Stratégie

Ubuntu: Mise à jour de la documentation intégration Kerberos/LDAP

SylvainLeave a comment

ubuntu_kerberos_ldap

Comme vous le savez certainement, il est possible d’utiliser un annuaire LDAP comme conteneur des utilisateurs utilisés dans un royaume Kerberos. Sous Active Directory, cette « association » se fait naturellement, Active Directory proposant cette fonction de native et transparente pour les administrateurs.

Dans le monde Linux/Unix, cela est très différent, il faut expressément paramétrer le royaume Kerberos pour que celui-ci utilise un back-end LDAP pour stocker les informations utilisateurs, ensuite, en terme de protocole, on est sur du connu, Kerberos pour la partie authentification, LDAP pour la partie autorisations.

Franchement, quand on a compris le concept, ce n’est pas très compliqué, je dois avoué que l’avantage sur Unix/Linux, est une plus grande séparation des fonctions, donc une meilleure compréhension globale de l’architecture: Comme les choses ne sont pas faite automatiquement, et bien du coup, on comprend précisément les différences entre Kerberos et LDAP, cela rend vraisemblablement les choses plus simple à conceptualiser pour les débutants même si bien sur cela occasionne un paramétrage supplémentaire non nécessaire sous Active Directory.

Les concepts sont identiques sur l’ensemble des plateformes Linux mais chaque distribution a bien sur ses petites particularités. Ubuntu a mis jour dernièrement la documentation présentant cette intégration: dans ce scénario, les comptes utilisateurs sont donc créés dans LDAP, si la réplication LDAP est paramétrée, on a donc « l’équivalent » d’une réplication multi-maitres comme des contrôleurs de domaine Active Directory (enfin presque…) et un royaume Kerberos qui peut s’appuyer sur l’annuaire LDAP au lieu de s’appuyer sur une base de données Berkeley (ce qui est la configuration native d’un royaume Kerberos) pour stocker les objets utilisateurs.

La documentation pour Ubuntu, en Français est accessible [ ICI ]

Pour une référence plus générique et globale, vous pouvez aussi consulter la documentation MIT Kerberos [ ICI ]

 

 

Comprendre les fonctions PAM de MIM et les nouveautés sur PAM apportées par MIM SP1

SylvainLeave a comment

privilaged-access

 

La gestion des privilèges et des accès à des comptes d’administration est une problématique récurrente chez les clients d’une certaine taille. Plus l’infrastructure grossie, plus les applications sont nombreuses, plus les services IT sont découpés (merci ITIL…) plus les comptes dits « à pouvoir » se multiplient dans l’écosystème IT des entreprises.

Ici, point de salut avec le Cloud, IT locale ou délocalisée, le nombre de comptes à privilèges ne réduit pas dans le nuage, parfois, il augmente, car la situation actuelle est hybride, de l’IT locale et de l’IT dans le nuage, donc multiplication des comptes à privilège, représentant  des populations d’administrateurs ou de responsables IT parfois différentes.

De nombreuses solutions sur le marché existent pour gérer ces comptes, j’ai commencé un article qui parcourra les différents modèles, mais je voulais mettre en avant la solution proposée notamment par Microsoft car elle a un caractère innovant.

De prime abord, la fonction PAM proposée par MIM semble lourde, elle l’est. En effet, le principe est globalement (je fais simple) de créer une forêt dédiée à la gestion des comptes ou des groupes qui contiennent des comptes à privilèges. On parle ici d’un forêt « bastion », oui vous avez bien lu, il faut une nouvelle forêt, et cela peut rebuter les comptes de tailles moyennes, car cela signifie, de nouvelles procédures, des outils de backup, de supervision, etc…

Mais, pour les comptes d’une certaine taille, je dirais au delà de 10 000 comptes, cette approche d’architecture peut apporter des avantages:

1/ on utilise ici des technologies connues & fiables: Active Directory

2/ la solution sera de facto compatible avec tous les systèmes acceptant  Active Directory comme référentiel de comptes et de groupes, les technologies Microsoft bien sur, mais aussi, Linux, Unix, MacOS, etc… ca commence donc à devenir intéressant

3/ la solution se base sur des protocoles reconnus, tel que Kerberos par exemple

Je vous conseille cette page sur le site de documentation de Microsoft: https://docs.microsoft.com/en-us/microsoft-identity-manager/pam/privileged-identity-management-for-active-directory-domain-services qui décrit les fonctionnalités dans les grandes lignes et l’infrastructure afférente.

