Archive pour la catégorie ‘Non classé’

Linux, c’est un autre monde…

Mardi 27 décembre 2011

Fabrice m’a indiqué aujourd’hui une option très importante de sudo sur Linux, je vous laisse apprécier ;-)

insults
If set, sudo will insult users when they enter an incorrect password. This flag is off by default.

Ils sont trop fort ces pingouins…

Sortie de l’Update Rollup 1 pour AD FS 2.0

Jeudi 20 octobre 2011

Microsoft à délivré l’Update Rollup 1 pour AD FS 2.0. En dehors des habituelles corrections de bugs, de nouvelles fonctions extrêmement intéressantes sont apparues dans ce Rollup. On notera que des fonctions stratégiques autour de la fédération avec Office365 surgissent dans cet update.

>> Tout d’abord, les corrections de bug (en anglais):

  • KB2254265 (http://support.microsoft.com/kb/2254265) The « 500″ error code is returned when you send an HTTP SOAP request to the « /adfs/services/trust/mex » endpoint on a computer that is running Windows Server 2008 R2 or Windows Server 2008
  • KB2272757 (http://support.microsoft.com/kb/2272757) An identity-provider-initiated sign-on process is slow in Windows Server 2008 R2 and in Windows Server 2008
  • The « 400″ error code is returned when sending an authentication request to AD FS 2.0 federation server proxy through Windows integrated authentication endpoint (Nego 2)
  • Decrease in performance occurs on AD FS 2.0 federation server when a user who is authenticating has a large number of group memberships.
  • Failure to join an AD FS 2.0 federation server to an existing SQL-based federation server farm when the AD FS 2.0 administrator that tries the join operation does not have admininistrator rights to the SQL Server database.
  • AD FS 2.0 Federation Service cannot create or verify Security Assertion Markup Language (SAML) tokens when the private keys of an AD FS 2.0 token-signing certificate and/or token decryption certificate are stored by using third-party cryptographic service providers (CSP), for example hardware security mode (HSM).

>> Les nouvelles fonctions:

  • Fonction 1: « Multiple Issuer Support for Office365« : Une organisation utilisant une forêts avec des différents domaines et donc différents UPN était obligé d’instancier plusieurs serveurs AD FS 2.0 pour gérer les différents UPN vis à vis d’Office365 – cette nouvelle fonction permet de fournir le SSO entre la forêt de l’organisation et Office365 quelque soit le nombre de domaines différents à gérer. Vous trouverez des informations complémentaires ici
  • Fonction 2: « Client Access Policy Support for Office365« : Cette nouvelle fonction va permettre aux organisations de paramétrer l’utilisation de la fédération ou non pour accéder en SSO à Office365 en fonction de la localisation du client ou même de la nature de l’utilisation du protocole. Vous trouverez des information complémentaires ici
  • Fonction 3: « Congestion Avoidance Algorithm« : Ce nouveau paramètre permet d’ajuster le comportement du Proxy AD FS en fonction de la charge réelle du serveur AD FS2.0 ; Globalement, l’idée est de permettre de réguler la charge ou plutôt d’éviter la surcharge du serveur AD FS 2.0 en ajustant les requêtes provenant du proxy AD FS. Il faut alors modifier le fichier de configuration du proxy AD FS au niveau de la section <microsoft.identityServer.proxy> en rajoutant une ligne telle que:
    <congestionControl latencyThresholdInMSec= »2000″ minCongestionWindowSize= »16″ />

Avec les paramètres ajustables suivants:

  •  Fonction 4: « Additional AD FS 2.0 performance counters« :  Le serveur AD FS 2.0 et le proxy AD FS possèdent maintenant de nouveaux compteurs de performance tels que décrits dans le tableau suivant:

Pour récupérer le hotfix, rendez vous sur le site support de Microsoft ou contactez votre TAM

Microsoft annonce la sortie de FIM 2010 R2 Beta

Jeudi 4 août 2011

Microsoft vient d’annoncer la mise à disposition de la version Beta de FIM 2010 R2.

