Rapport Pfa Kerberos

Embed Size (px)

Text of Rapport Pfa Kerberos

Mise en place dune solution dauthentification dans un milieu htrogne hthtrogne - - KERBEROS- -

2012

Ddicace

A nos trs chers parents Nulle ddicace nest susceptible de vous exprimer notre profonde affection, nos immenses gratitudes, pour tous les sacrifices que vous avez consentis pour notre ducation et nos tudes. A nos frres, nos surs et nos chers amis. Avec toute notre affection, veuillez trouver ici lexpression de notre profond sentiment de respect et de reconnaissance, pour le soutien que vous navez cess de nous prodiguer. A vous tous Nos souhaits de bonheur et de russite, que ce travail soit la preuve de la sincrit de nos sentiments envers vous.

1

Mise en place dune solution dauthentification dans un milieu htrogne hthtrogne - - KERBEROS- -

2012

RemerciementsCe nest pas parce que cest tel un rituel que nous commenons ce rapport par lassurance de nos immenses gratitudes tous ce qui nous ont paul pour laccomplir, mais cest parce que nous sommes conscients de limportance davouer notre louange toutes les personnes sans lesquelles ce rapport naurait pu voir le jour. Nous voudrions bien exprimer notre vive gratitude et nos remerciements M.HADRI, pour son encadrement et son assistance et qui na pas cess de nous apporter son soutien durant toute la priode de projet. Nous voudrions exprimer galement nos immenses gratitudes lensemble du corps professoral de lEMSI chacun par son honorable nom, qui vont nous rendre les futurs ingnieurs prts porter ltendard du Maroc de demain prparation de ce

2

Mise en place dune solution dauthentification dans un milieu htrogne hthtrogne - - KERBEROS- -

2012

RsumLe but de ce projet est la mise en place dun serveur dauthentification commun dans lequel on aura la possibilit de sauthentifier dans diffrents systmes (Windows, Linux, Mac).La solution dcrite dans ce rapport est la mise en place dun serveur Kerberos appel aussi KDC (Key Distribution Center) qui fonctionne en environnement htrogne, assurant la scurit des changes sur un rseau non sr et permettant la mise en place d'un vritable service d'authentification unique. Kerberos utilise un systme de chiffrement symtrique pour assurer un dialogue scuris entre deux protagonistes. Les dialogues s'oprent en utilisant une clef secrte et partage, les algorithmes de chiffrement sont publics (AES, DES, 3DES, ...), toute la scurit du systme repose sur la confidentialit de la clef de chiffrement. Pour faciliter la gestion d'un tel systme, Kerberos repose sur l'utilisation d'un tiers de confiance qui distribue les clefs aux utilisateurs et services abonns (les principals). Le protocole Kerberos se base sur les deux algorithmes R. Needham et M. Schroeder et D. Denning et G. Sacco qui repose sur une tierce partie de confiance. Toutes les entits du rseau, utilisateurs et services, font confiance cette tierce partie (le serveur Kerberos ou KDC pour Key Distribution Center). Enfin Kerberos est un service sr qui assure la confidentialit, l'intgrit des donnes ainsi que la non-rpudiation. Le service d'authentification assure l'identification unique du client et lui procure un ticket de session qu'il pourra utiliser pour demander des tickets d'utilisation des services kerbriss. Un ticket de session chiffr avec la clef d'un service kerbris constitue un ticket de service.

3

Mise en place dune solution dauthentification dans un milieu htrogne hthtrogne - - KERBEROS- -

2012

GlossaireLutilisation de Kerberos fait appel un vocabulaire dont les principaux termes sont numres ici : KDC (Key Distribution Center) : Base de Donnes des clients et des serveurs (Les principaux) ainsi que des cls prives associes. Principal : Triplet . Primary name : nom dutilisateur ou du service ; Instance : rle/groupe du primary ; Realm : domaine dadministration associe a au moins un serveur Kerberos qui stocke la master BD du site/du domaine. En pratique, on identifiera un principal de type utilisateur par une chaine de la forme login/staff@Domaine. Lorsquil sagira dun service, on utilisera plutt la dnomination service/host @domaine Authentication Service (AS) :C'est un des deux services rendus par le KDC. Un client s'adresse lui pour obtenir un TGT, qu'il pourra alors prsenter au TGS pour recevoir des tickets de services. Client : Entit pouvant obtenir un ticket (utilisateur/hte). Service : Programme/ordinateur accde sur un rseau. Ex : host (avec telnet, rsh), ftp, krbtgt (authentification), pop etc... Ticket : Crdit temporaire permettant de vrifier lidentit du dtenteur. TGT : Ticket particulier permettant au dtenteur dobtenir dautres tickets pour le mme domaine. Ticket-Granting Service (TGS) :C'est un des services rendus par le KDC. Un utilisateur s'adresse lui en prsentant un TGT, pour obtenir un ticket ddie un service cible. Single Sign On (SSO) : C'est le nom donn tout mcanisme permettant l'utilisateur de s'authentifier une seule fois (par mot de passe), et d'accder ensuite diverses ressources grce cette pr-authentification. Dans le cas de Kerberos, la possibilit de transmettre les TGT d'un systme l'autre correspond bien ce mcanisme. Massachusetts Institute of Technology (MIT) :C'est l'organisme l'origine du protocole Kerberos, dvelopp dans le cadre du projet Athna (un rseau informatique d'tudiants trs grande chelle).