Les nouveautés du SP1 de MIM 2016.

Bon, le SP1 de MIM 2016 apporte des choses intéressantes à la solution, comme par exemple le support officiel des différentes browsers web du marché, mais concernant le module PAM, ce qui me semble le plus intéressant, c’est la possibilité de scripter l’intégralité de l’installation du module PAM via PowerShell. Cela ouvre de nouveaux horizons car les scripts de configurations ne s’arrêtent pas uniquement à la partie PAM de MIM mais prennent aussi en compte les paramètres nécessaires comme la partie Active Directory, le SID filtering, la partie Silo Active Directory, etc…

mimsp1_pam_powershell

Il est donc imaginable, soyons fous, de déployer des instances dédiées pour des environnements différents au sein d’une même entreprise; pourquoi pas modéliser la chose sous forme d’appliance prête à l’installation et dont le setup final se ferait via une interface web pilotant le PowerShell ?

Si la gestion des privilèges est dans votre périmètre, et que vous travaillez dans une entreprise de plus de 10 000 employés, regardez la solution PAM de MIM, elle peut être une voie parmi d’autres…

 

 

 

 

XACML is dead or not ?

SylvainLeave a comment

xacml.plain.logo

 

Depuis maintenant plusieurs années, je m’intéresse à l’évolution du « standard » XACML, en me posant bcp de questions… En effet, d’un point de vue technologique, je pense qu’il s’agit d’une excellente manière de gérer les rôles applicatifs au sein des grandes entreprise. Pour faire simple, XACML est plutôt un langage structuré (basé sur XML) qui permet de décrire des rôles et surtout des politique de contrôle d’accès – ces politiques peuvent être simples, très complexes et peuvent se baser sur des éléments dynamiques ou contextuels: par exemple mes « droits » définis dans le code XACML peuvent s’adapter en fonction de l’adresse IP que j’ai, ce qui permettrait d’adapter mes droits si je suis sur le LAN ou depuis un VPN, etc. Encore une fois, d’un point de vue technique, je pense que c’est le top, c’est un peu monolithiques, mais au final on peut gérer des cas très complexes – le problème est que l’adoption (en tout cas en France) de ce standard est très faible – il y a peu de changements depuis 4 ans, quelques POC, mais pas de mise en production – en effet, le problème majeure est qu’il faut écrire une partie des applications « in house » pour bénéficier de XACML, il y a déjà peu d’entreprises qui font du profiling applicatif dans un annuaire LDAP, alors XACML…on imagine… Je suis retombé sur un article d’un consultant Forester qui date maintenant de 3 ans, voir: http://blogs.forrester.com/andras_cser/13-05-07-xacml_is_dead – ce qui est amusant c’est que l’on pourrait avoir écrit l’article hier 😉 Les commentaires sont extrêmement intéressants également, un peu partisans, mais intéressants !

Donc que conseiller ? XACML or not XACML ? et bien je ne sais pas… Je pense que je conseillerais à une entreprise (à partir de 50 000 users) d’au moins faire un POC de la technologie, et de comparer avec le mode de profiling et de contrôle d’accès actuel. De plus, je pense que nous ne verrons jamais des plug-in applicatifs « sur étagère » (ce qui est bien dommage…) genre un plug-in XACML pour SharePoint, pour SAP, pour Apache, etc… ce qui sous-entend que chaque entreprise devra écrire et maintenir le module XACML pour chaque application importante.

Quels liens pour aller plus loin:

https://en.wikipedia.org/wiki/XACML

https://www.axiomatics.com/ (pour moi le seul fournisseur XACML qui respectent vraiment les standards OASIS avec Oracle)

https://www.oasis-open.org/committees/tc_home.php?wg_abbrev=xacml

 

Connaissez vous Connectwave ?

