XACML is dead or not ?

mai 26th, 2016

xacml.plain.logo

 

Depuis maintenant plusieurs années, je m’intéresse à l’évolution du « standard » XACML, en me posant bcp de questions… En effet, d’un point de vue technologique, je pense qu’il s’agit d’une excellente manière de gérer les rôles applicatifs au sein des grandes entreprise. Pour faire simple, XACML est plutôt un langage structuré (basé sur XML) qui permet de décrire des rôles et surtout des politique de contrôle d’accès – ces politiques peuvent être simples, très complexes et peuvent se baser sur des éléments dynamiques ou contextuels: par exemple mes « droits » définis dans le code XACML peuvent s’adapter en fonction de l’adresse IP que j’ai, ce qui permettrait d’adapter mes droits si je suis sur le LAN ou depuis un VPN, etc. Encore une fois, d’un point de vue technique, je pense que c’est le top, c’est un peu monolithiques, mais au final on peut gérer des cas très complexes – le problème est que l’adoption (en tout cas en France) de ce standard est très faible – il y a peu de changements depuis 4 ans, quelques POC, mais pas de mise en production – en effet, le problème majeure est qu’il faut écrire une partie des applications « in house » pour bénéficier de XACML, il y a déjà peu d’entreprises qui font du profiling applicatif dans un annuaire LDAP, alors XACML…on imagine… Je suis retombé sur un article d’un consultant Forester qui date maintenant de 3 ans, voir: http://blogs.forrester.com/andras_cser/13-05-07-xacml_is_dead – ce qui est amusant c’est que l’on pourrait avoir écrit l’article hier 😉 Les commentaires sont extrêmement intéressants également, un peu partisans, mais intéressants !

Donc que conseiller ? XACML or not XACML ? et bien je ne sais pas… Je pense que je conseillerais à une entreprise (à partir de 50 000 users) d’au moins faire un POC de la technologie, et de comparer avec le mode de profiling et de contrôle d’accès actuel. De plus, je pense que nous ne verrons jamais des plug-in applicatifs « sur étagère » (ce qui est bien dommage…) genre un plug-in XACML pour SharePoint, pour SAP, pour Apache, etc… ce qui sous-entend que chaque entreprise devra écrire et maintenir le module XACML pour chaque application importante.

Quels liens pour aller plus loin:

https://en.wikipedia.org/wiki/XACML

https://www.axiomatics.com/ (pour moi le seul fournisseur XACML qui respectent vraiment les standards OASIS avec Oracle)

https://www.oasis-open.org/committees/tc_home.php?wg_abbrev=xacml

 

Tutorial: how to store or migrate UNIX NIS maps in Active Directory using the Centrify NIS Gateway

avril 16th, 2016

I received a lot, I mean a lot, of requests after I had published my 3 last posts about the storage of NIS maps in Active Directory [http://bit.ly/1S4gKUGhttp://bit.ly/1qvvyzrhttp://bit.ly/1q8iAHi ] – The main problem was my posts are in French 😉 and a lot of people tried to use Google Translate to get it, but it wasn’t perfect. So, from the popular demand, I decided to translate it in English. English is not my native language, so sorry in advance if you will find some ‘bugs’ in the text.

As I explained in one of my last post (sorry again in French !), Microsoft announced it will not implement some Unix Services in Windows 2016 and Active Directory 2016 anymore, including NIS Services.

Through my different projects, I had meet a lot of organizations which are using mixt environment with Windows and Unix boxes and I can say the NIS usage is even nowadays very widespread. For sure, it is very bad to use NIS authentication and NIS authorizations, it is really better to use Kerberos ad LDAP instead. I will not go in the details now, but it is true that NIS is not something secured, however, the fact to totally eliminate the NIS Services is impossible for a lot of organizations. These organizations have a « IT history », from years, and a lot of very important information still remain in the NIS maps (automount, etc.)

So, the goal is to use Kerberos/LDAP for authentication/authorization services and a NIS Gateway service which expose to NIS client the maps NIS which are stored in Active Directory. Using this way, we get the best of the two worlds, we can secure the authentication with Kerberos and the organization is able to continue to use the NIS maps for the legacy needs.


In this tutorial, we will use the NIS Gateway provided by Centrify and get a magic trick to improve security without abandon the NIS history.

Inn this tutorial, we will use a Fedora 23 workstation as a NIS Gateway and Fedora 23 as a NIS client, in my example the Active Directory is a Windows 2012R2 one, but it will work with various flavors of Linux/Unix and with different versions of Active Directory.

A/ First step: Centrify packages installation on the future NIS Server (=NIS Gateway)

First, we need to set our NIS Gateway with a hostname and with a IP which permit to the NIS Gateway to communicate with the Active Directory world. Here, we consider that the basic settings regarding the Centrify Zones are already done (just refer to the Centrify Quick Start Guide to do it).

1/ Hostname settings


In our example, the hostname of the NIS Gateway will be: nisserver01.demo.local

2/ SSH checking

We will check that the SSH server service is present on the Linux box, we will need it to transfer the packages for the Centrify agent and the packages for the Centrify NIS Gateway on the NIS Server.


If the SSH server is not installed, type the following command to install the SSH server packages:


When the SSH packages are installed, you need to start the SSH service


3/ Centrify packages transfer to the machine

We will use WinSCP to transfer the Centrify agent (Centrify Server Suite 2016) on the NIS server (/tmp directory for example) – for a Fedora23 OS, the name of the package is centrify-suite-2016-rhel4-i386.tgz


4/ Centrify agent installation

Go the the /tmp directory and check you have the agent package.


Unzip the package:


Instal the agent, using the install.sh script:


The install.sh script will check everything to be sure your system is able to get it – if you don’t have any ‘failed » result, you will be able to install the agent – if you get some ‘warning’ result, it is not really important (we are doing a POC !)


Choose the Enterprise or the Standard version, it doesn’t matter for the NIS Gateway itself, so let’ choose Enterprise [E] in our example:


Choose the run adcheck again (just to be sure…) et provide the needed information linked to Active Directory during the installation process – In our example, we will join a zone named arizona, so our NIS server will provide « NIS service » for this zone – and choose to not reboot at the end of the installation:


As soon the information will be provided, the install process will start, but just before the installation process will ask you to verify your different values.


The installation process is starting – after the adcheck final check, just validate the agent installation process:



At the end of the process, the Centrify agent installation proceeds:


Now, we will install the package which will update the SSH Server packages with the Centrify packages – this is not 100% mandatory, but it will provide a better integration with Kerberos authentication, so let’s do it:


Now, we will install the Centrify NIS Gateway package:


At the end, just reboot the system, again this is not 100% mandatory, but let’s do it easier and reboot the system.

At this stage the first big step is over. Let’s see now how to set Centrify NIS Gateway.

B/ Second step: Centrify NIS Gateway settings

1/ Active Directory integration of the NIS Gateway Linux box

We will integrate the NIS Server in the zone named arizona. We consider here that you already performed the basic step of the Centrify installation procedure (refer to the Centrify Quick Start guide for details) and we consider you already created some Centrify zones in Active Directory.

First, let’s connect to the NIS Server and execute the following command to perform the Active Directory join to the arizona zone:


In our example, the domain is named demo.local, the Centrify zone is named arizona and the Active Directory service account used to perform the Active Directory join is named centrify. And the password for the service account is …no, for sure, just kidding ;-)) – but the join process will ask you the password for the Active Directory service account.


After few seconds, the following window will appear, saying everything is ok:


It is not mandatory to reboot the server itself, but to make it easier, let’s reboot the server:


2/ Let’s check some important things

Now let’s set some accurate parameters of the Centrify NIS Gateway. We will start to start the management tool Centrify Access Manager, we will find a new machine account in the zone names arizona, it is nisserver01:


This is another view with the list of the machines in the Centrify zone. We will use a other machine from this zone to be NIS client (ypbind) of our NIS Gateway. For sure, the NIS Gateway as a NIS server only for the machines which are in the same zone.


As we didn’t specify a specific container during the Active Directory join of the NIS Gateway, the computer object which represents the NIS server is stored by the containers Computers in Active Directory or any default container if you changed your Active Directory configuration:


Because we will apply some specific GPOs on the computer object which represents the NIS Gateway, we will create a new organization unit (OU) and we will move the computer object in it- in our example, the OU is named NIS_Gateway:


Now, we will start our NIS Gateway computer. When the computer will be started, it would be possible the use any AD account with a UNIX profile in the Centrify zone to log on it, but we will log as root to make it more convenient for the future manipulations.

As soon you are logged on the system, just type the adinfo command, you will obtain information about the state of the adclient daemon which represents more or less a Active Directory client for UNIX/Linux:


The most important thing is to have the value ‘connected’ for the attribute ‘CentrifyDC mode’, this means the system is truly connected to Active Directory and communicate with it. At this stage, our Linux server is integrated in Active Directory and it is totally secured, thanks to Centrify technology.

3/ Apply specific settings on the Centrify NIS Gateway

Let’s set some settings to set the correct behavior of Centrify NIS Gateway (adnisd).

First, we will use the Centrify extension for the GPMC to create some specific GPOs to set the NIS Gateway, nisserver01. Centrify provides some ADMX files if you just want to use the classic GPMC provided by Microsoft, so you can import the administration model in the GPMC. Or you can install some Centrify GPMC snap-in to create the UNIX/Linux GPOS. It is up to you, but you need to do one or the other.

Here we will use the ADMX files method, and e consider we already import the different ADMX files in the GPMC. Open the GPMC and go the node « computer configuration / Strategy / Administration model / Centrify Settings / DirectControl Settings / NIS Daemon Settings:


Edit the ‘Specify allowed client machines for NIS daemon‘ property and set the value to 0/0:


We need to do so, because by default, the NIS Gateway only accept NIS request from itself (I will not go in the details, but in some specific secured configurations where you need to deploy the NIS Gateway packages on all the UNIX systems, this « by default » behavior is useful). So we need to define the is of the IP addresses which are authorized to request the NIS service, if you set the value to 0/0, the NIS server will accept all the request from all the client.

Let’s edit also the ‘Specify NIS daemon update interval‘ property and set the value to 60.


This property will allow us to set the synchronization time between Active Directory and the NIS Gateway. Because of performance reasons, the NIS Gateway maintains a local cache of the values from Active Directory, so in our example, the values will be replicate every minute. In a production environment, a value between 16 and 30 minutes seems a good choice.

Just validate the GPO and close the GPMC. If you want to update the NIS Server with these new settings, it is just matter to execute the adgpupdate command on the NIS Server, this command will refresh the GPOs settings from Active Directory. You can also wait for the next GPO application process (the time period will depend of your Active Directory settings):


It is possible to check which GPO is applied or not by executing the adgpresult command on the system, here, we will see the settings we just created in the new GPO we created:


C/ Third step: Verify some elements on the Centrify NIS Gateway settings

As you may know, to have a consistent NIS Server on a system, we need to have RPC services up and running. If you don’t know so much about NIS, I recommend to read this book which is for me a sort of « NIS bible » [ special thanks to Randip M to let me know about this book. 😉 ]

I will not go in the very details, but globally the RPC server service will receive the requests from the NIS/RPC client from the network, so the RPC server service will decide to use a certain port number, using the port mapper, then the communication between the client and the server will use this specific RPC port for the rest of session. So to have a NIS server running in the right shape we need to have a RPC server running in the right shape.

To verify if everything is ok for the RPC server, execute the following command: rpcinfo –p localhost


Here we can see we have six port mappers waiting for a RPC connection, so everything is ok.

We will now check if the Centrify NIS Gateway service (adnisd) is up and running by executing the following command: systemctl status adnisd –l


If the adnisd service is not running, execute the following command to start it: systemctl start adnisd –l

When we execute the command systemctl status adnisd –l to check the status of the service, we have a message saying that we don’t have any NIS map stored in Active Directory, at this stage it is totally normal, we will publish NIS maps in Active Directory latter.

D/ Fourth step: Check the configuration of the NIS client

1/ some thoughts about what we are doing here…

At the Linux client level, it is very important to understand that we have two different components:

– The Centrify DirectControl agent which provides the ability of the system to be fully integrated in Active Directory and provides the Kerberos and LDAP layers for authentication and authorization against Active Directory – Even if we have a NIS client on system to use NIS maps, the authentication is not managed by NIS but by Kerberos

– The NIS client of the Linux system – this is not a component provided by Centrify agent installation, here we are using a generic client, which could be slightly different from different Linux/UNIX forks – never mind, the generic NIS client will use « classic » NIS exchange with the Centrify NIS Gateway, so it will work

The good thing with this scenario, is we will get all the advantage provided by the Centrify agent but we will be able to use legacy NIS maps. As the NIS gateway server itself is using a Centrify agent, all the communication between the NIS gateway and Active Directory is secured. Another big advantage is the fact that we will not have any more a dependency with one single NIS Master – in this scenario, the « NIS master role » is technically provided by the different AD domain controllers, as the AD domain controllers are using multi-master replication, we don’t have any single point of failure there – The NIS gateway will act as a NIS slave and will cache the information from AD on his own system, and we reply to the NIS requests from the network.

It is existing other scenarios, where the NIS authentication (ok, I don’t like to use the expression « NIS authentication » because NIS is NOT an authentication protocol, but I make the things simple here by comparing with Kerberos…) will be provided by NIS even if the NIS maps are stored in Active Directory – but in this scenario we will need to store in Active Directory a hashed version of the user passwords compatible with NIS, we will not review this particular scenario there because it is not really used anymore and above all because it is not really secured (I will even say it is not secured at all…).

2/ Apply some settings at the NIS client level

Perform a connection, using root, to the NIS client, in our example, the NIS client hostname is : fedora23.

We will first check if the ypbind service (the NIS client) is up and running, so let’s execute the following command: systemctl status ypbind –l

If you get something like this :


It means the service is not started, and it means the ypbind packages are even not installed at all.

