Windows et linux: plus fort ensemble !

palais des congrès Paris

7, 8 et 9 février 2012

07/02/2012

Sylvain CortesPartners & Alliance ManagerCerberis

Windows et Linux:Plus forts ensemble !

Christophe DubosArchitect LeadMicrosoft

IntroductionHistorique de la collaboration entre les deux systèmes

Historique conjoint d'Unix et de WindowsL'interopérabilité & Microsoft

Présentation des systèmesStructure de Linux Unix et OSXModèle d'authentification et d'autorisation comparéNIS: beurk !!!

Intégration des systèmes Linux, Mac et Unix dans Active Directory

Contés et légendes inachevés …Bénéfices fonctionnelsLa Boite à outils gratuite Centrify ExpressEncore plus fort

Migration NIS vers Active DirectoryMéthode de migrationImpacts sur la DSIRetours d’expériences, cas clients

Pour aller plus loin…

Windows et Linux: Plus forts ensemble !

Pour ceux qui penseraient encore…

Microsoft et LinuxLes choses ont changé…

AIAG (Automotive Industry Action Group)AIIM (Association for Information and Image Management)ANSI (American National Standards Institute)ATIS (Alliance for Telecommunications Industry Solutions)ATSC (Advanced Television Systems Committee)CalConnect (The Calendaring & Scheduling Consortium)CCSA (China Communications Standards Association)CIPA (Camera Imaging Products Association)DAISY (Digital Accessible Information System Consortium)DDEX (Digital Data Exchange)DLNA (Digital Living Network Alliance)DMFT (Distributed Management Task Force)DSLF (DSL Forum)DTLA (Digital Transmission Licensing Administrator)DVB (Digital Video Broadcasting)DVD ForumECMA InternationalETSI (European Telecommunications Standardization Institute)The Green GridGSMA (the GSM Association)HGI (Home Gateway Initiative)HL7 (Health Level Seven)HR-XML ConsortiumICTSB (ICT Standards Board)IEEE (Institute of Electrical and Electronics Engineers)IETF (Internet Engineering Task Force)INCITS (InterNational Committee for Information Technology Standards)Inria CAML ConsortiumISAN (International Standard Audiovisual Number)ISO/IEC JTC 1 (International Organisation for Standardisation / International Electrotechnical Commission Joint Technical Committee)ISOC (Internet Society)ITU-T (International Telecommunications Union)MDTVA (Mobile DTV Alliance)NABA (North American Broadcasters Association)NFC (Near Field Communication Forum)OASIS (Organization for the Advancement of Structured Information Standards)OMA (Open Mobile Alliance)OSTA (Optical Storage Technology Association)PS/SC WorkgroupPCI-SIG (PCI Special Interest Group)PCMCIA (Personal Computer Memory Card International Association)Project InkwellPTSC (Packet Technologies and Systems Committee)PWG (The Printer Working Group)RosettaNetSDA (SD Card Association)SMPTE (Society of Motion Picture and Television Engineers)SNIA (Storage Networking Industry Association)TCG (Trusted Computing Group)TIA (Telecommunications Industry Association)UEFI (Unified Extensible Firmware Interface Forum)UPnP (Universal Plug and Play Forum)USB-IF (USB Implementers Forum)W3C (World Wide Web Consortium)Wi-Fi AllianceWiMAX ForumWiMedia AllianceWS-I (Web Services Interoperability Organization)

The All-In-One Code Framework Moonlight

Windows 7 USB/DVD Download ToolWindows Cache Extension 1.0 for PHP

SilverlightOData SDK for PHP

Microsoft Live Services Plug-in for MoodleHyper-V Linux Integration Components

Device Driver Code for Linux WinBioinfTools

.Net Micro Framework DevelopmentZentity

Article Authoring Add-in for Word 2007Creative Commons Add-in for Word 2007

Live Search Add-in for Mozilla FirefoxWeb Sandbox

PHP 5.3 on WindowsBing 404 for Wordpress

PST File Format SDKWordPress Plugin for Azure Storage Service

SQL Server Driver for PHP 2.0CoAppjQuery

Active DirectoryPour ceux qui ont hiberné les 12 dernières années…

Référentiel de sécurité interopérable

Utilisation des protocoles d’authentification Kerberos, LDAP, NIS et SAMLSupport CIFS, NFS, HTTP, RDP, RPCColonne

vertébrale de l’administration de Windows

Support des mode d’administration centralisés et déléguésUn élément clé du TCO du poste de travail