Pour rappel, au rayon des nouveautés:

• Gestion des mots de passe en self service via une interface web complète ( ne nécessite plus que le PC fasse parti du domaine AD pour utiliser la fonction de gestion de mot de passe)
• Amélioration des fonction de rapports et d’historique via une intégration à System Center Service Manager
• Amélioration des performances globales et mise à disposition d’outils de diagnostics
• Support de Microsoft Outlook 2010 et de Microsoft SharePoint Foundation 2010

L’inscription au programme Beta est possible via le site Microsoft Connect

Microsoft annonce le support de SAML 2.0 dans Windows Identity Foundation (WIF)

Lundi 30 mai 2011

Microsoft a annoncé la mise à disposition en CTP de l’extension WIF pour le protocole SAML 2.0. Cette extension WIF permet aux développeurs .NET pour créer des applications capables de consommer des « Claims » SP-Lite construits sur SAML 2.0.

La CTP est accessible sur Connect.

Si l’on essaie de lire entre les lignes, il y a fort à parier que cette annonce prépare le support pour d’autres technologies que la technologie WS-Fed pour les application Microsoft, et bien sur pour Azure. Nous pouvons même imaginer que cela puisse être vrai pour les applications en ligne dans le Cloud Microsoft (Office 365 for ever). Cela pourrait signifier qu’il serait possible à terme de réaliser du SSO vers Office 365 via des technologies de fédération différentes de ADFS 2.0 (tant que la technologie utilisée est capable de faire de la fédération en mode Web et en mode client lourd, ce qui n’est pas le cas de Shibboleth mais qui est le cas d’ADFS).

Bref, ça bouge chez Microsoft en ce qui concerne la Fédération, et cela est très bon signe pour l’interopérabilité.

Microsoft Interoperability Strategy Group

Mercredi 18 mai 2011

Depuis plusieurs années Microsoft travaille très activement dans le domaine de l’interopérabilité, tant sur la partie standard de document, sur les domaines des plateformes de développement (PHP) ou même sur la partie système (kerberos, LDAP, etc…). Si vous êtes sensible à ces éléments, il est à noter un site Microsoft extrêmement intéressant www.interoperabilitybridges.com qui traite de cette thématique.

Ce site web est dédié au travail collaboratif lié à l’interopérabilité entre les technologies Microsoft et les technologies non-Microsoft. Ce site est est géré par le groupe « Interoperability Strategy Group » de Microsoft. Le blog de l’équipe étant lui accessible à cette adresse: http://blogs.msdn.com/b/interoperability/

De plus, je vous invite fortement à suivre le porteur du message interopérabilité Microsoft en France http://twitter.com/#!/Alfonso_Castro pour vous informer au quotidien sur ces notions stratégiques et techniques.

Présentation FIM 2010 des Techdays 2011

Vendredi 25 mars 2011

fred_esnouf Frédéric Esnouf, Tech Specialist IAM chez Microsoft France a réussi la performance de présenter FIM 2010 en 1 heure condensée. Si vous vous posez des questions sur FIM 2010 et sur les scénarios d’utilisation, je vous invite a regarder ce webcast enregistré directement pendant les Techdays 2011.


Get Microsoft Silverlight


A regarder et à diffuser sans limitation ;-)

SAP avale Secude pour sécuriser ses solutions

Lundi 17 janvier 2011

SAP-Secude SAP vient de faire l’acquisition de la société Secude, qui est un éditeur de logiciels Suisse spécialisé sur les solutions de sécurité autour des technologies SAP.

Secude en tant que pure-player des solutions SAP, propose des solutions autour des domaines suivants:

  • Endpoint Security
  • Identity and Access Management
  • Governance, Risk and Compliance

Globalement, les solutions de Secude améliorent la sécurisation des authentifications sur les solutions SAP. Cette acquisition prouve la progression sécuritaire des solutions SAP et la prise de conscience autour des problématiques de gestion des identités dans les solutions SAP.