To check is the package are installed or not, let’s try to start the service using this command: systemctl start ypbind –l

The following message will confirm that the ypbind packages are not installed at all:


To install the NIS client packages, execute the following command: dnf -y install ypbind rpcbind

If rpcbind was already installed, you will get this message, it is not a big deal, just ignore it :


In all the situations, you may obtain something like that at the end of the packages installation:


After packages installation, I advise you to restart the system, it is not purely technically a requirement, but I was used to be a Microsoft Guy 😉

Never mind if you just installed the NIS client packages or if you were using it during years before this tuto, we will now stop the ypbind service on the client to apply some settings at the NIS client level: systemctl status ypbind –l

To be sure we will not have bad behavior because of previous settings/usage, we will delete all the files which are in the var/yp/binding directory: rm -rf /var/yp/binding/*

Now, we will define the NIS domain name at the client level – remember, by default, the NIS domain name is equal to the Centrify zone name where our NIS Gateway is acting, in our example, the zone name is arizona. So let’s execute the command: domainname arizona


Then, we will edit the /etc/yp.conf file to set the NIS domain name and the NIS Gateway hostname – in our example, we need to add the value: domain arizona server nisserver01

Example, with the nano editor:


If you are using nano, after editing the value, let’s use Ctrl+O & Ctrl+X

Now, let’s start the ypbind service: systemctl start ypbind –l

You can check the service status using this command : systemctl status ypbind –l


Note: if the NIS client is not able to contact the NIS server, so the NIS client service will not start. If you get an error when you try to start the NIS client service, the first thing to do is to disable the firewall service on the NIS server (use the following command to stop the firewall on a fedora system: systemctl stop firewalld –l )

At this stage, we have a NIS server and a NIS client which are able to communicate each other, let’s publish some NIS maps in Active Directory now !

E/ Fifth step: Publish some NIS maps in Active DIrectory

In this tutorial, we will use the Centrify graphical tool « Centrify Access Manager » to publish some information in the NIS maps, but you can do it using different ways (LDP command for example).

Start the Centrify Access Manager tool, and go the Centrify zone (arizona in our example) – Then go to ‘Unix Data’, then ‘NIS maps’ node. Right-click on the node and choose ‘New / Generic Map’:


In our example, we will create a Generic Map, i.e. a map used to store text information with no direct relation with something used by the Linux system itself. For sure, you create some ‘classic’ NIS maps like Automount or Netgroup, but we will not cover the usage of these NIS maps in this article.

In this example, the NIS maps name is test and we have a key test01 with the value test0101:


From the NIS client, execute the following command: ypcat test – you may get the values from the NIS map test :


Here we go, it is working fine !

With the ypwhich command you will be able to confirm the NIS server name used by the NIS client (so in our example, it is the NIS Gateway hostname:


F/ One step beyond…

1/ Generated NIS maps

Let’s now explore, some advance details. To get the list of NIS maps from a NIS master server you need to execute the following command ypwhich –m


Here you can note two important things:

(1) from a NIS client, the NIS gateway is considered as NIS master server

(2) we created only one NIS map (test) in d’Active Directory but the NIS client is able the « see » four other NIS maps : passwd.byuid / passwd.byname / group.byname / group.bygid – These four maps are what we call ‘derived maps’, there are implicited generated from Active Directory data – In fact, at the system level (NIS client side), the NIS client needs to have a visibility of these four maps, so you don’t need to create it, the Centrify NIS gateway will create it and update it for you. So the passwd.byuid and passwd.byname maps will be automatically generated from the UNIX user profiles from the arizona zone, and the group.byname and group.bygid maps will be automatically generated from the UNIX group profiles from the arizona zone. Remember, behind the scene, the UNIX user profiles and the UNIX group profiles are linked with ‘real’ Active Directory user and group objects.

If you are using the command ypwhich –x you will be able to see the correspondence between NIS maps aliases and the real technical name of such NIS maps.


If you are using the command ypcat passwd you will be able to see the content of the generated map passwd.byname which is the list of the UNIX user profiles from the zone arizona :


To fully understand this feature, you can open the graphical tool Centrify Access Manager and check the list of UNIX user profiles from the arizona zone, you will exactly the same list :


2/ NIS maps objects in Active Directory

We can check how the NIS maps objects are stored in Active Directory – let’s use Microsoft Active Directory Users and Computers tool (ADUC) or a basic LDAP client to do so.

If you go to the zones containers, you will be able to see all the Centrify zones you created (not cover by this article) – select the arizona zone, and the NisMaps container, you will list the NIS map we created, means the test NIS map.

Under the test container (our NIS map), you will see the entry we create named test01:


If you do right-click on the test01 object and choose ‘Properties’ (with ADUC, Attribut Editor), you will see the different values from the different attributes used by Centrify to store the information:


If you look at three specific attributes, we will review the values we put in the system with the Centrify Access Manager tool for our test map – as a reminder:


These are the three attributes:

KEY: (description)


VALUE: (adminDescription)


COMMENTS: (wWWHomePage)


For sure, you will be able to use Active Directory ACLs Active Directory to provide access and delegation for such NIS map or even some specific rights on a specific value: this is very useful to define the NIS administrators AD group which will be able to create or update NIS map values in the future:


The main difference for the UNIX administrator will be the interface. As now the NIS maps are stored in Active Directory, they will use a LDAP Browser, the Centrify graphical tool or some LDAP script to maintain the NIS maps contain.

At the end, the ideal situation will be to use a IAM tool such MIM for example to manage the NIS maps lifecycle with delegation, workflow, approval and activity logs !

We did it !

Now, this tutorial is finished. Don’t hesitate to add some comments or contact me if you have any questions. Let’s discuss on twitter (@sylvaincortes) or by email if you have a NIS migration project, we can help you 😉

Utilisation d’Active Directory pour le stockage des maps NIS UNIX/Linux via la Centrify NIS Gateway [3/3]

avril 6th, 2016

 

Lors des deux premiers posts, nous avons vu les bases de l’intégration du système supportant la NIS Gateway au sein d’Active Directory puis l’installation et le paramétrage de la NIS Gateway elle-même. Dans ce dernier article consacré à la Centrify NIS Gateway, nous allons voir la configuration d’un client NIS et quelques options de publication des maps NIS.

Tout d’abord, il faut bien comprendre que dans notre cas d’utilisation, deux composants sont utilisés sur le client Linux/UNIX:

– L’agent DirectControl de Centrify qui permet l’intégration dans Active Directory du système ainsi que les mécanisme d’authentification par Kerberos et de gestion des autorisations via LDAP

– Un client NIS générique (celui du système)

Dans ce scénario, nous conservant tous les avantages de sécurité apporté par l’agent Centrify et nous permettons l’utilisation de NIS Maps de façon classique. La différence est que les NIS maps sont stockées dans Active Directory. Ceci amène plusieurs avantages dont celui-ci extrêmement important de ne plus dépendre du NIS master unique mais d’avoir en fait le rôle de NIS master porté par les contrôleurs de domaine Active Directory, ca tombe bien, ils sont multi-maitres et la NIS Gateway agit alors en tant que NIS Slave et qui répond aux requêtes des clients NIS.

Il existe d’autres scénarios, où l’authentification peut aussi être réalisé via NIS (bon je n’aime pas dire authentification via NIS, car NIS n’est en fait pas un protocole d’authentification, mais c’est pour rendre les choses simples via la comparaison avec Kerberos) avec des maps NIS et des hash de mots de passe compatibles NIS stockés dans Active Directory. Nous ne parlerons pas de ce scénario car il est de moins en moins utilisé et surtout parce que le niveau de sécurité global n’est pas très bon –ok, meilleur qu’avec uniquement NIS, mais c’est pas terrible quand même).

Paramétrage du client NIS

Réaliser une connexion via root sur le système client NIS, dans notre exemple la machine nommée fedora23.

Nous allons tout d’abord vérifier si le service ypbind (le client NIS) est démarré et fonctionnel sur le système en exécutant la commande: systemctl status ypbind –l

si vous obtenez quelque chose qui ressemble à cela:

capture20160406205428817

c’est que le service n’est pas démarré, et si il n’est pas démarré, il y a de fortes chances pour que ce soit tout simplement parce que les packages ne soient pas installés.

Un tentative de démarrage infructueuse via la commande systemctl start ypbind –l vous confirmera que les packages ne sont pas présents:

capture20160406205753580

Pour installer les packages nécessaires à l’exécution du client NIS, exécuter la commande suivante: dnf -y install ypbind rpcbind

Si rpcbind est déjà installé, vous obtiendrez le message suivant, ce n’est pas bien grave:

capture20160406210235398

Dans tous les cas, vous devriez obtenir quelque chose comme cela après l’installation des paquets:

capture20160406210435735

Après installation des paquets, je vous conseille un petit redémarrage du système. (pas purement techniquement obligatoire, mais bon…)

Que vous ayez déjà un client NIS fonctionnel sur la machine ou que vous veniez de l’installer, il faut maintenant arrêter le service ypbind sur le système via la commande: systemctl status ypbind –l

Ensuite, nous allons supprimer tous les fichiers qui peuvent se trouver dans le répertoire var/yp/binding via la commande: rm -rf /var/yp/binding/*

Il faut maintenant définir le nom de domaine NIS auquel le client devra se référer, par défaut le nom de domaine NIS est le nom de la zone Centrify dans laquelle le système et la NIS Gateway se trouvent, dans notre exemple il se nomme donc arizona. Pour ce, exécuter la commande suivante: domainname arizona

capture20160406211557943

Puis éditer le fichier /etc/yp.conf afin de renseigner le nom du domaine NIS ainsi que le nom de serveur de la NIS Gateway, dans notre exemple, il faut donc renseigner la ligne suivante: domain arizona server nisserver01

Exemple avec l’éditeur nano:

capture20160406211932335

avec nano, après édition du fichier, Ctrl+O & Ctrl+X

Ensuite, démarrer le service ypbind via la commande: systemctl start ypbind –l

Vous pouvez aussi vérifier le statut du service via la commande: systemctl status ypbind –l

capture20160406213506789

Note: si le client NIS ne peut pas atteindre le service NIS de la NIS Gateway, alors le service client ne démarre pas. Si vous avez une erreur au démarrage, la première chose à faire est de désactiver le firewall sur le serveur portant la NIS Gateway afin de vérifier si le problème vient du filtrage du firewall. (commande pour arrêter le firewall sur fedora: systemctl stop firewalld –l)

Donc jusque ici, tout va bien, nos avons un service NIS Gateway opérationnel et un client NIS qui est capable d’interroger le service NIS Gateway – reste maintenant à publier des maps NIS dans Active Directory afin de voir si nous sommes capables d’y accéder via la commande ypcat !

Pour publier des maps NIS dans Active Directory, nous allons simplement utiliser l’outil graphique Centrify Access Manager – Lancer l’outil, puis se rendre dans la zone (arizona, dans notre exemple) puis ‘Unix Data’, puis sélectionner le noeud ‘NIS maps’. Réaliser un clic-droit sur le noeud et choisir ‘Nouveau / Generic Map’:

capture20160406214146188

Dans notre exemple, nous allons simplement créer une map générique, c’est à dire une map pour stocker des informations texte sans relation directe avec des éléments utilisés par le système. Vous pouvez bien sur créer des maps plus ‘classiques’ telle que Automount ou Netgroup par exemple.

Exemple de notre map:

capture20160406214457532

Notre map se nomme donc test et contient une clé test01 de valeur test0101

Depuis le client NIS, exécuter la commande suivante: ypcat test – vous devez obtenir les valeurs de la map tel que:

capture20160406214750560

Ca y est, ca fonctionne !

La commande ypwhich vous confirmera le nom du serveur NIS (la NIS Gateway) que le client utilise:

capture20160407091449128

Pour aller un peu plus loin dans la compréhension, exécuter la commande ypwhich –m qui permet d’afficher la liste des maps et le serveur NIS Master pour chaque map:

capture20160407091953853

Nous pouvons constater deux éléments:

(1) d’un point de vue du client NIS, la NIS Gateway est vue comme le master NIS

(2) alors que nous n’avons créée qu’une seule map NIS (test) au niveau d’Active Directory, le client NIS perçoit quatre autres maps NIS: passwd.byuid / passwd.byname / group.byname / group.bygid – ces quatre maps NIS sont les maps dites ‘implicites’, c’est à dire qu’elles sont générées automatiquement pas la NIS Gateway pour des besoins systèmes en fonction des profils UNIX et des groupes UNIX qui sont présents et actifs dans la zone Centrify arizona (pour rappel, avec la technologie Centrify, nous utilisons directement des comptes utilisateurs et des groupes Active Directory au niveau des systèmes UNIX)

Grâce à la commande ypwhich –x nous pouvons visualiser les correspondance entre les alias de nom de maps NIS (accessibles via la commande ypwhich) et le nom réel technique de certaines maps NIS:

capture20160407092842774

Si maintenant nous exécutons la commande ypcat passwd nous afficherons alors le contenu de la map NIS implicite passwd.byname qui contient une représentation des profils UNIX présents dans la zone ‘arizona’:

capture20160407093232688

Effectivement, si nous utilisons l’outil graphique de gestion Centrify Access Manager et si nous regardons la liste des profils UNIX effectifs dans cette zone ‘arizona’, nous retrouvons bien la même liste de comptes:

capture20160407093603198

Regardons maintenant à quoi ressemble le stockage des maps NIS dans Active Directory. Pour cela, vous pouvez utiliser l’ADUC de Microsoft ou un client LDAP basique.

Si nous regardons dans le containeur des zones, nous retrouvons l’ensemble de nos zones Centrify. Il suffit de sélectionner la zone ‘arizona’, puis le containeur NisMaps. Nous retrouvons à l’intérieur de ce containeur la map NIS que nous avons créée, c’est à dire la map nommée  ‘test’.

Sous le containeur de la map ‘test’, nous retrouvons notre entrée nommée ‘test01’:

capture20160407084650968

Si nous regardons les propriétés de cette objet ‘test01’ (avec ADUC, réaliser un clic-droit puis choisir ‘Propriétés’), nous pouvons visualiser les différentes valeurs des différents attributs de cet objet (avec ADUC, via l’éditeur d’attributs):

capture20160407085502254

Si nous regardons spécifiquement trois attributs, nous retrouvons les valeurs que nous avons renseigné lorsque nous avons créé l’entrée dans la map NIS, pour rappel:

capture20160407085643363

Voici les trois attributs:

KEY: (description)

capture20160407085942866

VALUE: (adminDescription)

capture20160407085806729

COMMENTS: (wWWHomePage)

capture20160407090045656

Bien évidement, vous pouvez utiliser les ACLs Active Directory pour donner des accès à une map NIS ou à une autre, ou même des accès spécifique à une entrée en particulier. Cela est très utile pour définir les groupes d’administrateur qui auront le droit de mettre à jour les entrées dans la maps NIS:

capture20160407090422802

En effet, la différence pour les administrateur Unix sera l’interface qu’ils vont maintenant utiliser pour mettre à jours les entrées dans les maps NIS: ils pourront utiliser l’interface graphique Centrify, un browser LDAP ou des scripts LDAP. Nous pourrions même imaginer réaliser une interface dans un outil de gestion des identités comme MIM !