SylvainLeave a comment

 

connectwave

Bon, les lecteurs assidus qui me connaissent personnellement savent que je ne suis un fan absolu des différentes organisations gouvernementales dans le domaine des nouvelles technologies. Certains de ces organisations ne sont que des gouffres financiers ou se perdent des fonds qui pourraient pleinement servir les jeunes pousses françaises qui en ont bien besoin.

Néanmoins, je dois bien avoué que j’ai été conquis par l’initiative Connectwave. Connectwave est un organisme jouant le rôle de catalyseur et de mise en relation entre les différentes sociétés françaises innovant dans le monde du sans-contact (RFID, NFC) et les entreprises clientes ayant besoin de ces technologies.

Une présentation de Connectwave [ ici ]

Une description de Connectwave provenant de leur site web:

“ Basée en région Provence-Alpes-Côte d’Azur, berceau du Sans-Contact, Connectwave est une plateforme d’essai et un espace de démonstration au cœur de l’écosystème national qui se décline en concept d’exposition itinérante dédié aux Objets Connectés et au Sans-Contact. Véritable vitrine technologique grandeur nature créée par le CNRFID, Connectwave est un lieu unique de tests et de compréhension des usages et des technologies. “

L’idée est excellente, le sujet porteur, les acteurs français performants, bref tout est réuni pour faire des technologies sans contact l’un des fers de lance de la “nouvelle” industrie française.

De mon côté, j’ai eu l’occasion de travailler sur des projets “multi-carte”, avec des carte intégrant l’ensemble des technologies (contact, sans contact voir bande magnétique) et je dois bien avouer que sur des scénarios d’indentification ou d’authentification secondaire, les technologies sans contact sont extrêmement intéressantes et peuvent fournir des solutions innovantes et pratiques dans le monde de l’authentification logique.

Pour finir, il faut savoir que Connectwave travaille de façon étroite avec le CNRFID, dépendant directement du Ministère de l’Economie de l’Industrie et du Numérique, qui a notamment un rôle de normalisation des technologies sans contact sur le territoire nationale.

Cnrfid

Je vais suivre de mon côté l’initiative Connectwave, je pense que de nombreux acteurs du sans-contacts peuvent se rallier à la cause !

Microsoft annonce la suppression du support de Identity Management for Unix (IDMU) & NIS Server Role dans Windows Server 2016 Technical Preview (et après)

Sylvain2 Comments

 

Depuis plus de dix ans, Microsoft propose le support des services NIS au sein d’Active Directory. Bon, ok, NIS c’est complètement pourri et le stockage des mots de passe NIS et leur transport sur le réseau sont un gouffre béant de sécurité sur une infrastructure d’entreprise.

Neanmoins, certaines entreprises utilisent encore NIS (et oui !) et certaines entreprises utilisent les Services for Unix sous la forme ou NIS Server Role dans Active Directory (bon, ok, pas beaucoup, mais j’en connais…)

Sur ce post, Microsoft révèle l’abandon de deux composants liés aux services Unix depuis Active Directory à partir de Windows Server 2016:

  • – NIS Server Role (rôle Windows Server)
  • – Extension IDMU pour la MMC: cette extension à la MMC permet de visualiser les attribut Posix définis dans la RFC2307 directement depuis l’interface ADUC

Pour rappel, voici un exemple d’interface IDMU:

Unix_tab

Attention, cela ne veut pas dire que la RFC2307 n’est plus supportée dans l’annuaire Active Directory, bien au contraire, cela signifie que si l’on veut modifier ces attributs, il faudra utiliser l’onglet Attribute Editor, comme pour tous les autres attributs prévu dans le schéma ou utiliser ADSIEDIT ou encore un client LDAP en écriture.

Pour rappel, voici la listes des attributs RFC2307 utilisés dans Active Directory:

RC2307

Par contre, cela signifie qu’il ne sera plus possible d’utiliser un contrôleur de domaine en émulation d’un service NIS en utilisant uniquement les technologie Microsoft.