Support des besoins applicatifs

Adaptation aux besoins applicatifsDisponibilité et qualité de l’information accrues

Active DirectoryPour ceux qui ont hiberné ses 12 dernières années

Ressources

Kerberos

NIS/LDAP

SAML/X.509

Certificats

AuthentificationAutorisation

Active DirectoryRéférentiel de sécurité unique

Intranet

Extranet

Tickets Kerberos

Windows supporte plusieurs modèles d’authentification et un modèle d’autorisation uniqueActive Directory fournit un point focal d’administration, des services de certificats et un serveur de clés KerberosFacilite la liaison des Intranets & Extranets

GINA(login)

Kerberos(MIT de-facto)

Credential (ticket)cache

DefaultCredential (ticket)

cache

GSSAPISSPI

ApplicationApplication

•RFC 1510 – Kerberos V5•AS - Authentication Service•TGS - Ticket Granting Service

•MIT de-facto•CPW - Change password service

Serviceprincipalkey table

DefaultService principalkey table

LSA

kinit klistkdestroykpasswd

(MIT

de-f

acto

)

Login

pam_krb5

Active DirectoryAuthentification Kerberos en environnement hétérogène

IISISAPI

Extension

SSPI/Krb

AppService

GSS/Krb*

IE 5/6/7/8

SSPI/Krb

HTTP TCP

KerberosExemple d’utilisation - Interopérabilité app 3-Tier

*Generic Security Service (RFC 1509)

Hyper-VPour ceux qui penseraient encore qu’Hyper-V…

Applications

Windows Server 2008 R2

Windows Server 2000, 2003, 2008 et 2008 R2

Applications

VSC

Fournisseur:

Système

Hyper-V

Composantstiers

ComposantsHyper-V au seindu système

Hyper-V

CPU 64 bits et Intel VT ou AMD-V

Drivers

Applications

Kernel Mode: Ring 0

User Mode: Ring 3

Kernel

Emulation

Système non Hyper-V aware

VM Mgmt ServiceWMI Provider

VM Worker Processes

Hyper-VArchitecture

HypercallsMSRs APIC SchedulerMemory MgmtPartition MgmtVMX Root operation

SLES 10.x & 11, RHES 5.x & 6, CENTOS 5.x

Applications

VSCVMBus

WinHV

VSPVMBus

WinHV LinuxHV

VMBus

Collaboration avec NovellMicrosoft & Novell collaborent afin de délivrer un support natif de l’environnement de virtualisation Microsoft– Développement et support commun des composants

d’intégration (VMBUS) pour SLES 10 et 11– Equipe de support commune

• http://www.novell.com/products/server/virtualization.html • http://searchenterpriselinux.techtarget.com/

originalContent/0,289142,sid39_gci1243601,00.html

Collaboration avec Red Hat

Microsoft & RedHat collaborent afin de délivrer un support natif de l’environnement de virtualisation Microsoft– Intégration par Red Hat des des composants d’intégration

(VMBUS) dans RHEL 5.4+– Certification de Hyper-V pour RHEL 5.2 5.3, 5.4 et 6

• https://hardware.redhat.com/show.cgi?id=502242• http://www.redhat.com/promo/svvp/

Et les autres…

Microsoft fournit les composants d’intégration pour CentOS– La disponibilité du code source des composants

d’intégration sous licence GPL v2 et son intégration au noyau permet leur utilisation avec toute autre distribution utilisant un noyau 2.6.32+

System Center Operation ManagerPour ceux qui penseraient encore que System Center…

PowerShell

Console d’administration

Console d’administration Web

- Architecture

Librairie

client WinR

M

Health

Service

Serveur d'administration

Operations Manager

Serveur Linux/UNIX géré

OpsMgr agentfor UNIX/Linux

(OpenPegasus CIMOM

Server + providers)

ssh connection

WS-Man request

WS-Man response

AgentMaintenanceActions

HTTPS transport

Port1270

WinRM = Windows Remote ManagementWS-Man = Web Service Management protocolsshd = UNIX/Linux secure shell daemon

- Architecture Unix / Linux

Daemon

sshd

MP

Agent Operations Manager pour

Linux/Unix(OpenPegasus

CIMOMServer +

Providers)