Ce tutoriel est terminé. N’hésitez pas à me contacter si vous avez des questions ou des interrogations existentielles sur ce type de solution !

Utilisation d’Active Directory pour le stockage des maps NIS UNIX/Linux via la Centrify NIS Gateway [2/3]

avril 5th, 2016

 

Lors de notre post précédent nous avons vu comment installer l’agent Centrify (adclient) et le package de la Centrify NIS Gateway (adnisd) sur le serveur qui publiera les maps NIS stockées dans Active Directory.

Nous allons maintenant voir comment activer l’agent Centrify sur la NIS Gateway, comment réaliser quelques GPOs depuis Active Directory pour paramétrer la NIS Gateway et finir par des vérifications locales à faire sur la NIS Gateway.

Tout d’abord nous allons intégrer le futur serveur NIS dans Active Directory et le faire rejoindre une zone Centrify. Nous considérerons ici que la partie basique d’une installation Centrify a déjà été réalisée, et que des zones ont été créées. Je vous laisse jeter un œil sur la documentation (notamment le Quick Start Guide) sur ces étapes extrêmement basiques. Dans notre exemple, la zone que nous allons rejoindre se nomme arizona.

Tout d’abord, se connecter en root sur le systèmes (sur le futur serveur NIS donc) et exécuter cette commande pour rejoindre Active Directory et la zone nommée arizona:

capture20160405142931118

dans notre exemple: le domaine AD se nomme demo.local, la zone Centrify à rejoindre se nomme arizona et le compte de service (Active Directory) ayant le droit de joindre une machine au domaine se nomme centrify – ensuite, le mot de passe AD pour le compte utilisateur/administrateur centrify sera demandé:

capture20160405142947712

Après quelques secondes, la fenêtre suivante apparaitra, vous confirmant que l’opération s’est bien déroulée:

capture20160405143023882

Nous pourrions nous amuser à ne redémarrer que certains services, mais allons redémarrer le serveur NIS, ce sera plus simple:

capture20160405143109675

Maintenant, laissons le système Linux de côté quelques instant et utilisons quelques outils de gestion proposés par Centrify pour affiner notre configuration.

Lancer l’outil Centrify Access Manager, nous constatons qu’une nouvelle machine a rejoint la zone arizona, il s’agit de nisserver01, notre futur serveur NIS:

capture20160405143154356

Une autre vue, avec la liste des machines qui sont dans la zone Centrify, pour information, la machine fedora17 nous servira de client NIS (ypbind) pour les tests, pour que cela fonctionne il faut bien sur que la NIS Gateway et le client NIS soient dans la même zone Centrify:

capture20160405143220837

Comme nous n’avons pas spécifier de conteneur Active Directory spécifique lors de la jointure au domaine de la machine Linux (notre futur serveur NIS), l’objet Computer le représentant dans Active Directory s’est créé dans le conteneur par défaut, si vous n’avez pas fait de modification au niveau d’Active Directory, vous retrouverez alors l’objet Computer dans le conteneur nommé Computers:

capture20160405143259227

Pour la suite des tests, et notamment pour l’application de certaines GPOs sur le serveur NIS lui-même, nous allons créer une Unité d’Organisation (UO) dans laquelle nous allons déplacer l’objet AD représentant le compte ordinateur du serveur NIS, dans notre exemple, l’UO se nomme NIS_Gateway:

capture20160405143414531

Nous allons maintenant démarrer notre serveur NIS. Une fois démarré nous pourrions maintenant utiliser n’importe quel compte AD ayant un profil UNIX dans la zone et ayant les droits de login pour nous authentifier sur le système – pour plus de souplesse, nous continuerons d’utiliser le compte root pour les différentes manipulations.

Si nous nous connectons sur le système, et que nous tapons la commande adinfo, nous devons obtenir des informations sur l’état du service adclient qui représente le client AD du système Linux:

capture20160405143515949

Le plus important est que l’attribut ‘CentrifyDC mode’ est bien la valeur ‘connected’, cela signifie que le système est bien connecté à Active Directory. A ce stade nous avons un serveur Linux intégré dans Active Directory, dans une zone Centrify et qui est fonctionnel d’un point de vue système et totalement sécurisé par l’agent Centrify.

Nous allons maintenant voir certains éléments spécifiques à la partie NIS Gateway (adnisd).

Tout d’abord nous allons utiliser l’outil d’administration Centrify pour créer des GPOs spécifiques aux serveurs NIS qui s’appliqueront à notre serveur nisserver01. Centrify propose soit d’intégrer directement des fichiers ADMX au niveau de la GPMC soit d’installer un snap-in présentant les GPOs spécifiques aux environnements Unix/Linux et MacOS toujours au niveau de cette même GPMC. Il faut bien sur au préalable avoir fait une de ces deux manipulations.

Ouvrir la GPMC, se rendre sur le noeud Configuration ordinateur / Stratégies / Modèles d’administration / Centrify Settings / DirectControl Settings / NIS Daemon Settings:

capture20160405143959120

Editer la propriété ‘Specify allowed client machines for NIS daemon’ et renseigner la valeur 0/0:

capture20160405144020742

En effet, par défaut, le démon adnisd n’accepte que les requêtes locales, c’est à dire, les requêtes NIS émises depuis le serveur NIS lui-même (je ne rentrerai pas dans les détails, mais cette configuration est utilisée dans des cadres précis de sécurité), il faut donc spécifier les adresses IP qui auront le droit de lancer des requêtes NIS vers notre NIS Gateway, si l’on renseigne la valeur 0/0, toutes les requêtes NIS seront acceptées.

Editer également la propriétés ‘Specify NIS daemon update interval’ et renseigner la valeur 60:

capture20160405144101425

Cette valeur (par défaut sur 30 minutes) permet de spécifier l’intervalle de rafraichissement des données entre Active Directory et le cache local de la NIS Gateway. En effet, pour des raisons de performance, les informations des maps NIS stockées dans Active Directory sont mises en cache au niveau de la NIS Gateway (comportement par défaut), nous mettons ici la valeur sur 60 secondes afin de ne pas trop attendre entre les modifications faites dans Active Directory et leur synchronisation sur la NIS Gateway. En production, une valeur entre 15 et 30 minutes est tout à fait acceptable.

Valider la GPO, et refermer la console de gestion des GPOs Centrify.

Pour mettre à jour notre futur serveur NIS avec ces nouvelles valeurs de configuration (celles de la GPO), il faut se connecter sur le serveur NIS et exécuter la commande adgpupdate afin de forcer le rafraichissement de la GPO sur le système Linux, sinon attendre la prochaine application des GPOs:

capture20160405200401273

Pour visualiser les GPOs qui sont bien appliquées sur le système, exécuter la commande adgpresult, nous retrouvons bien les paramètres appliqués de notre GPO créée précédemment:

capture20160405200555997

Nous allons maintenant vérifier quelques éléments au niveau de notre serveur NIS Gateway.

Tout d’abord pour qu’un service NIS s’exécute convenablement sur un système, il faut que les services RPC soient opérationnels. je ne rentrerais pas les détails, mais globalement le service RPC du serveur va recevoir la requête, décider d’un numéro de port RPC pour la connexion cliente du client NIS et donc permettre la communication entre le client et le serveur. Il faut donc que RPC fonctionne correctement sur le serveur NIS, pour vérifier cela, exécuter la commande  rpcinfo –p localhost

capture20160405144954620

Nous voyons ici 6 portmapper en attente de demande d’échange RPC, tout va bien.

Nous allons maintenant exécuter la commande systemctl status adnisd –l afin de vérifier que le service adnisd est bien démarré et fonctionnel:

capture20160405202502019

Si jamais le service n’est pas démarré, exécuter la commande systemctl start adnisd –l pour le démarrer.

Le résultat de la commande systemctl status adnisd –l nous indique à la fin qu’il n’y aucune NIS map dans Active Directory, à ce stade, c’est tout à fait normal.

Dans le prochain et dernier article de cette série consacrée à l’utilisation d’Active Directory pour le stockage des maps NIS à destination des clients UNIX ou Linux, nous verrons comment publier quelques maps NIS dans Active Directory, comment paramétrer des clients NIS (ypbind) pour interroger ces même maps NIS et comment réaliser quelques tests supplémentaires.

Linux on Windows 10

avril 4th, 2016

winbuntuUne grosse annonce de la //build/ Microsoft, nous allons avoir une intégration directe des commandes Linux sous Windows 10 « redstone » ! Pas d’émulation ici, mais bel et bien un Bash Linux sous Windows !

Plus de détails dans cette vidéo:

 

 

Utilisation d’Active Directory pour le stockage des maps NIS UNIX/Linux via la Centrify NIS Gateway [1/3]

avril 4th, 2016

 

Comme indiqué dans un de mes derniers posts, Microsoft a annoncé la suppression de certains services Unix majeurs au sein de Windows 2016 et donc d’Active Directory 2016.

Au travers de mes projets, je rencontre de nombreuses sociétés qui utilisent des environnements mixtes Microsoft/Unix, et il est clair que les services NIS ont la vue dure… Bien sur, il ne faut pas gérer les authentifications et les autorisations via NIS, au profit d’utiliser Kerberos et LDAP. Je ne vais pas rentrer dans les détails ici, mais c’est comme dans Ghosbusters, utiliser les services NIS, c’est “mal”… Néanmoins, pour de nombreuses organisations, l’élimination totale des services NIS est un véritable challenge, car ces même organisations gère depuis des dizaines d’années des informations très importantes pour leur production dans ces fameuses map NIS (automount ou autre).

L’idée est donc généralement d’utiliser Kerberos/LDAP pour utiliser les services d’authentification et d’autorisation d’Active Directory et un service NIS “gateway” qui permettra d’accéder à Active Directory de façon sécurisée pour proposer le service NIS server depuis cette gateway. De cette façon, on obtient le meilleur des deux: on sécurise les services d’authentification par Kerberos et on permet à l’organisation de continuer à utiliser NIS pour exposer des maps “legacy”.

capture20160403202213508

Nous allons donc utiliser les services de NIS gateway proposés par la solution Centrify pour réaliser cette prouesse technologique et fonctionnelle Smile

Pour ce, nous allons paramétrer une workstation Fedora 23 en tant que passerelle NIS vers Active Directory.

Tout d’abord, il faut bien paramétrer votre Fedora pour vous assurer de lui donner un nom hostname qui corresponde à votre besoin et lui donner un paramétrage IP qui permette à cette passerelle NIS de communiquer avec Active Directory. Nous considérons ici, que les paramétrage basiques d’installation et de paramétrage de Zones Centrify ont déjà été effectués.

1/ Paramétrage du hostname

capture20160403204153493

Dans notre exemple, le hostname du futur serveur NIS sera: nisserver01.demo.local

2/ Vérification du service SSH

Nous allons vérifier que le service SSH Server est présent sur la machine, ceci afin de nous permettre de transférer les package de l’agent Centrify et de la NIS Gateway sur le futur serveur NIS

capture20160403204414276

Si le serveur SSH n’est pas installé, renseigner la commande suivante pour installer les packages:

capture20160403204724703

Une fois que les packages SSH sont installés, démarrer le service SSH serveur

capture20160403204915783

3/ Transfert des packages sur la machine

Via WinSCP, nous allons transférer l’agent Centrify de la version Centrify Server Suite 2016 sur la machine (dans le répertoire/tmp) pour une fedora 23, le nom du package est centrify-suite-2016-rhel4-i386.tgz

capture20160403205117288

4/ Installation de l’agent Centrify

Vérifier que l’agent est bien dans le répertoire /tmp:

capture20160403210045886

Décompresser le package de l’agent:

capture20160403210228837

Lancer l’installation de l’agent:

capture20160403210414251

Le script d’installation va lancer une vérification pour voir si la plateforme sera compatible avec l’installation de l’agent – si aucun test ne sort en “failed”, l’installation sera possible, les “warning” ne sont pas rédhibitoires pour l’installation:

capture20160403210626167

Choisir d’installer la version Enterprise ou Standard, en ce qui nous concerne pour le service NIS, cela n’a aucune importance – dans notre exemple, nous choisissons Enterprise [E]:

capture20160403210930120

Choisir de lancer adcheck à nouveau (pour être sur…) et renseigner les informations liées à Active Directory que demandera le processus d’installation – dans notre exemple, nous allons rejoindre une zone Centrify nommée arizona, notre futur serveur NIS fournira donc des services NIS pour cette zone Centrify – choisir de ne pas redémarrer à la fin de l’installation:

capture20160403211412414

Une fois les informations fournies, le processus d’installation vous demande de valider une dernière fois les informations fournies avant installation et paramétrage de l’agent:

capture20160403211646995

Le processus d’installation commence – après le processus adcheck, valider l’installation de l’agent:

capture20160403211958028

capture20160403212104744

L’installation se termine avec l’installation des agents Centrify:

capture20160403212219329

Nous allons maintenant installer le package permettant de mettre à jour le serveur SSH livré avec l’OS par la version serveur SSH Centrify qui permet une meilleure intégration au niveau de l’authentification Kerberos intégrée:

capture20160403213437402

Nous allons maintenant installer le package du serveur Centrify NIS Gateway:

capture20160403213822508

Nous allons maintenant pouvoir redémarrer le système !

Lors du prochain article, nous verrons ensemble le paramétrage de l’agent Centrify, le paramétrage du service NIS Gateway et nous publierons quelques maps NIS dans Active Directory afin de les rendre accessibles pour des clients NIS Unix/Linux sur notre réseau.

Microsoft propose une mise à jour des fichiers ADMX pour Windows 10

mars 22nd, 2016

 

La version RTM de Windows contient une version maintenant obsolète des fichiers ADMX dont on besoin les administrateurs pour gérer les stations Windows 10.