Cela va ouvrir la porte vers les ISVs spécialistes de l’intégration Unix/Linux dans Active Directory et surtout à Centrify et Dell qui sont les seuls à proposer une NIS Gateway digne de ce nom.

Si vous êtes utilisateur SFU ou NIS Server Role, n’hésitez pas à me contacter pour définir comment anticiper ce changement majeur au niveau de Windows Server.

Installation de Solus 1.1

Sylvain3 Comments

 

Solus est un OS Linux destiné à un usage desktop uniquement. Il a été créé par une communauté désirant désigner un OS desktop devenant une véritable alternative à Windows ou MacOS

Pour ma part, je suis convaincu que le fait de faire un focus unique sur la partie desktop est une excellente idée. Ici pas d’OS serveur, pas d’optimisation pour la partie serveur mais au contraire une optimisation de l’OS et des applications disponibles pour un usage workstation – c’est à mon sens le seul moyen de bien faire les choses, faire un focus fonctionnel précis répondant à des usages précis

Vous trouverez un article à propose de Solus sur le site de Korben: https://korben.info/solus-linux-user-friendly-refuse-de-devenir-usine-a-gaz.html

Télécharger l’ISO en version 1.1 depuis: https://solus-project.com/download/

Transformer une clé USB en clé USB bootable depuis l’ISO téléchargé – par exemple, sous Windows avec l’outil Rufus disponible sur http://rufus.akeo.ie/?locale=fr_FR

Démarrer sur la clé USB, après quelques secondes, vous obtenez un écran d’accueil, choisir “Instal Solus”

capture20160305121638720

Cliquer sur “Find my location automatically”

capture20160305123306338

Choisir la langue désirée

capture20160305123508918

Garder les options de clavier par défault, à moins que vous ayez des besoins particuliers

capture20160305123610657

Sélectionner le disque sur lequel l’installation doit être effectuée

Cliquer ensuite sur le bouton “Launch Partition Editor”

capture20160305123733104

Nous considérons ici que le disque est vierge, sans partition existante et sans données

Cliquer sur le menu Device et choisir “Create Partition Table”

capture20160305124113354

Choisir le type de table de partition “gpt” et cliquer sur le bouton “Apply”

capture20160305124304198

Ensuite, réaliser un clic-droit sur la zone “unllocated” et choisir “New”

capture20160305124615569

Sélectionner le menu “File system” et choisir “linux-swap”

capture20160305124847712

capture20160305125024381

capture20160305125105895

Dans la zone “New size” entrer la valeur 2048 – Puis cliquer sur le bouton “Add” – Pour rappel, la partition de swap sert de zone tampon si votre espace en mémoire vive est saturé, pour un poste de travail une valeur à 2Go est largement suffisante

capture20160305130011535

Réaliser à nouveau un clic-droit sur la zone “Unallocated”, choisir New

capture20160305131520143

Laisser les valeurs par défaut: Pour “File system”, laisser “ext4” et laisser la taille maximum possible au niveau de l’attribut “New size” ; puis cliquer le bouton “Add” – La partition ext4 prendra donc l’intégralité du restant sur le disque. Pour rappel, la partition ext4 sert à stocker les fichiers ou les répertoires du systèmes et des applications

capture20160305131808047

Au final, vous devez obtenir quelque chose qui ressemble à ceci:

capture20160305135031526

Cliquer ensuite sur la coche verte à droite de la barre d’outils afin de formater les différentes partitions

capture20160305135142166

Cliquer sur le bouton “Apply”

capture20160305135251889

A la fin de l’opération de formatage, vous devez obtenir le message “All operations successfully completed”

capture20160305135348272

Cliquer sur le bouton “Close”

