Debian ● Script de démarrage ● Outils d’exploitation (sauvegarde/restauration/ indexation) ● Modules de contrôle de qualité du mot de passe
  12. 12. 12 @SFLinux @clementoudot LDAP Tool Box - Supervision ● Greffons Nagios ou Cacti : – Temps de réponse – Statut de la réplication – Verrous sur les bases BDB/HDB – Taux de remplissage des bases MDB – Statistiques sur les opérations
  13. 13. 13 @SFLinux @clementoudot LDAP Tool Box - Audit ● Configuration pour ELK : – Analyse des différentes opérations – Mesure des performances – Analyse des codes d’erreur
  14. 14. 14 @SFLinux @clementoudot Synchronisation des identités
  15. 15. 15 @SFLinux @clementoudot LDAP Synchronization Connector ● Licence BSD ● Java ● Paquets RPM ou Debian ● Ajout, modification et suppression des identités et groupes ● Support des annuaires standards LDAPv3 ● Support de Samba 4 et Active Directory ● Support bases de données et fichers CSV ● Utilisation possible de scripts externes ou API REST ● Synchronisation des mots de passe et des attributs de la politique des mots de passe
  16. 16. 16 @SFLinux @clementoudot LSC – Phase « sync »
  17. 17. 17 @SFLinux @clementoudot LSC – Phase « clean »
  18. 18. 18 @SFLinux @clementoudot LSC – Exemple d’utilisation de code JS <forceValues> <string> <![CDATA[rjs: var membersSrcDn = srcBean.getDatasetValuesById("uniqueMember"); var membersDstDn = []; for (var i=0; i<membersSrcDn.size(); i++) { var memberSrcDn = membersSrcDn.get(i); var uid = ""; try { uid = srcLdap.attribute(memberSrcDn, "uid").get(0); } catch(e) { continue; } var destDn = ldap.search("ou=users,ou=demo", "(sAMAccountName=" + uid + ")"); if (destDn.size() == 0 || destDn.size() > 1) { continue; } var destMemberDn = destDn.get(0) + "," + ldap.getContextDn(); membersDstDn.push(destMemberDn); } membersDstDn ]]> </string> </forceValues>
  19. 19. 19 @SFLinux @clementoudot Publication et gestion des identités
  20. 20. 20 @SFLinux @clementoudot FusionDirectory ● Licence GPL ● PHP ● Paquets RPM ou Debian ● Gestion des données de l’annuaire LDAP : – Utilisateurs – Groupes – Machines – Comptes techniques – Organisations – Rôles ● Moteur d’autorisation permettant la délégation de la gestion des données
  21. 21. 21 @SFLinux @clementoudot
  22. 22. 22 @SFLinux @clementoudot
  23. 23. 23 @SFLinux @clementoudot LDAP Tool Box – White Pages ● Licence GPL ● PHP ● Paquets RPM ou Debian ● Publication des données de l’annuaire LDAP « pages blanches » : – Recherche rapide – Recherche avancée – Trombinoscope ● Affichage des valeurs en fonction du type d’attribut ● Lien direct vers les fiches ● Configuration de l’activation des différentes fonctions ● Personnalisation graphique
  24. 24. 24 @SFLinux @clementoudot https://ltb-project.org/star-pages
  25. 25. 25 @SFLinux @clementoudot Authentification, contrôle d’accès et libre-services
  26. 26. 26 @SFLinux @clementoudot LemonLDAP::NG ● Licence GPL ● Perl ● Paquets RPM ou Debian ● Portail d’authentification ● Liste dynamique des applications ● Fournisseur d’identités CAS, SAML et OpenID Connect ● Authentification Kerberos ● Authentification sociale (Twitter, Facebook) ● Authentification forte/multi-facteurs ● Personnalisation graphique des interfaces
  27. 27. 27 @SFLinux @clementoudot Historique 2003 2006 2010 2016 Création du projet Version NG SAML CAS OpenID OpenID Connect
  28. 28. 28 @SFLinux @clementoudot Composants CommonCommon ManagerManager HandlerHandler PortalPortal Interface de configuration Formulaires et menu Protection des applications
  29. 29. 29 @SFLinux @clementoudot
  30. 30. 30 @SFLinux @clementoudot
  31. 31. 31 @SFLinux @clementoudot Modules d'authentification LDAPLDAP ADAD ApacheApache SAMLSAML CASCAS RadiusRadius OpenIDOpenID WebIDWebID BrowserBrowser IDID DBIDBI YubikeyYubikey
  32. 32. 32 @SFLinux @clementoudot Passerelle multi-protocoles SAMLSAMLCASCAS OpenIDOpenID ConnectConnect
  33. 33. 33 @SFLinux @clementoudot Fonctions libre-service ChangementChangement de mot dede mot de passepasse RéinitialisatiRéinitialisati on de moton de mot de passede passe CréationCréation dede comptecompte
  34. 34. 34 @SFLinux @clementoudot LDAP Tool Box – Self Service Password ● Licence GPL ● PHP ● Paquets RPM ou Debian ● Changement de mot de passe ● Réinitialisation de mot de passe par mail ● Réinitialisation de mot de passe par questions ● Réinitialisation de mot de passe par jeton (SMS) ● Changement de clé SSH
  35. 35. 35 @SFLinux @clementoudot
  36. 36. 36 @SFLinux @clementoudot Pour aller plus loin
  37. 37. 37 @SFLinux @clementoudot http://www.openldap.org @openldaporg https://ltb-project.org @LTB_Project https://lsc-project.org @LSC_Project https://www.fusiondirectory.org @fusiondirectory https://lemonldap-ng.org @lemonldapng
  38. 38. 38 @SFLinux @clementoudot Merci pour votre attention Blog : http://slfx.ca/coudot Twitter : @clementoudot

×