Reste à savoir quel sera le niveau d’intégration à moyen terme avec les solutions NetWeaver. Rappelons que  Netweaver est  une plateforme technique SOA contenant un EAI pour toutes les nouvelles applications SAP, il est évident que la gestion des identités et la gestion des authentifications sont des éléments déterminants dans l’évolution des solutions SAP.

Mot de passe: le maillon faible de la sécurité en ligne…

Mardi 4 janvier 2011

Multi_password_recoveryUne étude très ressente réalisée par CheckPoint-ZoneAlarm révèle des problèmes très inquiétants en ce qui concerne l’utilisation des mots de passe pour sécuriser l’accès aux applications en ligne.

Cette étude révèle par exemple que 79% des utilisateurs utilisent un mot de passe dit « faible » pour accéder aux applications hébergées (non, je n’ai pas dit le mot Cloud, je fais de la résistance…)  ou encore que 8% des utilisateurs utilisent des mots de passe qui proviennent directement des listes de références en ligne proposant une liste de mots de passe conseillés !

La lecture de cette étude est obligatoire  ;-)

Bref, « ça fait flipper » – Il y a 6 ans, Bill Gates nous promettait un monde sans mots de passe , nous en sommes loin, car les scénarios utilisateurs et business liés à l’utilisation de la SmartCard ne correspondent pas à la réalité du terrain. Et pourtant – Le mot de passe est dangereux, très dangereux.

Quand cela devient le moyen unique de gérer l’authentification des applications en ligne (non, non et non, je ne dirais pas Cloud), cela devient une espèce de suicide numérique collectif. Au delà de cette situation, ce qui est le plus troublant est que cela n’inquiète pas grand monde… jusqu’au jour où il y a un problème, bien sur.

L’industrie de la sécurité informatique ainsi que les grands acteurs du secteur, Microsoft, Oracle, IBM, Gemalto, HID, etc… doivent nous apporter une solution viable à l’utilisation des facteurs forts d’authentification. Les scénarios de recouvrement, de substitution et d’utilisation de la biométrie doivent permettre d’avancer dans cette voie, encore faut-il qu’il existe une véritable volonté de trouver cette solution universelle et intégrée. Microsoft et les acteurs Linux majeurs doivent notamment intégrer « By Design » des fonctions de recouvrements ne nécessitant pas l’installation des framework tiers pour gérer ces notions: cela est impératif.

Pour égailler votre début d’année, je vous conseille de tester le logiciel MPR ( Multi Password Recovery) afin de « vérifier » la fragilité ou non de vos propre mots de passe. Cela fait rire, ou pleurer, au choix.

Charte de nommage pour les objets publiés dans l’annuaire Active Directory

Vendredi 29 octobre 2010

Alphabet Microsoft fournit un article très intéressant sur la taxonomie à utiliser lorsque l’on publie des objets dans Active Directory. Cet article est accessible [ ici ] et présente dans les grandes lignes les chartes de nommages en fonction des différents objets, Nom Netbios Ordinateur, Nom FQDN Ordinateur, Nom Netbios de domaine, Nom de domain DNS, Nom des sites Active Directory, nom des OUs,  et tout cela en relation avec les règles d’usage liées à Active Directory ou aux différentes RFCs officielles.

En oubliant pas qu’il existe une liste de noms interdits pour les nouveaux objets car déjà utilisés par le système:

Mots réservés pour les noms Windows NT 4.0 Windows 2000 Windows Server 2003
ANONYMOUS X X X
AUTHENTICATED USER X X
BATCH X X X
BUILTIN X X X
CREATOR GROUP X X X
CREATOR GROUP SERVER X X X
CREATOR OWNER X X X
CREATOR OWNER SERVER X X X
DIALUP X X X
DIGEST AUTH X
INTERACTIVE X X X
INTERNET X X
LOCAL X X X
LOCAL SYSTEM X
NETWORK X X X
NETWORK SERVICE X
NT AUTHORITY X X X
NT DOMAIN X X X
NTLM AUTH X
NULL X X X
PROXY X X
REMOTE INTERACTIVE X
RESTRICTED X X
SCHANNEL AUTH X
SELF X X
SERVER X X
SERVICE X X X
SYSTEM X X X
TERMINAL SERVER X X
THIS ORGANIZATION X
USERS X
WORLD X X X

En direct de MacWorld 2010 – Comment intégrer un Mac dans Active Directory !?!