Sur ce lien, vous trouverez les nouvelles définition des fichiers ADMX pour Windows 10. Avec les éléments suivants:

  1. DeliveryOptimization.admx
  2. fileservervssagent.admx
  3. gamedvr.admx
  4. grouppolicypreferences.admx
  5. grouppolicy-server.admx
  6. mmcsnapins2.admx
  7. terminalserver-server.admx
  8. textinput.admx
  9. userdatabackup.admx
  10. windowsserver.admx

Sur ce lien, vous trouverez le fichier Excel décrivant les fonctions et paramètres (Group Policy Settings Reference for Windows and Windows Server)

Connaissez vous Connectwave ?

mars 10th, 2016

 

connectwave

Bon, les lecteurs assidus qui me connaissent personnellement savent que je ne suis un fan absolu des différentes organisations gouvernementales dans le domaine des nouvelles technologies. Certains de ces organisations ne sont que des gouffres financiers ou se perdent des fonds qui pourraient pleinement servir les jeunes pousses françaises qui en ont bien besoin.

Néanmoins, je dois bien avoué que j’ai été conquis par l’initiative Connectwave. Connectwave est un organisme jouant le rôle de catalyseur et de mise en relation entre les différentes sociétés françaises innovant dans le monde du sans-contact (RFID, NFC) et les entreprises clientes ayant besoin de ces technologies.

Une présentation de Connectwave [ ici ]

Une description de Connectwave provenant de leur site web:

“ Basée en région Provence-Alpes-Côte d’Azur, berceau du Sans-Contact, Connectwave est une plateforme d’essai et un espace de démonstration au cœur de l’écosystème national qui se décline en concept d’exposition itinérante dédié aux Objets Connectés et au Sans-Contact. Véritable vitrine technologique grandeur nature créée par le CNRFID, Connectwave est un lieu unique de tests et de compréhension des usages et des technologies. “

L’idée est excellente, le sujet porteur, les acteurs français performants, bref tout est réuni pour faire des technologies sans contact l’un des fers de lance de la “nouvelle” industrie française.

De mon côté, j’ai eu l’occasion de travailler sur des projets “multi-carte”, avec des carte intégrant l’ensemble des technologies (contact, sans contact voir bande magnétique) et je dois bien avouer que sur des scénarios d’indentification ou d’authentification secondaire, les technologies sans contact sont extrêmement intéressantes et peuvent fournir des solutions innovantes et pratiques dans le monde de l’authentification logique.

Pour finir, il faut savoir que Connectwave travaille de façon étroite avec le CNRFID, dépendant directement du Ministère de l’Economie de l’Industrie et du Numérique, qui a notamment un rôle de normalisation des technologies sans contact sur le territoire nationale.

Cnrfid

Je vais suivre de mon côté l’initiative Connectwave, je pense que de nombreux acteurs du sans-contacts peuvent se rallier à la cause !

Microsoft annonce la suppression du support de Identity Management for Unix (IDMU) & NIS Server Role dans Windows Server 2016 Technical Preview (et après)

mars 10th, 2016

 

Depuis plus de dix ans, Microsoft propose le support des services NIS au sein d’Active Directory. Bon, ok, NIS c’est complètement pourri et le stockage des mots de passe NIS et leur transport sur le réseau sont un gouffre béant de sécurité sur une infrastructure d’entreprise.

Neanmoins, certaines entreprises utilisent encore NIS (et oui !) et certaines entreprises utilisent les Services for Unix sous la forme ou NIS Server Role dans Active Directory (bon, ok, pas beaucoup, mais j’en connais…)

Sur ce post, Microsoft révèle l’abandon de deux composants liés aux services Unix depuis Active Directory à partir de Windows Server 2016:

  • – NIS Server Role (rôle Windows Server)
  • – Extension IDMU pour la MMC: cette extension à la MMC permet de visualiser les attribut Posix définis dans la RFC2307 directement depuis l’interface ADUC

Pour rappel, voici un exemple d’interface IDMU:

Unix_tab

Attention, cela ne veut pas dire que la RFC2307 n’est plus supportée dans l’annuaire Active Directory, bien au contraire, cela signifie que si l’on veut modifier ces attributs, il faudra utiliser l’onglet Attribute Editor, comme pour tous les autres attributs prévu dans le schéma ou utiliser ADSIEDIT ou encore un client LDAP en écriture.

Pour rappel, voici la listes des attributs RFC2307 utilisés dans Active Directory:

RC2307

Par contre, cela signifie qu’il ne sera plus possible d’utiliser un contrôleur de domaine en émulation d’un service NIS en utilisant uniquement les technologie Microsoft.

Cela va ouvrir la porte vers les ISVs spécialistes de l’intégration Unix/Linux dans Active Directory et surtout à Centrify et Dell qui sont les seuls à proposer une NIS Gateway digne de ce nom.

Si vous êtes utilisateur SFU ou NIS Server Role, n’hésitez pas à me contacter pour définir comment anticiper ce changement majeur au niveau de Windows Server.

Installation de Solus 1.1

mars 5th, 2016

 

Solus est un OS Linux destiné à un usage desktop uniquement. Il a été créé par une communauté désirant désigner un OS desktop devenant une véritable alternative à Windows ou MacOS

Pour ma part, je suis convaincu que le fait de faire un focus unique sur la partie desktop est une excellente idée. Ici pas d’OS serveur, pas d’optimisation pour la partie serveur mais au contraire une optimisation de l’OS et des applications disponibles pour un usage workstation – c’est à mon sens le seul moyen de bien faire les choses, faire un focus fonctionnel précis répondant à des usages précis

Vous trouverez un article à propose de Solus sur le site de Korben: https://korben.info/solus-linux-user-friendly-refuse-de-devenir-usine-a-gaz.html

Télécharger l’ISO en version 1.1 depuis: https://solus-project.com/download/

Transformer une clé USB en clé USB bootable depuis l’ISO téléchargé – par exemple, sous Windows avec l’outil Rufus disponible sur http://rufus.akeo.ie/?locale=fr_FR

Démarrer sur la clé USB, après quelques secondes, vous obtenez un écran d’accueil, choisir “Instal Solus”

capture20160305121638720

Cliquer sur “Find my location automatically”

capture20160305123306338

Choisir la langue désirée

capture20160305123508918

Garder les options de clavier par défault, à moins que vous ayez des besoins particuliers

capture20160305123610657

Sélectionner le disque sur lequel l’installation doit être effectuée

Cliquer ensuite sur le bouton “Launch Partition Editor”

capture20160305123733104

Nous considérons ici que le disque est vierge, sans partition existante et sans données

Cliquer sur le menu Device et choisir “Create Partition Table”

capture20160305124113354

Choisir le type de table de partition “gpt” et cliquer sur le bouton “Apply”

capture20160305124304198

Ensuite, réaliser un clic-droit sur la zone “unllocated” et choisir “New”

capture20160305124615569

Sélectionner le menu “File system” et choisir “linux-swap”

capture20160305124847712

capture20160305125024381

capture20160305125105895

Dans la zone “New size” entrer la valeur 2048 – Puis cliquer sur le bouton “Add” – Pour rappel, la partition de swap sert de zone tampon si votre espace en mémoire vive est saturé, pour un poste de travail une valeur à 2Go est largement suffisante

capture20160305130011535

Réaliser à nouveau un clic-droit sur la zone “Unallocated”, choisir New

capture20160305131520143

Laisser les valeurs par défaut: Pour “File system”, laisser “ext4” et laisser la taille maximum possible au niveau de l’attribut “New size” ; puis cliquer le bouton “Add” – La partition ext4 prendra donc l’intégralité du restant sur le disque. Pour rappel, la partition ext4 sert à stocker les fichiers ou les répertoires du systèmes et des applications

capture20160305131808047

Au final, vous devez obtenir quelque chose qui ressemble à ceci:

capture20160305135031526

Cliquer ensuite sur la coche verte à droite de la barre d’outils afin de formater les différentes partitions

capture20160305135142166

Cliquer sur le bouton “Apply”

capture20160305135251889

A la fin de l’opération de formatage, vous devez obtenir le message “All operations successfully completed”

capture20160305135348272

Cliquer sur le bouton “Close”

Aller dans le menu “GParted” de l’utilitaire de partition et choisir la fonction “Quit”

capture20160305135649348

Vous revenez alors à l’utilitaire d’installation. Sélectioner la partition “swap” puis cliquer sur le bouton “Assign as swap partition”

capture20160305135838294

Sélectionner la partition “ext4” puis cliquer sur le bouton “Assign as root partition ext4”

capture20160305140120348

Puis cliquer le bouton “Next”

capture20160305140350262

Choisir la TimeZone puis cliquer sur le bouton “Next”

capture20160305140448573

Rajouter au moins un utilisateur qui pourra se connecter au système une fois l’installation terminée – cliquer le bouton [+] et rajouter autant d’utilisateurs que désiré puis cliquer sur le bouton “Next”

capture20160305140812465

capture20160305141105156

capture20160305141148729

Fournir un nom (hostname) qui permettra d’identifier le système sur le réseau – Activer la fonction “Should we install a boot loader on ths computer ?” en cliquant sur la coche – Cliquer sur le bouton “Next”

capture20160305141427214

Vous arrivez ensuite à un écran présentant le récapitulatif de l’ensemble des paramètres que vous avez choisis. Vérifier les paramètres et cliquer sur le bouton “Next”

capture20160305141707741

L’installation de l’OS Solus 1.1 sur le système de fichiers commence

capture20160305141907985

A la fin du procesus d’installation, cliquer sur la croix rouge en haut à droite de la fenêtre – puis déclencher un redémarrage du système après installation

capture20160305142710594

Le système redémarre

capture20160305143248700

L’écran d’accueil avec la mire de login apparait – par défaut l’utilisateur créé pendant le processus d’installation est présent  il suffit alors de renseigner le mot de passe et de tester ce nouvel OS plein de promesses !

capture20160305143512570

capture20160305144316504

Les prédictions de CA Technologies en ce qui concerne l’IAM en 2016

février 23rd, 2016

Comme tous les ans, les experts de CA technologies fournissent leurs prédictions sur la marché IAM. Force est de constater que leur prédiction 2015 n’étaient pas si mauvaises, donc il semble intéressant de de regarder attentivement les prédictions 2016…

Le WebCast proposant les prédictions 2016 est accessible ici: https://www.brighttalk.com/webcast/7845/171013/ca-briefings-part-5-the-rise-of-the-user-security-predictions-for-2016

Le blog de CA Technologies propose un condensé de cette présentation en quelques paragraphes: [ source: https://blogs.ca.com/2016/01/05/five-identity-centric-security-predictions-for-2016/ ]

What’s ahead in 2016

For 2016, CA Technologies predicts the following five trends will emerge and have the greatest impact on security professionals dealing in identity this year.

  • Identity services will be used by increasing numbers of business users, as the function moves from IT to the Business.  This will require improvements in the user experience so that it is more intuitive and business-oriented. This will begin to result in improved engagement with customers and business users, as well as reduced risk.
  • Breach attack surfaces increase and the ramifications of a successful breach extend beyond financial loss. Increased reliance on DevOps/Agile development and virtual/cloud technologies opens new attack vectors, while cybercrime shifts to cyberespionage, threatening homeland security and opening the potential for cyberterrorism attempts.
  • Risk analytics moves from financial sector to the enterprise. As enterprises struggle to identify consumers from identity thieves using just a password for authentication, they will turn to risk-based analytics to protect their Internet sites and mobile applications.
  • As identity and access security and management (IAM) become more strategic to the business, there will be an increase in demand for IAM expertise in 2016. A greater focus on privileged identities, identities extending to the cloud, and third-party identities incorporated into the security framework makes the security challenge around identities more complex.
  • As the Internet of Things permeates the marketplace, it is increasingly clear it must become identity-centric. IoT will also stand for “identity” of things. As information passes across the internet and is stored on these IoT devices, they need to be confirmed and trusted just as a person’s identity needs authenticating.

Les points 3 et 4 sont pour moi très importants. Même si il s’agit d’un « vendor », le Webcast est extrêmement intéressant à regarder pour des spécialistes IAM qui veulent aller plus loin que la simple partie technique et qu’ils veulent comprendre un certain nombre d’enjeux business liés à l’IAM.

 

Microsoft Azure Stack: enfin !!!!!!!!!

février 17th, 2016

Je veux vous faire partager mon excitation (comme dirait un américain « i am so excited ») à la sortie de Microsoft Azure Stack. En effet, cette nouvelle offre de Microsoft va permettre de créer son propre cloud interne, en se basant sur une « stack » de type « cloud service model ». Que l’on comprenne bien, pour moi l’intérêt du cloud n’est pas principalement de mettre ses « données » ou « services » à l’extérieur et d’externaliser sa propre responsabilité. Pour moi, l’intérêt majeur du cloud est de fournir un « cloud service model » est de permettre une plate-forme agile pour les utilisateurs, les développeurs, les responsables applicatifs ou les responsables business.

Il est en effet primordial de fournir « à la demande », « as a service » les ressources, au sens large du terme, que nécessitent les métiers au sein de l’entreprise: des serveurs, des applications, du stockage, etc. Cela doit être rapide, peu coûteux, automatisé – avec à la clé: des tableaux de bords clairs, du reporting, un système de facturation et de suivi. C’est effectivement le modèle proposé par de nombreux fournisseurs de service tels que Microsoft, Amazon ou Rackspace. Néanmoins, ce service s’exécute dans un cloud public (ok, il y a des exceptions possibles, mais restons simples…) – et cela limite grandement l’utilisation de ces services: gouvernance non adaptée, règles de sécurités ou de conformités non couvertes, bande passante Internet insuffisante, dépendance même de la connectivité Internet, mauvaise réversibilité, etc.

Depuis quelques années, se développe une tendance au cloud hybride, voir au cloud privé basée notamment sur OpenStack. La difficulté réside dans le mode « puzzle » des briques technologiques impliquées dans OpenStack, avec peu de consistance et un besoin très élevé de ressources internes pour faire fonctionner la bête.

Microsoft sort maintenant Azure Stack, qui est une installation « locale », en cloud privé du modèle « cloud service » proposé par Microsoft dans son cloud public Azure. Et franchement, je pense que cette solution a énormément d’avenir, en apportera de la consistance, du support professionnel et des évolutions programmées au modèle « internal cloud service ».