4

Mise en place dune solution dauthentification dans un milieu htrogne hthtrogne - - KERBEROS- -

2012

Introduction GnraleLa scurit et l'intgrit d'un systme au sein d'un rseau peut tre une lourde tche. En effet, elle peut monopoliser le temps de plusieurs administrateurs rien que pour effectuer le suivi des services en cours d'excution sur un rseau et surveiller la manire selon laquelle ils sont utiliss. De plus, l'authentification des utilisateurs auprs des services rseau peut s'avrer tre une opration dangereuse lorsque la mthode utilise par le protocole est par essence non-scurise, comme c'est le cas avec les protocoles FTP et telnet lors du transfert de mots de passe de manire non-crypte sur le rseau. Kerberos reprsente un moyen d'liminer le besoin de protocoles qui utilisent des mthodes d'authentification vulnrables, permettant ainsi de renforcer la scurit rseau en gnral. Le protocole Kerberos fournit une authentification mutuelle plus rapide et une approbation transitive pour lauthentification en nimporte quel point dune arborescence dun domaine. Dune manire gnrale, une bonne stratgie de scurit vise dfinir et mettre en uvre des mcanismes de scurit, des procdures de surveillance des quipements de scurit, des procdures de rponse aux incidents de scurit et des contrles et audits de scurit. Pour lucider ces propos, il serait donc intressant de prsenter le protocole Kerberos dans un premier chapitre. Au niveau du deuxime chapitre, on a tent de prsenter le scnario dauthentification pour ce dernier et la fin on va prsenter comment le dployer.

5

Mise en place dune solution dauthentification dans un milieu htrogne hthtrogne - - KERBEROS- -

2012

Table des matirescontexte generale du projet Prsentation gnrale Droulement du protocole Implementations Sous Windows : : : : : : : : : : : : : : : : : : : : : Sous UNIX : : : : : : : : : : : : : : : : : : : : : : : : Heimdal : : : : : : : : : : : : : : : : : : : : : : : : : : SEAM : : : : : : : : : : : : : : : : : : : : : : : : : : : :

6

Mise en place dune solution dauthentification dans un milieu htrogne hthtrogne - - KERBEROS- -

2012

Liste des figures :

Figure 1: Figure 2: Figure3: Figure4: Figure5: Figure 6:

7

Mise en place dune solution dauthentification dans un milieu htrogne hthtrogne - - KERBEROS- -

2012

Chapitre 1Prsentation Gnrale du projetCette partie sera consacre .

8

Mise en place dune solution dauthentification dans un milieu htrogne hthtrogne - - KERBEROS- -

2012

Avec la multiplication des postes informatiques, lauthentification des utilisateurs doit tre uniforme pour tous. Lunification de lauthentification entre Windows et linux est le problme le plus courant qui se pose. Il est possible de faire cette runification via une authentification kerberos. Les diffrentes tapes de configuration sont dcrites, ainsi que les services additionnels ncessaires pour faire fonctionner les systmes linux. Lutilisation de kerberos apporte ensuite des avantages en terme de scurit, en ne transportant plus les mots de passe sur les rseaux, mais galement en fournissant des solutions de Single Sign On(SSO). Enfin une intgration de cet environnement au sein dun espace de travail est effectue, en utilisant le systme dauthentification requis par ce projet. Les services que nous devons rendre nos utilisateurs sont trs varis. Un point primordial est lauthentification. Cest le premier service rendu lutilisateur, le plus utilis, mais aussi un de nos plus gros problmes : La scurit de lauthentification est primordiale et lhtrognit des parcs nous impose normment de contraintes. Plus le parc grandit, plus une multitude de systmes doivent cohabiter. Les utilisateurs, eux, ne veulent pas connatre les diffrences entre systmes. Cest nous de faire un travail dintgration. De plus, lorsquils voient un fonctionnement sur un lieu, par exemple un Single Sign On(SSO) pour accder un service de mail ou un intranet, ils veulent pouvoir disposer de solutions quivalentes dans leur composante, mme si techniquement ce nest pas toujours possible. Mais donnons nos utilisateurs le maximum de ce quon puisse faire techniquement. Lutilisation dun couple didentification unique (login/pass) doit tre la premire tape mettre en place. Ensuite il faudra exploiter lexistant pour faire une intgration la plus complte, tout en simplifiant les services aux utilisateurs. Lutilisation dun grand nombre de plateforme Unix a ncessit trs tt une authentification ce