Mardi 30 mars 2010

macworld Voici une vidéo tournée en direct sur MacWorld 2010, en février dernier. Elle montre en quelques minutes comment intégrer un Mac dans un annuaire Active Directory et donc comment avoir GPO, kerberos, SSO, controle d’accès, etc… comme pour un PC sous Windows !

Oracle va annoncer la roadmap des produits Sun microsystems le 27/01/2010

Samedi 23 janvier 2010

sun_logo.pngLarry Ellison s’apprête a donner le ton et fournir la roadmap officielle des produits Sun le 27/01/2010. En effet, de nombreux observateurs restent très circonspects quant au lourd silence qui entour le destin de nombreux produits portés par Sun microsystems. Nous pensons bien évidement particulièrement au destin assombri de MySQL, mais la dualité des équipes produits IAM chez Oracle et chez Sun depuis de nombreuses années posent quelques interrogations. En effet, malgré un investissement lourd de la part d’Oracle dans le domaine de la gestion des identités, seuls quelques « Oracle addicts » ont vraiment déployé les solutions IAM d’Oracle. De son coté Sun apparait comme un éditeur expérimenté dans ce domaine, et proposant des solutions éprouvées et matures. De plus, les nombreux projets Open Source portés par Sun tels que OpenSSO ou OpenDS peuvent être menacés… Nous suivrons donc avec attention la présentation de mercredi prochain…

Gartner Identity & Access Management Summit 2010

Jeudi 19 novembre 2009

Gartner_IAM_summit2010 Le Gartner organise le 4ème « Identity & Access Management Summit 2010″ à Londres les 3 et 4 Mars 2010. Il y aura de nombreux intervenants sur les sujets chauds du moment en ce qui concerne la gestion des identités. Il vous en coutera 2195 € HT pour assister à ces présentations, mais elles devraient être de qualité. Néanmoins, il faut toujours prendre les informations et surtout les « prévisions » fournies par les instituts de type Gartner avec de « grosses pincettes » – en effet, il est amusant de ré-ouvrir quelques anciennes prévisions du gartner pour vérifier si tout est réalisé avec le temps… c’est généralement très instructif et… amusant ;-)

Plus d’information sur:  http://europe.gartner.com/iam

Si vous etes déjà client du Gartner, vous pouvez envoyez un email directement à emea.events@gartner.com pour obtenir des renseignements personnalisés.

Devenez un « identity hero » en jouant en ligne !

Vendredi 4 septembre 2009

beanidentityhero Sun a mis en ligne un jeux pour permettre aux visiteurs de devenir un « identity hero », en accumulant les points par la réalisation de taches d’administration comme le « user provisioning » ou le « password management »…. c’est vraiment bien réalisé, bourré d’humour et tout à fait sympatique. De plus, cela ne sert à rien, c’est donc indispensable…

A vous de faire chauffer vos clavier pour devenir un Identity hero !!! sur http://identityhero.sun.com/

Vidéo: Gestion du cycle de vie des Tokens OTP depuis Forefront Identity Manager 2010

Lundi 17 août 2009

gemalto_dualdotnet Gérer le cycle des identités en prenant en compte les modules OTP, tel est le challenge de cette vidéo qui démontre comment intégrer le provisioning des modules OTP Gemalto, et comment les associer à un utilisateur physique depuis un processus Forefront Identity Manager 2010.

Depuis une dizaine d’années de nombreuses organisations ont investi dans les technologies « One Time Password » (OTP) afin de sécuriser les accès VPN ou les accès à des applications sensibles telles que Outlook Web Access par exemple. Mais la création du Token OTP et son association avec l’utilisateur physique nécessitait généralement une intégration complexe dans le système de gestion des identités de l’entreprise ou une procédure manuelle couteuse et génératrice d’erreurs. L’association de FIM 2010 et des solutions Gemalto Protiva semble pouvoir couvrir ce problème récurrent.