L’avenir des équipe IT est de travailler sur l’architecture de ce type de modèle, et de permettre l’agilité complète du SI, maintenant cela va être possible de façon simple pour toutes les tailles d’entreprise ou même à l’échelle d’un service particulier au sein d’une entreprise. A terme, les entreprises qui ne vont pas adopter ce type de modèle verront un handicap croissant se greffer sur leur performance et rentabilité, année après année. Bien sur, cela suppose des briques essentielles qui ne sont pas des briques purement IT, pour moi 3 briques essentielles sont nécessaires à ce type de modèle:

  • un sponsoring direct du CTO & du CFO
  • un système de facturation interne
  • la définition d’un catalogue de service

J’encourage tous mes lecteurs à planifier d’ici la fin de l’année une évaluation de Microsoft Azure Stack, car celui ci sera peut être au centre de leurs activités futures dans les années à venir. Le service IT interne a de la valeur, de l’expérience, des idées et bien maintenant prouvons le.

Quelques explications complémentaires disponibles sur cette vidéo:

 » And, i am so excited 😉 « 

Webinaire sur l’intégration des MacOS X dans Active Directory

janvier 21st, 2016

J’ai dernièrement réalisé un webinaire sur la thématique de l’intégration des machines MacOS X dans Active Directory pour le compte de la société Cerberis. Nous avons pris en exemple l’intégration via les technologies Centrify avec le mode AutoZone de manière à simplifier l’intégration et l’accès des utilisateurs sur les systèmes. La fin du Webinaire comporte une démonstration avec des GPOs appliquées sur les MacOS, la relation entre les comptes AD et l’authentification sur les postes MacOS X et encore la migration des comptes locaux vers des comptes Active Directory afin de conserver l’environnement utilisateur d’un compte local après migration vers un compte AD.

Voici le webinaire:

SCCM supporte maintenant El Capitan (Mac OS X 10.11)

janvier 18th, 2016

os-x-el-capitan

 

En direct du blog de l’équipe produit System Center Configuration Manager, SCCM supporte maintenant El Capitan – voir ceci: http://blogs.technet.com/b/configmgrteam/archive/2016/01/13/support-for-mac-os-x-10-11-in-configuration-manager.aspx

Vous pouvez consulter la page des téléchargements pour les clients SCCM hors Microsoft (Mac, Unix et Linux) ici: Clients SCCM hors Microsoft

 

 

Intégration Unix & Linux dans Active Directory: Quelle type de zone Centrify utiliser ?

janvier 9th, 2016

 

Dernièrement un client m’a demandé quel était le meilleur choix en termes de zones Centrify – quel type de zone doit on privilégier ?

La question est intéressante, car la “zone Centrify” est un élément important d’un design d’intégration UNIX/Linux dans Active Directory.

Comme d’habitude, il n’y a pas de réponse absolue, s’il existe plusieurs types de zones, c’est que certaines situations impliquent un type de zone et d’autres un autre type… évidement…

Rappel sur la notion de zone

Un zone Centrify représente ce que j’appelle personnellement un “ilot identitaire” – les zones servent globalement aux situations suivantes:

– Résultat de migration depuis différents ilots identitaires existants (plusieurs serveurs NIS, des serveurs LDAP, voir des fichiers passwd locaux depuis chaque système) – Ceci permettant notamment de gérer la problématique de collision d’UIDs/GIDs qui est LE gros problème rencontré par des entreprises voulant migrer vers un annuaire unique

– Règles de gouvernance: les zones permettent de ségréguer la gouvernance de différents ensembles de serveurs Unix, Linux ou Windows ou des Workstations Linux ou MacOS: si des équipes différentes gèrent différents périmètres, les zones peuvent aider à encadrer tout cela

– Le reporting: il est extrêmement facile de générer des reports par zone, indiquant facilement le “qui a accès à quoi” en termes de systèmes – extrêmement efficace pour des audits

Pour une zone donnée, il est très simple de définir des attributs POSIX pour un utilisateur Active Directory, et bien sur il est possible de définir des jeux d’attributs POSIC différents par zone pour un même individu:

Centrify_zone

 

Les différents types de zones

Il existe 7 types de zones Centrify:

(0) AutoZone (nous ne le traiterons pas dans cet article, dans la vraie vie, ceci ne concerne que les workstations)

(1) SFU-compatible zones, version 3.5
(2) SFU-compatible zones, version 4.0
(3) Classic Centrify zones, 2.x, 3.x, and 4.x
(4) Classic RFC 2307-compatible zones
(5) Hierarchical Centrify zones, 5.x
(6) Hierarchical RFC 2307-compatible zones

 

Les zones dites “SFU-compatible” (1)(2) permettaient la compatibilité avec le schéma SFU exploité par Microsoft dans Active Directory à une certaine époque, autant dire que vu le “bazard” que constitue SFU en terme de compatibilité et de standard, peu de clients se sont aventuré dans cette voie…

Les zones “Classic” (3)(4) représentent l’ancienne famille de zone Centrify, à cette époque, les zones étaient “à plat”, c’est à dire non-hiérarchiques – c’était déjà très bien, mais cela obligeait à reproduire toutes les configurations communes aux différentes zones dans chacune des zones, de façon individuel et donc sans gestion centralisée – beaucoup de clients utilisent encore ce modèle car ils n’ont pas migré vers le modèle hiérarchique.

Les zones “Hierarchical” permettent d’avoir une arborescence de zones, avec un héritage descendant au niveau des profils POSIX. Cela permet notamment de définir une zone dite Parent avec l’ensemble des UIDs Corporate voulus et de définir des zones enfants avec uniquement les exceptions/différences par rapport aux profils POSIX définis dans la zone Parent. C’est donc bien évidement le meilleur choix, même dans le cas d’une architecture simpliste (dans ce cas on ne créera qu’une seule zone parent).

La zone “Hierarchical RFC 2307-compatible”

Avec la nouvelle version de Centrify Server Suite, le format de zone par défaut lorsque l’on créé une zone est le format: Hierarchical RFC 2307-compatible – l’avantage de ce format est que les attributs POSIX rattachés au ServiceConnectionPoint représentant le profil Unix de l’utilisateur dans la zone est “proprement” renseigné dans des attributs particuliers, permettant des requêtes LDAP facilitées et surtout une gestion par un outil IAM externe extrêmement simplifié.

RFC2307

On voit ici par exemple que l’attribut POSIX uidNumber est un attribut à part entière dans l’annuaire Active Directory.

Cette approche simplifie la manipulation des profils Unix depuis un browser LDAP:

LDAP_serviceconnectionpoint

serviceconnectionpôint

Merci pour ce client, je n’avais jamais pensé faire un article sur ce sujet ! N’hésitez pas à me contacter pour plus précision.

TOP 100 des blogs anglophones sur la cyber-sécurité

janvier 9th, 2016

 

top-cyber-security-blogs

 

Un article intéressant avec un recensement des différents blogs anglophones dans le domaine de la cyber-sécurité.

Bien sûr, c’est un peu subjectif, mais c’est une liste intéressante pour quelqu’un voulant se documenter sur le sujet.

La liste est accessible [ ICI ]

Pour ma part, le top-five serait celui-ci:

http://www.darkreading.com/ – blog généraliste sur la cyber-sécurité

https://googleonlinesecurity.blogspot.fr/ – le blog de google, bien sur très orienté technologie Google, mais pas que – traite d’Internet en général

http://www.net-security.org/ – un blog historique, généraliste

https://blog.malwarebytes.org/ – le blog de malwarebytes, très orienté malware forcément, mais très bien documenté

https://blogs.technet.microsoft.com/mmpc/ – le blog de Microsoft sur les malwares, souvent très interressant et souvent mise à jour

Grosse faille de sécurité (grub2) sur les systèmes Linux actuellement en production !

janvier 5th, 2016

 

Une très grosse faille de sécurité a été mise en evidence sur les systèmes Linux utilisant Grub.

Pour être plus précis il s’agit de la version Grub2 et les versions touchées sont comprises entre la version 1.98 et 2.02. Plus d’information sur Grub2 ici: http://www.linuxpedia.fr/doku.php/expert/grub2

Grub2 est un boot loader utilisé par la majorité des systèmes Linux, ce boot loader intègre un mode particulier, le mode “grub rescue” – Il s’avère que ce mode st accessible simplement en executant la marche suivante:

– démarrage de l’OS (pas en mode graphique, en mode tty1)

– vous arrivez à la mire de login

– vous appuyez 28 fois sur la touche “retour arrière”

– et c’est magique, vous vous retrouvez dans le mode “grab rescue shell” vous permettant d’avoir un accès sans autentification au système

hack-linux-grub-password

Les différentes distributions Linux ont publié un correctif pour cette faille. (voir aussi ici http://git.savannah.gnu.org/cgit/grub.git/commit/)

Pour vérifier la version de grub2 que vous utilisez, il suffit d’éxécuter (debian/ubuntu): ‘grub-install –version’

grub2_version

Cette “mésaventure” nous indique à quel point il est important de:

[1] – Protéger l’accès physique aux machines

[2] – D’avoir un système de protection au boot (BIOS password, loader sécurisé, etc.)

Plus d’information sur la faille sur ces articles:

http://www.securityweek.com/password-bypass-flaw-found-grub2-linux-bootloader

http://thehackernews.com/2015/12/hack-linux-grub-password.html

Installation de Centrify Workstation for Mac 2016 sur EL CAPITAN (OSX 10.11) [Part 3/4] – Quelques manipulations après l’installation de l’agent Centrify

janvier 4th, 2016

Installation de Centrify Workstation for Mac 2016 sur EL CAPITAN (OSX 10.11) [Part 3/4] – Quelques manipulations après l’installation de l’agent Centrify.

Lors de l’article précédent, nous avons installé l’agent Centrify sur une machine MacOS X afin que celle-ci bénéficie d’une véritable intégration à Active DIrectory – cad une intégration basée sur Kerberos et LDAP permettant également l’application de GPOs sur les systèmes MacOS, et non pas une intégration basée sur Samba.

Nous allons maintenant faire quelques paramétrages supplémentaires dans la première partie de cet article, puis nous traiterons la gestion des comptes locaux existants avant la migration dans la deuxième partie de cet article.

# Nous allons maintenant faire quelques vérifications et manipulations afin de parfaire cette installation

[1] Déplacement du compte machine de la machine MacOS X

Comme nous n’avons spécifié dans quelle UO créer le compte machine, celui-ci s’est créé dans le conteneur par défaut, à savoir « computers »:

clip_image002

Pour information, il est possible que votre administrateur Active Directory est défini un autre conteneur par défaut, mais dans la plupart des cas, il s’agit du conteneur « computers ».

Nous allons maintenant déplacer le compte ordinateur « ELCAPITAN » dans l’UO que nous avons prévue à cet effet au tout début, l’UO CENTRIFY/WORKSTATIONS:

clip_image004

[2] Vérification des informations dans l’annuaire

Réaliser un clic-droit sur le compte machine et choisir « Propriétés »

clip_image006

Vous pouvez parcourir les différents onglets afin d’avoir des informations sur le compte machine, la version de l’OS, la version de l’agent Centrify installée, etc.

clip_image008

Il est également possible de vérifier le type de zone Centrify rejointe, dans notre exemple, nous avons choisi le mode AutoZone qui permet de s’affranchir de la gestion des UIDs et du contrôle d’accès. Dans ce mode, les UIDs sont générés automatiquement par un dérivé du SID utilisateur, les UIDs sont gérés localement par l’agent, il n’y a pas d’UIDs stockés coté Active Directory – ce mode est tout à fait particulier et convient uniquement aux workstations, et je dirais même uniquement aux workstations MacOS.

En utilisant ce mode, tous les utilisateurs Active Directory peuvent ouvrir une session sur le poste MacOS (à moins que localement sur le MacOS on est spécifié le contraire dans le gestionnaire de login des Paramètres Systèmes – ou encore – il est possible d’utiliser le fichier de configuration centrifydc.conf en jouant sur les attributs pam.allow.users et pam.allow.groups ), il n’y a pas besoin de de donner le droit de ‘login » sur la machine, ceci est automatique pour tous les comptes utilisateurs présents dans Active Directory.

clip_image010

Il est également possible de constater via l’éditeur d’attributs, certaines propriétés avancées du compte machine, comme par exemple les différents servicePrincipalName qui seront utiles au protocole kerberos:

clip_image012

[3] Vérification des informations via l’outil Centrify DirectManage AccessManager

Lancer l’outil de gestion Centrify:

clip_image014

Il est facile de constater l’existence d’une nouvelle zone « Auto Zone » et de voir qu’elle contient un compte machine. Il est aussi possible de constater qu’il n’y a aucun moyen de gestion directe sur les droits d’accès ou sur la gestion des UIDs / GIDs comme il est possible via une zone Standard:

clip_image016

Comparaison avec une zone standard:

clip_image018

Pour bien comprendre les différences entre une Auto Zone et une Zone Standard, je vous conseille de consulter cette vidéo :

 

# Utilisation de comptes utilisateurs au niveau de machine MacOS X : Nous allons maintenant explorer les différentes possibilités pour utiliser les comptes utilisateurs sur la machine MacOS X

[1] Utilisation d’un compte local existant avant l’installation de l’agent

Il est bien sur possible de continuer à utiliser des comptes locaux, par exemple, nous avions un compte local « florent » qui est présent sur le MacOS X dans la base de comptes locale :

clip_image020

Par exemple, nous avons sur le bureau de cet utilisateur local quelques fichiers :

clip_image022

Si nous vérifions l’UID utilisé par le compte, nous constatons un UID local, qui est dans exemple 502:

clip_image024

[2] Utilisation d’un compte Active Directory sans lien avec la base de compte locale

Dans notre annuaire, nous avons par exemple un utilisateur « luc » qui n’existe pas dans la base de comptes locale :

clip_image026

il est possible d’utiliser ce compte et le mot de passe Active Directory pour se connecter sur la machine MacOS X:

clip_image028

Il est facile de constater que l’UID utilisé est un dérivé du SID du compte Active Directory généré par l’agent Centrify lui-même :

clip_image030

On peut constater la même chose au niveau de l’utilitaire « Users & Groups » dans les Préférences Système:

clip_image032

[3] Alignement d’un compte local existant avec un compte Active Directory : l’idée est ici de mapper un compte local existant avant la migration vers Centrify et l’installation de l’agent pour utiliser un compte utilisateur Active Directory le remplaçant tout en conservant le profil (/home/) de l’utilisateur local existant – cette manipulation est une opération très courante si vos machines MacOS X étaient déjà utilisées

Dans notre exemple, nous avons un compte local « dark »:

clip_image034

Personnalisons le bureau de cet utilisateur pour bien le repérer par la suite :

clip_image036

Cet utilisateur a un UID local, ici 502 :

clip_image038

Maintenant il faut créer un utilisateur avec le même login au niveau d’Active Directory :

clip_image040

Maintenant, reconnectons-nous sur le poste MacOS avec le compte local « dark », à ce stade l’agent Centrify vérifie s’il y a un compte équivalent côté Active Directory, ce qui est le cas et affiche le message suivant :

clip_image042

Cliquer simplement sur OK

Nous allons maintenant aligner les deux comptes en mappant le compte local avec le compte Active Directory et ce sans perdre les propriétés locales du compte existant.