Aller dans le menu “GParted” de l’utilitaire de partition et choisir la fonction “Quit”

capture20160305135649348

Vous revenez alors à l’utilitaire d’installation. Sélectioner la partition “swap” puis cliquer sur le bouton “Assign as swap partition”

capture20160305135838294

Sélectionner la partition “ext4” puis cliquer sur le bouton “Assign as root partition ext4”

capture20160305140120348

Puis cliquer le bouton “Next”

capture20160305140350262

Choisir la TimeZone puis cliquer sur le bouton “Next”

capture20160305140448573

Rajouter au moins un utilisateur qui pourra se connecter au système une fois l’installation terminée – cliquer le bouton [+] et rajouter autant d’utilisateurs que désiré puis cliquer sur le bouton “Next”

capture20160305140812465

capture20160305141105156

capture20160305141148729

Fournir un nom (hostname) qui permettra d’identifier le système sur le réseau – Activer la fonction “Should we install a boot loader on ths computer ?” en cliquant sur la coche – Cliquer sur le bouton “Next”

capture20160305141427214

Vous arrivez ensuite à un écran présentant le récapitulatif de l’ensemble des paramètres que vous avez choisis. Vérifier les paramètres et cliquer sur le bouton “Next”

capture20160305141707741

L’installation de l’OS Solus 1.1 sur le système de fichiers commence

capture20160305141907985

A la fin du procesus d’installation, cliquer sur la croix rouge en haut à droite de la fenêtre – puis déclencher un redémarrage du système après installation

capture20160305142710594

Le système redémarre

capture20160305143248700

L’écran d’accueil avec la mire de login apparait – par défaut l’utilisateur créé pendant le processus d’installation est présent  il suffit alors de renseigner le mot de passe et de tester ce nouvel OS plein de promesses !

capture20160305143512570

capture20160305144316504

Les prédictions de CA Technologies en ce qui concerne l’IAM en 2016

SylvainLeave a comment

Comme tous les ans, les experts de CA technologies fournissent leurs prédictions sur la marché IAM. Force est de constater que leur prédiction 2015 n’étaient pas si mauvaises, donc il semble intéressant de de regarder attentivement les prédictions 2016…

Le WebCast proposant les prédictions 2016 est accessible ici: https://www.brighttalk.com/webcast/7845/171013/ca-briefings-part-5-the-rise-of-the-user-security-predictions-for-2016

Le blog de CA Technologies propose un condensé de cette présentation en quelques paragraphes: [ source: https://blogs.ca.com/2016/01/05/five-identity-centric-security-predictions-for-2016/ ]

What’s ahead in 2016

For 2016, CA Technologies predicts the following five trends will emerge and have the greatest impact on security professionals dealing in identity this year.

  • Identity services will be used by increasing numbers of business users, as the function moves from IT to the Business.  This will require improvements in the user experience so that it is more intuitive and business-oriented. This will begin to result in improved engagement with customers and business users, as well as reduced risk.
  • Breach attack surfaces increase and the ramifications of a successful breach extend beyond financial loss. Increased reliance on DevOps/Agile development and virtual/cloud technologies opens new attack vectors, while cybercrime shifts to cyberespionage, threatening homeland security and opening the potential for cyberterrorism attempts.
  • Risk analytics moves from financial sector to the enterprise. As enterprises struggle to identify consumers from identity thieves using just a password for authentication, they will turn to risk-based analytics to protect their Internet sites and mobile applications.
  • As identity and access security and management (IAM) become more strategic to the business, there will be an increase in demand for IAM expertise in 2016. A greater focus on privileged identities, identities extending to the cloud, and third-party identities incorporated into the security framework makes the security challenge around identities more complex.
  • As the Internet of Things permeates the marketplace, it is increasingly clear it must become identity-centric. IoT will also stand for “identity” of things. As information passes across the internet and is stored on these IoT devices, they need to be confirmed and trusted just as a person’s identity needs authenticating.

Les points 3 et 4 sont pour moi très importants. Même si il s’agit d’un « vendor », le Webcast est extrêmement intéressant à regarder pour des spécialistes IAM qui veulent aller plus loin que la simple partie technique et qu’ils veulent comprendre un certain nombre d’enjeux business liés à l’IAM.

 

Microsoft Azure Stack: enfin !!!!!!!!!