MPMP

Library

client ssh

Config

Service

SDK

HTTPS transport

- Plates-formes supportées

SCOM 2007 R2 SCOM 2012Windows 2000 Server

Windows Server 2003 / R2

Windows Server 2008 / R2

Windows 2000/XP/Vista/7

Linux SUSE Enterprise 9 (x86) & 10 & 11 (x86/x64)

Linux Redhat Enterprise 4, 5 & 6 (x86/x64)

AIX 5.3 & 6.1 (POWER)

HP-UX 11iv2 & 11iv3 (PA-RISC/IA64)

Solaris 8 & 9 (SPARC)

Solaris 10 (x86/SPARC)

Présentation des systèmes

Historique de Linux, Unix et OSX Modèle d'authentification et

d'autorisation comparé NIS: beurk !

Historique

Source: Wikipédia

Comparaison des modèles

Windows Linux / Unix

Mécanismes d’authentification

UserID-PasswordSmartCardAutres

UserID-PasswordSmartcard (MacOS/Linux)Autres

Autorités pour l’authentification

Autorité localeAutorité centralisée (Active Directory)

Autorité locale (Passwd/Shadow)Autorité centralisée (NIS, NIS+, LDAP, Kerberos)

Protocole pour l’authentification

Plain UserID-PasswordNTLMKerberos V5

Plain UserID-PasswordFonction HashAutres (Kerberos notamment) en utilisant les modules PAM

Identifiant principal de sécurité

SIDs UIDs, GIDs

UserID Non case sensitiveNe peut pas être le même que le nom d’un groupe

Case sensitivePeut être le même que celui d’un groupe

NIS: Beurk !

Utiliser NIS, c’est comme croiser les effluves: c’est mal !

NIS: Beurk !

En fait NIS n’est pas un système centralisé d’authentification -> c’est un annuaire de pages jaunes (ypcat = yellow pages !)NIS contient un hash du password qui est envoyé au client NIS en clair sur le réseau, c’est le client NIS lui-même qui compare le hash !

Extrait de man rpc.yppasswdd

« As listed in the yppasswd.x protocol definition, the YPPASSWDPROC_UPDATE procedure takes two arguments: a V7-style passwd structure containing updated user information and the user’s existing unencrypted (cleartext) password. Since rpc.yppasswdd is supposed to handle update requests from remote NIS client machines, this means that yppasswd and similar client programs will in fact be transmitting users’ cleartext passwords over the network. »

NIS: Beurk !

Donc: L’utilisation de NIS est une

très grosse faille de sécurité Récupérer un « password » sur

le réseau prend entre 5min et qq heures (tuto à venir)

Les entreprises doivent éliminer NIS de leur urbanisme informatique

De plus: NIS n’est plus supporté par

SUN NIS+ n’a jamais vraiment été

implémenté

Il faut migrer

http://1.bp.blogspot.com/-FFRVLguXsD0/TnI6d7yn4PI/AAAAAAAAAAQ/IvDwmFG-b0I/s1600/hacking_big.jpg

Intégration des systèmes Linux, Mac et Unix dans Active Directory Contés et légendes inachevés … Bénéfices fonctionnels La Boite à outils gratuite Centrify

Express Encore plus fort !

Contes et légendes inachevés …

Il était une fois…Combattre les préjugés… L’informatique est un monde d’intégristes, chacun

pense que son « dieu » est le meilleur… Mieux vaut utiliser le meilleur des 2, 3 ou 4 mondes… Difficile d’être « interopérable » sans ouverture

d’esprit

Une histoire à écrire et des projets passionnants Beaucoup de technique Mais aussi, des processus, la connexion avec le

système de gestion des identités ou de provisionnement de l’organisation, une demande croissante des clients…

Un classique: intégration des systèmes Linux/Unix dans AD

Contes et légendes inachevés …

Intégrer les systèmes dans AD, un coup en 3 bandes:

1 1 111 1

23

Comment ? À la main: arrrrggghhh ! Solutions communautaires Solutions commerciales: Quest, Centrify et

Likewise/BT

Bénéfices fonctionnels

Un annuaire unique: pas de synchronisation !Sécurité décuplée: politique de mot de passe complexe et unifiée-centralisée, Kerberos, etc…Comme un Windows ! Un seul compte utilisateur, un seul mot de passe, topologie Active Directory, Cache Credentials, SSO, etc…Traçabilité des actions dans les journauxCompatibilité avec les lois de régulation ou règles métier: SOX, PCI, HIPAA, etc…

La Boite à outils Centrify Express

Une communauté (rien à voir avec l’anneau de pouvoir)

Téléchargement:http://centrifyexpress.cerberis.com

Centrify Express démo

« Magneto Serge »

Encore plus fort !