Tout d’abord il faut s’authentifier sur la machine MacOS X avec un autre compte que le compte à aligner, par exemple le compte Florent puis il faut se rendre dans les Préférences Systèmes, puis dans les propriétés de l’agent Centrify :

clip_image044

Débloquer la configuration en cliquant sur le cadenas en bas à gauche et renseigner un compte avec des pouvoirs sur cette machine :

clip_image046

Puis sélectionner l’onglet « Account Migration » – ensuite sélectionner le compte à aligner avec le compte Active Directory, dans notre exemple il s’agit du compte « dark » et cliquer sur « Link »:

clip_image048

Un message d’avertissement apparait alors, cliquer sur OK :

clip_image050

Ce message est normal, il indique simplement que l’agent va supprimer le compte local (en fait il supprime l’entrée de ce compte dans l’index provenant de la liste du pointeur des comptes locaux OS X), pas de panique, cette manipulation ne supprime le profil local de l’utilisateur situé dans /users/ – cela va seulement supprimer l’existence du compte utilisateur local tout en conservant les données inhérentes au profil qui est conservé.

Automatiquement le mappage sur le compte Active Directory se réalise (basé sur le username), il faut alors cliquer sur « Apply »:

clip_image052

A la fin du processus, les deux comptes sont maintenant liés :

clip_image054

Fermer la session administrateur.

Maintenant, la mire de login ne propose plus le compte local « dark »:

clip_image056

Nous allons utiliser le login réseau et nous utiliserons le compte Active Directory « dark » pour se connecter sur la machine MacOS X:

clip_image058

Un message peut apparaitre vous demandant de mettre à jour la « keychain » du mot de passe – il faut alors choisir « update keychain » et renseigner votre ancien mot de passe ou tout simplement recréer une « keychain » pour le nouveau mot de passe si vous ne vous souvenez plus de votre ancien mot de passe local.

Comme convenu, nous avons conservé le profil utilisateur du compte local (/users/dark) mais il s’agit bien de l’utilisateur Active Directory avec un UID différent provenant du dérivé du SID compte utilisateur Active Directory :

clip_image060

A ce stade, l’utilisateur « dark » est maintenant capable d’utiliser sa machine MacOS X exactement comme avant, avec son bureau, ses raccourcis, etc. mais en bénéficiant de son compte Active Directory.

Dans le prochain et dernier article de cette série consacrée à MacOS X et Centrify, nous explorerons quelques possibilités en termes de GPOs Active Directory appliquées à MacOS X grâce aux technologies Centrify.

Installation de Centrify Workstation for Mac 2016 sur EL CAPITAN (MacOS X 10.11) [Part 2/4] – Installation de l’agent Centrify

janvier 3rd, 2016

Installation de Centrify Workstation for Mac 2016 sur EL CAPITAN (MacOS X 10.11) [Part 2/4] – Installation de l’agent Centrify.

Lors de l’article précédent, nous avons préparé l’environnement, maintenant tout est prêt et le package DMG est sur le bureau d’un compte local MacOS X avec des pouvoirs d’administrateur :

clip_image002

La dernière des choses à vérifier est que le MacOS X n’est pas relié à Active Directory avec le plug-in Active Directory natif de MacOS X, ceci est très important. Pour vérifier, choisir l’option Utilisateurs & Groupes / Users & Groups dans les préférences systèmes :

clip_image004

Ici, il n’y pas de domaine joint, c’est donc parfait :

clip_image006

Passons maintenant au choses sérieuses…

[1] Vérification de l’environnement grâce à ADCheck

Le package DMG contient un outil de vérification de l’environnement avant installation de l’agent, il faut donc ouvrir l’image DMG:

clip_image008

Et choisir l’icône AD Check au lancement d’AD Check, l’assistant vous demande le nom de domaine du domaine que vous souhaitez rejoindre afin de faire les vérification, dans mon exemple, le nom de domaine est demo.local:

clip_image010

Puis cliquer sur le bouton bleu AD Check

clip_image012

clip_image014

Pour que la future installation se déroule sans encombre, il faut que vous n’ayez aucun "Failed" dans la liste des résultats aux tests – par exemple, ici, l’assistant AD Check m’indique que un des serveurs DNS que j’utilise sur ma machine ne gère pas le nom de domaine demo.local – nous allons donc l’enlever de la configuration DNS et refaire les test AD Check:

clip_image016

Ça y est, tout va bien !

[2] – Installation de l’agent et rejoindre le domaine AD

Lancer le package pour l’installation de l’agent Centrify:

clip_image018

Choisir "Continue":

clip_image020

Puis à nouveau sur "Continue":

clip_image022

Puis, après avoir lu le Software License Agreement, à nouveau sur "Continue":

clip_image024

Puis sur "Agree":

clip_image026

Puis sur "Install":

clip_image028

Indiquer le mot de passe de l’administrateur local (ici, le mot de passe pour Florent) et appuyer sur "Install Software":

clip_image030

Le processus d’installation de l’agent se poursuit alors :

clip_image032

A la fin du processus, choisir l’option "Launch centrify Join Assistant" (sélectionnée par défaut) et choisir "Continue":

clip_image034

La fenêtre de l’installateur indique que tout s’est bien déroulé :

clip_image036

Et une nouvelle fenêtre apparait pour lancer l’assistant AD JOIN, cliquer sur "Continue":

clip_image038

Indiquer le mot de passe de l’administrateur local (ici, l’administrateur local est Florent) et cliquer sur OK:

clip_image040

Indiquer alors le nom de domaine du domaine AD à rejoindre (ici demo.local), un compte administrateur AD qui a le droit d’écrire dans AD (à minima dans les UOs que vous avez créé dans l’article précèdent) ainsi que le mot de passe de ce compte d’administration AD, puis cliquer sur "Continue":

clip_image042

Indiquer les options pour rejoindre le domaine, vous pouvez garder toutes les options par défaut – pour des machines MacOS, je vous conseille de garder "Auto" pour le "Licensed Mode", cela vous permet de ne pas avoir à gérer les UIDs pour les comptes utilisateurs, par défaut dans ce mode, les UIDs générés dans la Zone Centrify seront un dérivé du SID utilisateur AD – vous pourrez ensuite aligner les UIDs générés dans cette zone avec les comptes utilisateurs existants au niveau de l’OS MacOS X via un outil fourni par centrify.

A noter que le premier ordinateur MacOS qui sera joint à AD avec le mode "Auto" va automatiquement créer la zone "Auto" au niveau de l’AD lui-même, contrairement aux systèmes Unix et Linux qui sont généralement joints dans des zones « standards », il n’y a pas besoin ici de créer la zone en amont de la première jointure au domaine.

Puis cliquer sur "Join"

clip_image044

Indiquer le mot de passe de l’administrateur local (ici, l’administrateur local est Florent) et cliquer sur OK:

clip_image045

L’assistant indique que la machine est en train de rejoindre le domaine AD:

clip_image047

Tout s’est bien déroulé, cliquer sur "Done":

clip_image049

Redémarrer le poste MacOS.

[3] – Première connexion avec un compte utilisateur AD

Sur la fenêtre de login du MacOS X, vosu trouverez par défaut les comptes locaux existants (ici Florent) – mais maintenant que vous avez joint la machine à AD, vous pourrez accéder à une liste d’utilisateurs provenant d’AD en cliquant sur "Other…"

clip_image051

Par exemple, nous avons un compte utilisateur existant dans AD qui est Luc:

clip_image053

Nous allons utiliser ce compte et son mot de passe AD pour nous connecter sur la machine MacOS X:

clip_image055

Un nouveau bureau pour Luc apparait :

clip_image057

Si nous utilisons une fenêtre de Terminal, et que l’on taper la commande ‘id’ on obtient les informations suivantes, l’UID a été automatiquement généré pour l’utilisateur :

clip_image059

Toujours dans le terminal, la commande ‘adinfo’ nous permet d’obtenir des informations sur la connectivité à AD:

clip_image061

Ça y est, c’est officiel, notre machine MacOS X EL CAPITAN a rejoint AD et peut utiliser tous les services AD.

Dans les prochains articles, nous allons explorer quelques pistes d’améliorations du paramétrage de base, utiliser quelques outils d’administration et nous allons explorer les GPOs applicables aux systèmes MacOS X.

Installation de Centrify Workstation for Mac 2016 sur EL CAPITAN (MacOS X 10.11) [Part 1/4] – Préparation de l’environnement pour installation de l’agent Centrify

janvier 2nd, 2016

 

Installation de Centrify Workstation for Mac 2016 sur EL CAPITAN (MacOS X 10.11) [Part 1/4] – Préparation de l’environnement pour installation de l’agent Centrify.

La version 2016 de la Centrify Workstation for Mac est sortie courant Décembre 2015. L’agent livré avec cette version (CentrifyDC-5.3.0-mac10.9.dmg) est directement compatible avec la version OSX 10.11 (EL CAPITAN).

A noter, cette version de l’agent n’est plus compatible avec les versions 10.8.x d’OSX, pour supporter ces anciennes versions, il faut utiliser les agents fournis avec les anciennes versions de la Centrify Workstation for Mac (version 2015.1 ou version 2015 par exemple).

A savoir, le CD Centrify 2016 qui contient les agents ne contient que la version TGZ du paquet de l’agent Centrify. Une fois le paquet TGZ extrait, celui-ci contient un paquet TAR qui contient les éléments suivants :

clip_image002

Le fichier CentrifyDC-5.3.0-mac10.9.dmg est un disque image pour Mac OS X et contenant les éléments suivants :

• AD Check.app: une application graphique pour réaliser une vérification de l’environnement avant de lancer l’installation réelle de l’agent (ADCHECK)

• Un Guide d’utilisation pour les Administrateurs Mac OS X (Admin Guide for Mac OS X.pdf)

• Un installeur graphique de l’agent (CentrifyDC-5.3.0-x86_64.pkg) valide pour Mac OS 10.0.x, 10.10.x et 10.11

• Un Guide de prise en main rapide (Quick Start Guide for Mac OS X.pdf)

• Le document de « Release Notes » pour cette version de l’agent (Release Notes for Mac OS X.pdf)

Afin de bien préparer votre environnement, vous pouvez réaliser les actions suivantes :

[1] – Créer des UOs pour ranger vos objets dans AD

Je vous conseille de créer une arborescence comme celle-ci par exemple :

clip_image004

Dans notre exemple, nous mettrons plus tard les objets des comptes machines MacOS X dans l’UO « WORKSTATIONS »

Bien évidemment, sur ces UOs, il faudra que l’administrateur MacOS X est des droits d’administration suffisant, mais cela, c’est du design AD pur et dur.

[2] – Installer les outils d’administration sur une machine Windows

Vous devez installer mes outils d’administration (suivre le guide d’installation) afin d’avoir au moins deux outils d’installés :

Centrify DirectManage – Access Manager

Centrify DirectManage – Deployment Manager

[3] Renseigner les licences

Ouvrir l’outil « DirectManage Access Manager » et rajouter les licences pour la partie Mac OS en réalisant un clic droit sur le nœud supérieur et choisir « Manage Licenses »

clip_image006

Puis renseigner la clé de licences dans l’onglet « Update » – Il faut bien saisir la clé avec les tirets. Une fois les licences validées vous devez avoir une entrée telle que : « Unix Workstation Licenses ».

[4] – Vérifier la configuration de la machine MacOS X:

Aller dans les préférences systèmes :

clip_image008

Puis choisir Network/Réseau :

clip_image010

Renseigner les éléments réseau de manière à ce que le MacOS X soit compatible avec votre plan d’adressage IP réseau, renseigner les serveurs DNS qui adressent votre nom de domaine Active Directory.

clip_image012

clip_image014

Vous pouvez aussi modifier le nom hôte de votre système MacOS, car par défaut c’est le nom qui sera utiliser pour créer l’objet ordinateur représentant votre systèmes dans Active Directory – Pour cela, aller dans Préférences systèmes, puis choisir Partage/Sharing:

clip_image016

clip_image018

Votre changement doit être reflété si vous tapez la commande hostname dans un terminal:

clip_image020

Ensuite, nous allons activer la fonction de « Remote Login » dans Partage/Sharing (Préférences Systèmes):

clip_image021

clip_image023

A ce stade, un membre des administrateurs du MacOS pourra se connecter en SSH pour notamment transférer l’agent sur la machine avant installation.

[5] – Transfert de l’agent sur la machine

Il existe de nombreux moyens de transférer le fichier dmg de l’agent, mais comme nous sommes censés être en réseau nous allons utiliser l’outil WinSCP que vous pouvez télécharger ici: http://winscp.net/eng/download.php

Installer WinSCP sur la machine qui sert à l’administration Centrify (par exemple), puis lancer WinSCP et paramétrer une session SFTP pour transférer le package Centrify – choisir un nom utilisateur qui fait partie des Administrateurs locaux du MacOS (dans notre exemple, l’utilisateur a un login « florent »:

clip_image025

Transférer ensuite le package DMG sur le bureau de florent (répertoire Desktop):

clip_image027

Le package doit alors apparaitre sur le bureau de l’utilisateur :

clip_image029

Une fois ces éléments préparés, nous allons maintenant passer à l’installation de l’agent côté Mac OS X dans le prochain article.