SylvainLeave a comment

Je veux vous faire partager mon excitation (comme dirait un américain « i am so excited ») à la sortie de Microsoft Azure Stack. En effet, cette nouvelle offre de Microsoft va permettre de créer son propre cloud interne, en se basant sur une « stack » de type « cloud service model ». Que l’on comprenne bien, pour moi l’intérêt du cloud n’est pas principalement de mettre ses « données » ou « services » à l’extérieur et d’externaliser sa propre responsabilité. Pour moi, l’intérêt majeur du cloud est de fournir un « cloud service model » est de permettre une plate-forme agile pour les utilisateurs, les développeurs, les responsables applicatifs ou les responsables business.

Il est en effet primordial de fournir « à la demande », « as a service » les ressources, au sens large du terme, que nécessitent les métiers au sein de l’entreprise: des serveurs, des applications, du stockage, etc. Cela doit être rapide, peu coûteux, automatisé – avec à la clé: des tableaux de bords clairs, du reporting, un système de facturation et de suivi. C’est effectivement le modèle proposé par de nombreux fournisseurs de service tels que Microsoft, Amazon ou Rackspace. Néanmoins, ce service s’exécute dans un cloud public (ok, il y a des exceptions possibles, mais restons simples…) – et cela limite grandement l’utilisation de ces services: gouvernance non adaptée, règles de sécurités ou de conformités non couvertes, bande passante Internet insuffisante, dépendance même de la connectivité Internet, mauvaise réversibilité, etc.

Depuis quelques années, se développe une tendance au cloud hybride, voir au cloud privé basée notamment sur OpenStack. La difficulté réside dans le mode « puzzle » des briques technologiques impliquées dans OpenStack, avec peu de consistance et un besoin très élevé de ressources internes pour faire fonctionner la bête.

Microsoft sort maintenant Azure Stack, qui est une installation « locale », en cloud privé du modèle « cloud service » proposé par Microsoft dans son cloud public Azure. Et franchement, je pense que cette solution a énormément d’avenir, en apportera de la consistance, du support professionnel et des évolutions programmées au modèle « internal cloud service ».

L’avenir des équipe IT est de travailler sur l’architecture de ce type de modèle, et de permettre l’agilité complète du SI, maintenant cela va être possible de façon simple pour toutes les tailles d’entreprise ou même à l’échelle d’un service particulier au sein d’une entreprise. A terme, les entreprises qui ne vont pas adopter ce type de modèle verront un handicap croissant se greffer sur leur performance et rentabilité, année après année. Bien sur, cela suppose des briques essentielles qui ne sont pas des briques purement IT, pour moi 3 briques essentielles sont nécessaires à ce type de modèle:

  • un sponsoring direct du CTO & du CFO
  • un système de facturation interne
  • la définition d’un catalogue de service

J’encourage tous mes lecteurs à planifier d’ici la fin de l’année une évaluation de Microsoft Azure Stack, car celui ci sera peut être au centre de leurs activités futures dans les années à venir. Le service IT interne a de la valeur, de l’expérience, des idées et bien maintenant prouvons le.

Quelques explications complémentaires disponibles sur cette vidéo:

 » And, i am so excited 😉 « 

TOP 100 des blogs anglophones sur la cyber-sécurité

SylvainLeave a comment

 

top-cyber-security-blogs

 

Un article intéressant avec un recensement des différents blogs anglophones dans le domaine de la cyber-sécurité.

Bien sûr, c’est un peu subjectif, mais c’est une liste intéressante pour quelqu’un voulant se documenter sur le sujet.

La liste est accessible [ ICI ]

Pour ma part, le top-five serait celui-ci:

http://www.darkreading.com/ – blog généraliste sur la cyber-sécurité

https://googleonlinesecurity.blogspot.fr/ – le blog de google, bien sur très orienté technologie Google, mais pas que – traite d’Internet en général

http://www.net-security.org/ – un blog historique, généraliste

https://blog.malwarebytes.org/ – le blog de malwarebytes, très orienté malware forcément, mais très bien documenté

https://blogs.technet.microsoft.com/mmpc/ – le blog de Microsoft sur les malwares, souvent très interressant et souvent mise à jour