Les solutions commerciales apportent des éléments complémentaires:

Support technique professionnelGPOs sur les systèmes non-Microsoft (ADM/ADMX)Utilisation de Smartcard avec la CA MSFT + ADGestion du multiple-UIDsAudit complet des actions réalisées sur les systèmesIntégration native à FIMExtension aux applications Apache / SAP / J2EE /etc…NIS proxy & LDAP proxyRBAC unifié pour remplacer la grammaire SUDO

Encore plus fort !

Gestion du multiple-UIDs

Migration NIS vers Active Directory

Méthode de migration Impacts sur la DSI Retours d’expériences, cas clients

Méthode de migration

Définir les objectifs principaux: La sécurité ? Sécuriser le stockage ? Le SSO ? Le confort utilisateur ? La traçabilité des accès et des actions ? Les mots de passe ?Analyse de l’existant: étude des comptes locauxEtude des systèmes: tous PAM compatibles ?Définir les zones d’accès et les regroupements de machines par délégation administrativeLa gestion des UIDs multiples est bien souvent une obligation fonctionnelle pour permettre la migrationDoit on inclure les applications ? (SAP, J2EE, etc…)Déploiement de l’agent, migration des profils POSIX NIS et locaux dans AD, migration des tables NIS vers AD, activation des agents et modification du nsswitch.conf, activation des profils POSIX au fur et à mesure, nettoyage

Impacts sur la DSI

Collaboration accrue entre les administrateurs Linux/Unix et les administrateurs WindowsIl faut un « sponsor » fort pour mener le projetUne partie du helpdesk fusionne: ex: gestion des mots de passe pour un compte Linux ou WindowsHistoriquement, le système de provisionnement de l’organisation gère rarement les systèmes UNIX, c’est l’occasion de modifier les règlesAttention aux cadavres sortis des placards: très forte remise en cause des méthodes du « passé »Projet visible sur le confort des utilisateurs si il y a des Mac ou des stations Linux dans le projet

Retours d’expériences, cas clients

Société Générale: Contexte: Celui de l’affaire Kerviel / Une dizaine de

domaines NIS à migrer: un individu physique peut avoir jusqu’à 8 UIDs différents

Objectifs: Politique de sécurité des mots de passe commune sur les OS & besoins autour de SOX

Approche: Etude technique comparative: Méthode via un Méta-annuaire Méthode via un royaume Kerberos MIT en approbation

avec Active Directory Méthode via l’intégration des systèmes dans Active

Directory Choix technique, évaluation de deux offres

commerciales, sélection puis lancement du projet: environ 20 000 serveurs


Amadeus: Contexte: Gestion du système de réservation

pour les compagnies aériennes / plusieurs domaines NIS à intégrer

Objectifs: Valider les audits liés à PCI Approche: Etude technique comparative:

Méthode via une solution pilotée par TIM/TAM Méthode via l’intégration des systèmes dans Active

Directory Choix technique, évaluation de deux offres

commerciales, sélection puis lancement du projet: environ 2 000 serveurs et plusieurs dizaines de NAS NetApp intégrés via Kerberos et NFS V4


Geotherma: Contexte: besoin de gérer les Mac OSX des

commerciaux itinérants, population peu à l’aise avec l’informatique

Objectifs: Un seul mot de passe, faciliter les échanges via les serveurs de fichiers et d’impression entre le monde Windows et Mac OSX, bloquer par GPOs certaines options des portables Mac OSX

Approche: Etude technique comparative: Méthode via la solution Apple Open Directory Méthode via l’intégration des systèmes dans Active Directory

Choix technique, déploiement de la solution communautaire Centrify Express sur l’ensemble du parc de 65 Mac puis acquisition de la version commerciale pour 25 postes uniquement



http://blogs.technet.com/b/chrisdu/

http://www.identitycosmos.com

***

***


http://centrifyexpress.cerberis.com


http://www.microsoft.com/interop/

http://www.microsoft.com/france/interop/

palais des congrès Paris

7, 8 et 9 février 2012