Directory as a Service, c’est parti !

octobre 16th, 2015

AzureADDoma1Ça y est ! Microsoft rend public Azure AD Domain Services (à ne pas confondre avec Azure AD ou avec le fait d’installer un DC sur la plateforme IAAS d’Azure… Bon, je sais, ca devient un peu compliqué) qui est la première brique d’une approche qui fait fantasmer énormément de monde: le Directory As A Service ou DaaS. Alors oui, vous allez me dire le DaaS c’est aussi le « Data as a Service », le « Desktop as a service », etc… bon d’accord, alors écrivons le comme cela: DIRaaS, cela sera plus clair…

Donc pour faire simple, Microsoft rend public un nouveau service Azure permettant de créer un service online « simulant » un Active Directory dans Azure (côté SaaS, pas côté IaaS): Azure AD Domain Services. Les objectifs de ce service sont multiples:

(1) Permettre aux entreprise qui possèdent des applications AD dépendantes dans l’IaaS d’Azure (donc des applications hébergées sur des machines virtuelles Azure pour faire simple) de consommer un service Active Directory standard (enfin presque…) sans être obligé d’installer et de maintenir des DCs sur des machines virtuelles Azure uniquement pour des besoins applicatifs

(2) Permettre à des petites entreprises de pouvoir TOUT consommer sous la forme de service d’infrastructure depuis la plateforme Azure – Mais attention, à ce stade il n’est possible que de joindre des machines qui sont des VMs dans Azure, donc ici, pas possible de joindre un domaine Azure AD Domain Services depuis par exemple une machine Windows 10 qui est « on premises » (alors que cette fonction existe avec AD Azure, oui je sais c’est un peu compliqué…)

(3) A terme, fournir un véritable DIRaaS pour les grandes entreprises. Sur ce point, oui, je sais,  j’extrapole, mais je sens bien les choses comme cela, et franchement c’est assez intéressant. Bien sur il y a encore pas mal de dev à faire, mais cela va venir, j’en suis persuadé…

Faire des tests !

En effet, dans le cadre de la gestion de VMs qui sont dans Azure et qui possèdent des applications dépendantes à AD, il faut voir globalement le service Azure AD Domain Services comme un service qui expose les protocoles Kerberos, NTLM, LDAP et GPOs – les VMs Azure peuvent donc joindre ce domaine. Mais attention, on est pas ici exactement comme un domaine AD, donc il est important de faire des tests pour valider que vos applications sont fonctionelles dans ce contexte technique et être certain qu’elles fonctionnent avec ce service – à ce jour, je ne suis pas sur qu’il existe un catalogue officiel d’applications certifiées pour le service, cela viendra certainement.

En bref.

Super intéressant, à tester. Plus d’informations [ ici ]

Une bonne série d’articles sur la technologie de conteneurs

septembre 25th, 2015

contenaireStanislas Quastana, architecte chez Microsoft France nous propose une série d’articles à venir sur Docker, Azure & Windows. Comme d’habitude avec Stanislas, c’est bien écrit, et surtout il a testé avant ! A lire pour tout ceux dont l’interopérabilité multiplateformes liée à la technologie Docker intéresse.

Le premier article est disponible [ICI]

Infographie sur la sécurité liée à « Internet of Things »

septembre 12th, 2015

raspberry_pi_b_plus Une infographie intéressante sur les points de vigilance à travailler dans le monde de l’IoT. En effet, les demandes d’expertise sur la sécurité de ces objets va exploser dans les années à venir, préparez-vous 😉

 

Possible Attacks on IoE

Un article très intéressant pour les projets de PKI

septembre 11th, 2015

cadenas3 Je suis tombé, un peu par hasard, sur un article donnant un certain nombre de recommandations pour les projets de PKI Microsoft. Rien de bien révolutionnaire, mais des bonnes pratiques intéressantes à se mettre en « buffer » avant de commencer.

A lire: « The DOs and DON’Ts of PKI – Microsoft ADCS »

Vous trouverez cet article [ ici ]

Vidéo de présentation du nouvel outil de gestion des privilèges intégré à MIM

juin 25th, 2015

Dans un article précédent, j’ai décrit rapidement le nouvel outil de gestion des privilèges (PAM) qui sera intégré dans la nouvelle version de FIM, c’est à dire MIM (Microsoft Identity Manager). Vous trouverez ici une vidéo de présentation de ce nouvel outil avec un exemple sur une réinitialisation de mot de passe. L’action est réalisée depuis un compte à pouvoir, pourtant même ce compte nécessite de réaliser une demande via le portail de requête pour les élévation de privilèges. La demande pourrait très bien être aussi liée à un workflow pour une demande d’approbation. Plus de contenu à venir sur ces nouvelles fonctions, au fur et à mesure que les informations seront publique et que les MVPs FIM/MIM auront le droit de communiquer dessus 😉

 

Microsoft prépare un outil de gestion des privilèges basé sur MIM, MFA et Kerberos

mai 17th, 2015

skullComme vous le savez, la prochaine version de Forefront Identity Manager (FIM) s’appellera Microsoft Identity Manager (MIM) et sortira vraisemblablement courant 2015 (voir les annonces de roadmap ici) . Cette nouvelle version apportera une nouveauté extrêmement intéressante pour les grandes organisations: un bastion pour la gestion des privilèges.

Pour faire simple, le principe est la création d’une forêt bastion (avec des DC Windows 2012R2 ou vNext), la création d’un trust (la forêt de production approuve la forêt bastion), la création des groupes AD d’administration (ceux dont l’appartenance permet l’exécution de commande à privilège) dans la forêt bastion (avec le même SID que les groupes qui sont dans la forêt de production), et le « vidage » des groupes d’administration dans la forêt de production.

PAMFIM

Ensuite, un administrateur peut faire une demande via MIM ou via un service web utilisant les APIs de MIM afin de « devenir » administrateur d’une partie du SI pendant un temps donné. La solution est capable de gérer l’appartenance temporaire à ce groupe, fournie du reporting (bon, ok, c’est un peu de la bricole pour l’instant le côté reporting…), l’intégration avec MFA pour l’authentification à deux facteurs lors d’une demande particulière et le pilotage du TGT du ticket kerberos pour être certain que l’administrateur ne pourra pas bénéficié de l’appartenance au groupe plus longtemps que prévu.

Voici un schéma résumant la fonction:

MIM-PAM

Il reste à vérifier avec le temps comment les entreprises vont appréhender cette nouvelle fonction et comment elles vont accepter le fait d’avoir à rajouter une forêt bastion pour gérer les comptes à privilège.

 

 

Comparatif DirSync vs Azure AD Sync vs Azure AD Connect

mai 9th, 2015

windows_azure_smallDeuxième article remarquable sur le blog de Maxime: un article de synthèse réalisant un comparatif des trois solutions de « synchronisation » ou de « mise à jour des informations » entre les données locales et le service Azure AD (service nécessaire notamment à l’utilisation d’Office365)

Le problème de ce type d’article est le côté « périssable » de l’image instantanée des fonctions décrites, donc peu de personnes font l’effort de les écrire, encore merci à Maxime pour son travail de synthèse.

L’article est accessible [ ici ]

Personnaliser les pages web d’ADFS 3.0

mai 9th, 2015

Planet Très bon article récap de Maxime Rastello sur la personnalisation des page web ADFS 3.0. C’est à noté, car la dernière fois que j’ai fait cela pour un client (il y a 2 ans), les ressources sur le net concernant ce type de personnalisation étaient très rares, et encore plus rare en français ! L’article est disponible [ Lien vers l’article ADFS 3.0]

Microsoft Techdays 2015 : Une nouvelle édition pleine de promesses !

janvier 14th, 2015

Les 10, 11 & 12 février prochains se dérouleront les Microsoft Techdays 2015, sous la thématique globale « Ambient Intelligence » (Mobilité, cloud, big data, machine learning & objets connectés).

J’aurais l’honneur de co-animer une session avec Imad Bejani, de Microsoft France, sur le thème des MOOCs, dans le monde de l’éducation et pour l’usage en entreprise.

L’idée sera de faire un tour d’horizon des solutions à dispositions, que ce soit pour faire un MOOC « chez soi », ou en utilisant des services dédiés – de plus, nous expliquerons comment les solutions Cloud de Microsoft peuvent aider les personnes voulant réaliser leur propre MOOC.

J’espère vous voir très nombreux à cette session qui a lieu le Jeudi 12 à 16h30 !

People Centric Security : Quelques mots du gartner

janvier 4th, 2015

Pour aller plus loin dans la définition du PCS (People Centric Security), suite à mon dernier article, je vous conseille cet article assez court du gartner, mais fournissant un bon résumé :

Accessible [ ICI ]

Gestion des privilèges et protection de la donnée : quelle stratégie adopter ?

janvier 3rd, 2015

Les 2, 3 & 4 décembre 2014, Las Vegas a hébergé la convention annuelle sur la gestion des identités : « The Gartner IAM Summit ». J’avais assisté au Summit de l’année dernière (version Europe), et l’une des sessions qui m’avait laissé le plus dubitatif portait sur la gestion des privilèges… En effet, la session s’appelait « The Death of Least Privilege » – ce qui me semble être au mieux un rêve fou, au pire un postulat complètement improbable dans certains secteurs d’activité comme par exemple le secteur bancaire, soumis à des règles de régulation de type PCI-DSS…

Les échos que j’ai reçus de la suite de cette session, cette année, m’ont conforté dans certaines convictions… L’approche du Gartner a quelque peu évoluée… L’idée est maintenant de séparer en deux populations et deux périmètres distincts les employés d’une organisation :

  1. Une population à « haut risque » représentée par les administrateurs systèmes, les gestionnaires applicatifs, les responsables de la production de données, etc… qui représente environ 20% de la population d’une entreprise => La gestion des privilèges est ici un enjeu majeur
  2. Une population « Lambda » qui consulte les données et en créé très peu, avec des comptes systèmes qui n’ont aucun pouvoir => ici, l’approche n’est pas de gérer finement les privilèges mais de résonner en mode « IAM People centric » – ce qui signifie globalement que l’effort investi dans la gestion des privilèges dans cette population n’a pas de ROI possible – qu’il faut plutôt investir dans des solutions IAM simples, sans gestion des privilèges, bénéficiant d’une approche unitaire des choses, par exemple, en basant le contrôle d’accès sur un annuaire et des groupes, mais rien de plus complexe

Encore une fois, l’idée est ici de pouvoir fournir un véritable retour sur investissement ou pas – et pour en avoir réalisé – fournir un retour sur investissement du déploiement d’une solution de gestion de privilèges sur des postes de travail standardisés pour une population sans compte administrateur local… c’est comme qui dirait… pas évident…

Cette slide résume bien la situation actuelle et la tendance en termes de stratégie :

Source: Gartner IAM Summit 2014

En effet, l’avènement de la multiplicité des supports et formes d’accès aux données (PC, navigateur, mobile, tablette, etc.) m’amène à penser que seul une protection au niveau de la donnée elle-même est valide. Ici, point besoin de gestion des privilèges au niveau du « poste de travail », mais il faut :

  1. Décider des critères de classification et de diffusion de la donnée
  2. Appliquer cette stratégie de classification et de diffusion via des règles automatiques sur les supports de données permettant un traitement automatique
  3. Implémenter une solution de choix de la classification et du critère de diffusion des données au niveau du créateur de la donnée elle-même : la classification basée sur le choix du créateur de l’information est réellement la seule valide et indiscutable
  4. Déployer une solution de DLP voir d’IRM basée sur ces critères de classification et de diffusion

Le nouveau monde nous amène à penser différemment la protection de l’information et des privilèges des utilisateurs au niveau du SI – Ne dépensez pas de l’argent dans un projet de gestion des privilèges au niveau des utilisateurs « normaux » mais consacrez l’investissement là où il y a de la valeur, c’est-à-dire au niveau de la donnée.

En parallèle, investissez immédiatement dans un projet de gestion des privilèges au niveau des personnes possédant des comptes à pouvoir, là où vous trouverez un ROI immédiat en termes de sécurité et même de continuité de service, donc un intérêt fort pour le business.

Cette slide résume cette idée, les analystes du Gartner indiquent que cette transformation de l’approche de protection des données dure en moyenne 3 ans, ce qui me semble un très bien chiffre – Un projet de classification et de protection de l’information couplé à une solution de gestion des privilèges est effectif très rapidement, après 6 mois, mais l’ensemble des périmètres critiques n’est couvert qu’après au moins une vingtaine de mois. Le problème, c’est que notre approche « française » des choses biaise ce type d’approche – combien de RSSI m’ont indiqué : «  si je ne peux pas couvrir l’ensemble du périmètre, je ne bouge pas ! » – je pense que c’est l’argument le plus consternant qu’une personne en charge de la « sécurité » peut me fournir, à priori, plutôt que de protéger 20% du périmètre, il vaut mieux être à poil, curieuse approche…

Source: Gartner IAM Summit 2014

Pour finir, une slide résumant l’approche d’un projet de gestion des privilèges selon le Gartner, pour moi, les deux points cruciaux sont « Limit Scope » et « Monitor access » :

Source: Gartner IAM Summit 2014

En espérant vous avoir donné quelques pistes sur vos futures projets – n’hésitez pas à laisser vos commentaires ou à me contacter pour des retours d’expérience.

Les communautés techniques Microsoft

janvier 2nd, 2015

Juste un post éclair pour fêter la nouvelle année 2015 et pour vous conseillez de faire un tour sur le site web des communautés techniques Microsoft – c’est une vraie mine d’or concernant les communautés numériques du monde entier. Quel que soit votre expertise ou votre question, quelque part, un « esprit communautaire » est prêt à vous aider dans votre quête !

Un bon résumé visuel de l’offre Microsoft Azure

décembre 31st, 2014

Microsoft a publié une mise à jour de son infographie représentant les différents services Microsoft Azure. Pour être honnête, le schéma global n’est pas très précis et certaines briques de services ne sont pas présentes, mais il s’agit tout de même d’un très bon moyen de se représenter l’offre Microsoft Azure quand il faut l’expliquer à des profanes. De toute façon, par nature, il est très compliqué d’obtenir un schéma complet à 100% car les évolutions des services en ligne se font à un rythme effréné…Voici quelques copies d’écran partielles de cette infographie :

La version PDF complète est téléchargeable [ ICI ]

Cours en Français gratuit sur Azure Active Directory

décembre 29th, 2014

La plateforme Microsoft Virtual Academy accueille une série de module (9 au total pour l’instant) permettant de monter en compétence sur Azure Active Directory. Bien sûr, par définition, les cours & formations sur les applications ou services en ligne sont très vite périssables, néanmoins, cette série de vidéos et de présentation est un excellent point de départ pour qui veut monter en compétence sur le sujet. Cerise sur le gâteau, cette série de cours est en Français, ce qui facilite l’accès pour les personnes peu à l’aise avec du contenu en anglais. Très bon travail de synthèse de la part de Stanislas Quastana [ @squastana ] & Pascal Saulière [ @psauliere ].

La formation est accessible sur le site de Microsoft Virtual Academy.

Bluetooth & BlackHat

décembre 21st, 2014

Je suis tombé un peu par « hasard » (merci @korben) sur ce site, et notamment sur cet utilitaire BlueMaho permettant, disons, d’explorer les connexions Bluetooth alentour. Il faut bien reconnaitre que l’outil est assez bluffant – bon il faut un peu bidouiller la Debian et les pilotes Bluetooth pour que cela roule, mais une fois la chose lancée, c’est assez fou toute les choses que l’on peut récupérer… Cela n’engage pas trop à activer le Bluetooth sur nos smartphones respectifs…

Quelques copies d’écran de l’utilitaire :

Plus d’information et téléchargement ici : https://wiki.thc.org/BlueMaho

Je vous invite aussi à faire un tour sur la page du projet THC Hydra, très intéressant en terme de rapidité d’exécution par rapport à d’autres utilitaires du même type.

Collusion : Tracer l’usage de votre identité et de votre comportement par des tiers pendant vos sessions web

décembre 12th, 2014

Nous en sommes plus ou moins conscients, mais chaque connexion sur un site web génère des dizaines de liens et de connexions vers des sites « espions », que ce soit par le fait que nous sommes connectés en session sur un autre site web dans un autre onglet, que ce soit via des extensions du navigateur ou que ce soit tout simplement parce que le site web sur lequel nous naviguons intègre lui-même des plug-in tiers (Google AdWords par exemple) – bref, des dizaines de raisons techniques voulues ou non, permettent à des tiers de suivre, scruter, analyser puis revendre les informations liées à notre comportement de « surfeur Web ».

La fondation Mozilla propose un nouveau plug-in pour Mozilla nommé Collusion permettant d’analyser en temps réel les connexions vers les fameux sites « espions » ou « caché » qui scrutent la session web pendant votre connexion aux différent sites web.

Pour installer cette extension, il suffit de se rendre sur ce site : https://addons.mozilla.org/fr/firefox/addon/lightbeam/

Cliquer sur « +Add to firefox » – L’extension s’installe alors dans le navigateur. Une fois l’extension installée, une page web s’affiche dans votre navigateur Firefox :

Ensuite, lorsque vous êtes en session dans Firefox, un nouveau bouton est disponible, lorsque vous cliquez sur l’icône de l’extension, un onglet supplémentaire s’affiche afin de visualiser en temps réel les connexions vers les sites « espions ».

Deux vues sont possible, la vue de type Graph et la vue de type List.

Il est également possible d’exporter les informations collectées.

Vue Graph :

Vue List :

Encore au stade expérimental, cette extension vous permettra de suivre en temps réel les sites et services qui tracent vos activités lors de vos sessions de surf, non content de vous dresser une cartographie de ces tiers, l’extension va plus loin en montrant les interactions qui lient les sociétés entre elles.

Ne prenez pas peur, W.A.L.

Gestion des systèmes Unix & Linux depuis SCCM 2012R2

décembre 7th, 2014

Comme vous le savez si vous suivez assidument les articles de mon blog, les solutions qui permettent l’interopérabilité des plateformes Windows et Unix/Linux font parties de mes dadas. Depuis quelques années, Microsoft fait des efforts considérables pour permettre à ses solutions d’inter opérer avec les mondes Unix & Linux. Dans ce sens, une des solutions qui a fait le plus de progrès est SCCM, qui permet réellement depuis a version 2012R2 de gérer des systèmes Unix et Linux, avec des nouveautés quasiment tous les trimestres en termes de plateformes supportées ou de fonctionnalités.

Microsoft a publié un article recensant les erreurs communes que l’on retrouve lors que l’on veut utiliser SCCM 2012R2 avec des systèmes Unix & Linux – Vous trouverez cet article [ ici ]

Merci à Hervé Thibault pour le lien !

Le preview de Microsoft Identity Manager disponible en téléchargement

novembre 27th, 2014

Microsoft rend disponible la preview de MIM, disponible en téléchargement sur le site Microsoft Connect.

Plus d’informations en anglais sur le blog de l’équipe produit.

Des informations complémentaires sur le blog de Joris Faure, unique MVP MIM en France.

Bonne lecture et bons tests !

Retours sur l’évènement CUE (Communication Unifié en Entreprise)

novembre 27th, 2014

J’ai donc participé en tant que Speaker à l’évènement CUE organisé par Microsoft et AvePoint, à deux pas des locaux de Microsoft sur Issy-les-Moulineaux.

Après une session sur un retour d’expérience chez la SNCF et la gestion des salles de réunion au travers d’Exchange et d’Outlook, l’organisation nous a demandé de réaliser une présentation « surprise » avec Nextira-One, Polycom et Neitiv, sur l’état de l’art de l’offre salles de visioconférence reliée à Lync – c’était extrêmement intéressant, de nombreux échanges avec les participants – il est très clair que le sujet intéressent beaucoup d’organisation qui migrent vers Lync et ont des besoins autour des salles de réunion.

Pour ceux que cela intéressent, vous trouverez quelques vidéos et documents sur ce lien : http://1drv.ms/11wMadl

Et voici quelques photos de la session commune, merci encore à Eudes-Olivier pour avoir fait un brillant Monsieur Loyal pendant la session !

Let’s Encrypt, une autorité de certification gratuite, libre et pilotable ?

novembre 24th, 2014
J’ai découvert cet après-midi (merci Arnaud Alcabez) ce nouveau projet soutenu notamment par la fondation Mozilla, Akamai ou encore Cisco – le moins que l’on puisse dire, c’est que c’est prometteur…

En effet, Let’s Encrypt propose de fournir une infrastructure de clés publique, ouverte et gratuite pour la mise en œuvre des protocoles SSL/TLS sur les serveurs Web – La promesse est de taille, on ne paye plus, plus de démarche complexe pour obtenir un certificat, tout est gratuit et automatiser.

Le code ouvert est publié sur GitHub, le service permet de totalement automatiser la demande de certificat, la récupération du certificat et l’installation du certificat sur le serveur Web – les échanges entre le serveur Web et le service Let’s Encrypt sont basé sur ACME (Automated Certificate Management Environment). Le service est sensé démarrer été 2015. A suivre de très près !!!

Plus d’information sur le site du projet.

Une infographie intéressante sur la sécurité en entreprise

novembre 24th, 2014

L’assureur HISCOX, spécialiste dans les risques professionnels en entreprise, a réalisé une enquête auprès de ses assurés, et a produit une infographie très intéressante sur la sécurité en milieu professionnel. Voir http://www.hiscox.fr pour en savoir plus.

Retour du Microsoft MVP Summit 2014

novembre 11th, 2014

 

Et voilà, un nouveau MVP Summit vient de s’achever avec son lot de nouveautés, de soirées endiablées et de repas américains.

 

Au-delà des sessions techniques proposées par Microsoft, comme d’habitude, ce fut un réel plaisir de pouvoir échanger avec la communauté des MVPs venant du monde entier.

 

Quelques annonces « marketing » intéressantes qui sont devenues publiques depuis, comme le changement de nom de Lync pour la prochaine année [ voir le blog skype ici ] ou d’autres annonces que je ne peux pas divulguer à cet instant.

Des sessions techniques passionnantes sur Azure Active Directory et ses évolutions futures, avec un seul mot en tête : « cloud, cloud et encore cloud »…

 

Pour finir, une spéciale dédicace à Joris Faure, qui assistait à son premier Summit.

   

 

Participez au salon CARTES SECURE CONNEXIONS

octobre 30th, 2014

Les 4, 5 & 6 Novembre 2014, au centre des expositions de Paris Nord Villepinte, aura lieu le salon CARTES. Cet évènement est le rendez-vous annuel de la communauté de partenaires travaillant dans le domaine de la carte, au sens large du terme : carte à puce, carte RFID, carte papier, etc.

Vous trouverez ici la liste des conférences : http://www.cartes.com/Conference/2014-Conference-Programme

Vous trouverez ici  la liste des 485 exposants : http://www.cartes.com/2014-EXHIBITORS/Exhibitor-s-list-2014 – si vous travaillez avec des cartes à puces, je vous invite à visiter mes amis de Gemalto et HID GLOBAL qui proposent vraisemblablement les meilleures solutions du marché.

Cette année, un grand nombre de producteurs chinois sont présents sur le salon, démontrant le dynamisme incroyable des fournisseurs asiatiques sur les solutions de sécurité. Le salon CARTES est toujours l’occasion de découvrir des petits acteurs innovants, venant du monde entier afin de présenter leurs solutions, cela est toujours très instructif.

Script to create a Kerberos Token Size Report

octobre 24th, 2014

Un excellent article reprenant les différentes sources liées à la problématique du Kerberos Token Size, à lire par tous les architectes Active Directory: http://www.jhouseconsulting.com/2013/12/20/script-to-create-a-kerberos-token-size-report-1041

25-26 Novembre : Collaboration Universelle en Entreprise

octobre 24th, 2014

Venez nombreux les 25-26 Novembre 2014 pour découvrir des sessions extrêmement intéressantes autour de la collaboration en entreprise – et bien sûr venez nombreux à découvrir ma session sur un retour d’expérience chez la SNCF.

Conférence IDENTITY MANAGEMENT 2014

octobre 23rd, 2014

Comme tous les ans, la conférence idm de whitehall media, IDENTITY MANAGEMENT, réunit la plupart des acteurs qui comptent dans le domaine IAM. Cette année, on sent que les temps sont durs…. Les sponsors sont rares, et les thématiques des conférences ne m’inspire pas grand-chose… cela ressemble à des présentations de « vendors » organisé en séminaire – à noter, cela ne veut pas dire que ce sera intéressant, mais cela limite quand même l’approche stratégique…

Bref, pour les fanatiques de Londres, moi je reste à la maison :

Mise à jour des plans Azure Active Directory

octobre 23rd, 2014

Microsoft propose une mise à jour des plans spécifiques pour Azure Active Directory, et fait apparaitre un nouveau plan « basic ». A priori le prix pour le plan basic serait de 1$ par utilisateur et par mois. Ce qui est très intéressant dans ce plan, c’est qu’il peut correspondre à des petites structures qui n’auraient pas besoin d’un AD on-premise mais avec des besoins sur quelques fonctions d’annuaire telles que la gestion des accès par des groupes ou la réinitialisation des mot de passe en self-management.

 

 

Un document très complet sur les bonnes pratiques de sécurité liées à Active Directory

octobre 23rd, 2014

Ce document un très bon condensé des bonnes pratiques en termes de sécurité et de choix de gouvernance pour l’annuaire Active Directory.

La partie sur le « Least-Privilege Administrative Models » est pour moi la meilleure partie du document.

Une liste d’auteurs impressionnante quand on connait un peu MSFT de l’intérieur :

Document à télécharger ici : http://www.microsoft.com/en-us/download/confirmation.aspx?id=38785

Un séminaire multi-zoom sur Grenoble & Lyon !!!

octobre 8th, 2014

seminaire

Varonis, Axone-group et cerberis organisent les 14 (Grenoble)  & 21 (Lyon) Octobre deux séminaires pour aborder des thématiques originales avec un maximum de démonstrations Live et de cadeaux à gagner 😉

Ne ratez pas ce séminaire vitaminé,  inscrivez-vous rapidement !

Les trois thèmes ont pour point commun des problématiques soumises ces derniers mois par nos clients. Les équipes d’AXONE Group ont proposé et installé avec succès des solutions efficaces. Nous souhaitons maintenant vous les faire partager !

Le déroulement du séminaire sera très dynamique avec de nombreux intervenants, des démonstrations et des explications pratiques et concrètes. Vous repartirez avec des idées de bonnes pratiques, des pistes de progrès pour vos projets et… un petit cadeau surprise !

14h > 14h15 – Accueil et bienvenue !

14h15 > 15h – Gouvernance et sécurité des données

Que se passe-t-il sur vos serveurs de fichiers ? Qui accède à quoi ? Qui a quels droits et sur quels répertoires ? Qui a déplacé ou téléchargé récemment une grande quantité de fichiers ? Comment sécuriser vos données ?

entreprise-seminaire-informatique-lyonAvec Benjamin Nathan, responsable avant-vente chez VARONIS, spécialiste de la sécurité et des enjeux de la gouvernance des données en entreprise.

 

15h > 16h00 – Gestion de salles de réunion et vidéoconférence

Entre les infrastructures très coûteuses et la petite webcam, il existe maintenant des solutions intermédiaires pour assurer des visioconférences très professionnelles en s’appuyant sur les protocoles actuels : link, gotomeeting, skype, hangout… En bonus, présentation d’un matériel très sympa pour professionnaliser votre gestion de salle et l’accueil « techno » de vos visiteurs !

Petite pause-café à 15h30 pour préparer la démo vidéoconférence.

lyon-entreprise-seminaire-informatique Avec Sylvain Cortes, expert des solutions chez CERBERIS, qui vous présentera « tout en démo » du matériel vraiment génial et très simple à utiliser avec des investissements modestes !

 

16h > 17h00 – Les coulisses des services managés

Visite au cœur des services managés, quels sont les outils et les process pour être aussi efficace, tant du point de vue préventif que réactif. Que ce soit au sein de l’offre de services tout compris BeProductiv ou dans l’objectif de structurer votre équipe informatique interne, venez découvrir l’écosystème technique innovant mis en œuvre par AXONE Group.

entreprise-seminaire-informatique-grenobleAvec Nathalie Navarro, directrice-associée d’AXONE Group, qui vous présentera les enjeux de cet écosystème sur votre organisation.

 

grenoble-entreprise-seminaire-informatiqueEt Thomas Bresse, directeur-associé de BE-MSP, expert certifié sur les solutions Kaseya, Connectwise et Bizdox qui sont les outils principaux pour mettre en œuvre les services managés.

 

17h > 17h15 – Conclusion et remerciements

Les intervenants et l’équipe AXONE Group seront à votre disposition pour prolonger les échanges en répondant vos questions. Et pour les participants qui auront été très sages, remise d’un cadeau surprise !

 

 

 

Webinar: Liaison entre gestion des identités Unix/Linux & SPLUNK

septembre 12th, 2014

splunk-logo

 

Cerberis organise un webinar en Français qui abordera la thématique de la liaison entre la gestion des identités sur Unix/Linux et les SIEMs tel que splunk. Les intervenants sont des gens de qualité, et le sujet plus qu’intéressant. Pour assister au Webinar en Français: