Windows et linux: plus fort ensemble !
-
Upload
microsoft-technet-france -
Category
Technology
-
view
1.049 -
download
1
description
Transcript of Windows et linux: plus fort ensemble !
palais des congrès Paris
7, 8 et 9 février 2012
07/02/2012
Sylvain CortesPartners & Alliance ManagerCerberis
Windows et Linux:Plus forts ensemble !
Christophe DubosArchitect LeadMicrosoft
IntroductionHistorique de la collaboration entre les deux systèmes
Historique conjoint d'Unix et de WindowsL'interopérabilité & Microsoft
Présentation des systèmesStructure de Linux Unix et OSXModèle d'authentification et d'autorisation comparéNIS: beurk !!!
Intégration des systèmes Linux, Mac et Unix dans Active Directory
Contés et légendes inachevés …Bénéfices fonctionnelsLa Boite à outils gratuite Centrify ExpressEncore plus fort
Migration NIS vers Active DirectoryMéthode de migrationImpacts sur la DSIRetours d’expériences, cas clients
Pour aller plus loin…
Windows et Linux: Plus forts ensemble !
Pour ceux qui penseraient encore…
Microsoft et LinuxLes choses ont changé…
AIAG (Automotive Industry Action Group)AIIM (Association for Information and Image Management)ANSI (American National Standards Institute)ATIS (Alliance for Telecommunications Industry Solutions)ATSC (Advanced Television Systems Committee)CalConnect (The Calendaring & Scheduling Consortium)CCSA (China Communications Standards Association)CIPA (Camera Imaging Products Association)DAISY (Digital Accessible Information System Consortium)DDEX (Digital Data Exchange)DLNA (Digital Living Network Alliance)DMFT (Distributed Management Task Force)DSLF (DSL Forum)DTLA (Digital Transmission Licensing Administrator)DVB (Digital Video Broadcasting)DVD ForumECMA InternationalETSI (European Telecommunications Standardization Institute)The Green GridGSMA (the GSM Association)HGI (Home Gateway Initiative)HL7 (Health Level Seven)HR-XML ConsortiumICTSB (ICT Standards Board)IEEE (Institute of Electrical and Electronics Engineers)IETF (Internet Engineering Task Force)INCITS (InterNational Committee for Information Technology Standards)Inria CAML ConsortiumISAN (International Standard Audiovisual Number)ISO/IEC JTC 1 (International Organisation for Standardisation / International Electrotechnical Commission Joint Technical Committee)ISOC (Internet Society)ITU-T (International Telecommunications Union)MDTVA (Mobile DTV Alliance)NABA (North American Broadcasters Association)NFC (Near Field Communication Forum)OASIS (Organization for the Advancement of Structured Information Standards)OMA (Open Mobile Alliance)OSTA (Optical Storage Technology Association)PS/SC WorkgroupPCI-SIG (PCI Special Interest Group)PCMCIA (Personal Computer Memory Card International Association)Project InkwellPTSC (Packet Technologies and Systems Committee)PWG (The Printer Working Group)RosettaNetSDA (SD Card Association)SMPTE (Society of Motion Picture and Television Engineers)SNIA (Storage Networking Industry Association)TCG (Trusted Computing Group)TIA (Telecommunications Industry Association)UEFI (Unified Extensible Firmware Interface Forum)UPnP (Universal Plug and Play Forum)USB-IF (USB Implementers Forum)W3C (World Wide Web Consortium)Wi-Fi AllianceWiMAX ForumWiMedia AllianceWS-I (Web Services Interoperability Organization)
The All-In-One Code Framework Moonlight
Windows 7 USB/DVD Download ToolWindows Cache Extension 1.0 for PHP
SilverlightOData SDK for PHP
Microsoft Live Services Plug-in for MoodleHyper-V Linux Integration Components
Device Driver Code for Linux WinBioinfTools
.Net Micro Framework DevelopmentZentity
Article Authoring Add-in for Word 2007Creative Commons Add-in for Word 2007
Live Search Add-in for Mozilla FirefoxWeb Sandbox
PHP 5.3 on WindowsBing 404 for Wordpress
PST File Format SDKWordPress Plugin for Azure Storage Service
SQL Server Driver for PHP 2.0CoAppjQuery
Active DirectoryPour ceux qui ont hiberné les 12 dernières années…
Référentiel de sécurité interopérable
Utilisation des protocoles d’authentification Kerberos, LDAP, NIS et SAMLSupport CIFS, NFS, HTTP, RDP, RPCColonne
vertébrale de l’administration de Windows
Support des mode d’administration centralisés et déléguésUn élément clé du TCO du poste de travail
Support des besoins applicatifs
Adaptation aux besoins applicatifsDisponibilité et qualité de l’information accrues
Active DirectoryPour ceux qui ont hiberné ses 12 dernières années
Ressources
Kerberos
NIS/LDAP
SAML/X.509
Certificats
AuthentificationAutorisation
Active DirectoryRéférentiel de sécurité unique
Intranet
Extranet
Tickets Kerberos
Windows supporte plusieurs modèles d’authentification et un modèle d’autorisation uniqueActive Directory fournit un point focal d’administration, des services de certificats et un serveur de clés KerberosFacilite la liaison des Intranets & Extranets
GINA(login)
Kerberos(MIT de-facto)
Credential (ticket)cache
DefaultCredential (ticket)
cache
GSSAPISSPI
ApplicationApplication
•RFC 1510 – Kerberos V5•AS - Authentication Service•TGS - Ticket Granting Service
•MIT de-facto•CPW - Change password service
Serviceprincipalkey table
DefaultService principalkey table
LSA
kinit klistkdestroykpasswd
(MIT
de-f
acto
)
Login
pam_krb5
Active DirectoryAuthentification Kerberos en environnement hétérogène
IISISAPI
Extension
SSPI/Krb
AppService
GSS/Krb*
IE 5/6/7/8
SSPI/Krb
HTTP TCP
KerberosExemple d’utilisation - Interopérabilité app 3-Tier
*Generic Security Service (RFC 1509)
Hyper-VPour ceux qui penseraient encore qu’Hyper-V…
Applications
Windows Server 2008 R2
Windows Server 2000, 2003, 2008 et 2008 R2
Applications
VSC
Fournisseur:
Système
Hyper-V
Composantstiers
ComposantsHyper-V au seindu système
Hyper-V
CPU 64 bits et Intel VT ou AMD-V
Drivers
Applications
Kernel Mode: Ring 0
User Mode: Ring 3
Kernel
Emulation
Système non Hyper-V aware
VM Mgmt ServiceWMI Provider
VM Worker Processes
Hyper-VArchitecture
HypercallsMSRs APIC SchedulerMemory MgmtPartition MgmtVMX Root operation
SLES 10.x & 11, RHES 5.x & 6, CENTOS 5.x
Applications
VSCVMBus
WinHV
VSPVMBus
WinHV LinuxHV
VMBus
Collaboration avec NovellMicrosoft & Novell collaborent afin de délivrer un support natif de l’environnement de virtualisation Microsoft– Développement et support commun des composants
d’intégration (VMBUS) pour SLES 10 et 11– Equipe de support commune
• http://www.novell.com/products/server/virtualization.html • http://searchenterpriselinux.techtarget.com/
originalContent/0,289142,sid39_gci1243601,00.html
Collaboration avec Red Hat
Microsoft & RedHat collaborent afin de délivrer un support natif de l’environnement de virtualisation Microsoft– Intégration par Red Hat des des composants d’intégration
(VMBUS) dans RHEL 5.4+– Certification de Hyper-V pour RHEL 5.2 5.3, 5.4 et 6
• https://hardware.redhat.com/show.cgi?id=502242• http://www.redhat.com/promo/svvp/
Et les autres…
Microsoft fournit les composants d’intégration pour CentOS– La disponibilité du code source des composants
d’intégration sous licence GPL v2 et son intégration au noyau permet leur utilisation avec toute autre distribution utilisant un noyau 2.6.32+
System Center Operation ManagerPour ceux qui penseraient encore que System Center…
PowerShell
Console d’administration
Console d’administration Web
- Architecture
Librairie
client WinR
M
Health
Service
Serveur d'administration
Operations Manager
Serveur Linux/UNIX géré
OpsMgr agentfor UNIX/Linux
(OpenPegasus CIMOM
Server + providers)
ssh connection
WS-Man request
WS-Man response
AgentMaintenanceActions
HTTPS transport
Port1270
WinRM = Windows Remote ManagementWS-Man = Web Service Management protocolsshd = UNIX/Linux secure shell daemon
- Architecture Unix / Linux
Daemon
sshd
MP
Agent Operations Manager pour
Linux/Unix(OpenPegasus
CIMOMServer +
Providers)
MPMP
Library
client ssh
Config
Service
SDK
HTTPS transport
- Plates-formes supportées
SCOM 2007 R2 SCOM 2012Windows 2000 Server
Windows Server 2003 / R2
Windows Server 2008 / R2
Windows 2000/XP/Vista/7
Linux SUSE Enterprise 9 (x86) & 10 & 11 (x86/x64)
Linux Redhat Enterprise 4, 5 & 6 (x86/x64)
AIX 5.3 & 6.1 (POWER)
HP-UX 11iv2 & 11iv3 (PA-RISC/IA64)
Solaris 8 & 9 (SPARC)
Solaris 10 (x86/SPARC)
Présentation des systèmes
Historique de Linux, Unix et OSX Modèle d'authentification et
d'autorisation comparé NIS: beurk !
Historique
Source: Wikipédia
Comparaison des modèles
Windows Linux / Unix
Mécanismes d’authentification
UserID-PasswordSmartCardAutres
UserID-PasswordSmartcard (MacOS/Linux)Autres
Autorités pour l’authentification
Autorité localeAutorité centralisée (Active Directory)
Autorité locale (Passwd/Shadow)Autorité centralisée (NIS, NIS+, LDAP, Kerberos)
Protocole pour l’authentification
Plain UserID-PasswordNTLMKerberos V5
Plain UserID-PasswordFonction HashAutres (Kerberos notamment) en utilisant les modules PAM
Identifiant principal de sécurité
SIDs UIDs, GIDs
UserID Non case sensitiveNe peut pas être le même que le nom d’un groupe
Case sensitivePeut être le même que celui d’un groupe
NIS: Beurk !
Utiliser NIS, c’est comme croiser les effluves: c’est mal !
NIS: Beurk !
En fait NIS n’est pas un système centralisé d’authentification -> c’est un annuaire de pages jaunes (ypcat = yellow pages !)NIS contient un hash du password qui est envoyé au client NIS en clair sur le réseau, c’est le client NIS lui-même qui compare le hash !
Extrait de man rpc.yppasswdd
« As listed in the yppasswd.x protocol definition, the YPPASSWDPROC_UPDATE procedure takes two arguments: a V7-style passwd structure containing updated user information and the user’s existing unencrypted (cleartext) password. Since rpc.yppasswdd is supposed to handle update requests from remote NIS client machines, this means that yppasswd and similar client programs will in fact be transmitting users’ cleartext passwords over the network. »
NIS: Beurk !
Donc: L’utilisation de NIS est une
très grosse faille de sécurité Récupérer un « password » sur
le réseau prend entre 5min et qq heures (tuto à venir)
Les entreprises doivent éliminer NIS de leur urbanisme informatique
De plus: NIS n’est plus supporté par
SUN NIS+ n’a jamais vraiment été
implémenté
Il faut migrer
Intégration des systèmes Linux, Mac et Unix dans Active Directory Contés et légendes inachevés … Bénéfices fonctionnels La Boite à outils gratuite Centrify
Express Encore plus fort !
Contes et légendes inachevés …
Il était une fois…Combattre les préjugés… L’informatique est un monde d’intégristes, chacun
pense que son « dieu » est le meilleur… Mieux vaut utiliser le meilleur des 2, 3 ou 4 mondes… Difficile d’être « interopérable » sans ouverture
d’esprit
Une histoire à écrire et des projets passionnants Beaucoup de technique Mais aussi, des processus, la connexion avec le
système de gestion des identités ou de provisionnement de l’organisation, une demande croissante des clients…
Un classique: intégration des systèmes Linux/Unix dans AD
Contes et légendes inachevés …
Intégrer les systèmes dans AD, un coup en 3 bandes:
1 1 111 1
23
Comment ? À la main: arrrrggghhh ! Solutions communautaires Solutions commerciales: Quest, Centrify et
Likewise/BT
Bénéfices fonctionnels
Un annuaire unique: pas de synchronisation !Sécurité décuplée: politique de mot de passe complexe et unifiée-centralisée, Kerberos, etc…Comme un Windows ! Un seul compte utilisateur, un seul mot de passe, topologie Active Directory, Cache Credentials, SSO, etc…Traçabilité des actions dans les journauxCompatibilité avec les lois de régulation ou règles métier: SOX, PCI, HIPAA, etc…
La Boite à outils Centrify Express
Une communauté (rien à voir avec l’anneau de pouvoir)
Téléchargement:http://centrifyexpress.cerberis.com
Centrify Express démo
« Magneto Serge »
Encore plus fort !
Les solutions commerciales apportent des éléments complémentaires:
Support technique professionnelGPOs sur les systèmes non-Microsoft (ADM/ADMX)Utilisation de Smartcard avec la CA MSFT + ADGestion du multiple-UIDsAudit complet des actions réalisées sur les systèmesIntégration native à FIMExtension aux applications Apache / SAP / J2EE /etc…NIS proxy & LDAP proxyRBAC unifié pour remplacer la grammaire SUDO
Encore plus fort !
Gestion du multiple-UIDs
Migration NIS vers Active Directory
Méthode de migration Impacts sur la DSI Retours d’expériences, cas clients
Méthode de migration
Définir les objectifs principaux: La sécurité ? Sécuriser le stockage ? Le SSO ? Le confort utilisateur ? La traçabilité des accès et des actions ? Les mots de passe ?Analyse de l’existant: étude des comptes locauxEtude des systèmes: tous PAM compatibles ?Définir les zones d’accès et les regroupements de machines par délégation administrativeLa gestion des UIDs multiples est bien souvent une obligation fonctionnelle pour permettre la migrationDoit on inclure les applications ? (SAP, J2EE, etc…)Déploiement de l’agent, migration des profils POSIX NIS et locaux dans AD, migration des tables NIS vers AD, activation des agents et modification du nsswitch.conf, activation des profils POSIX au fur et à mesure, nettoyage
Impacts sur la DSI
Collaboration accrue entre les administrateurs Linux/Unix et les administrateurs WindowsIl faut un « sponsor » fort pour mener le projetUne partie du helpdesk fusionne: ex: gestion des mots de passe pour un compte Linux ou WindowsHistoriquement, le système de provisionnement de l’organisation gère rarement les systèmes UNIX, c’est l’occasion de modifier les règlesAttention aux cadavres sortis des placards: très forte remise en cause des méthodes du « passé »Projet visible sur le confort des utilisateurs si il y a des Mac ou des stations Linux dans le projet
Retours d’expériences, cas clients
Société Générale: Contexte: Celui de l’affaire Kerviel / Une dizaine de
domaines NIS à migrer: un individu physique peut avoir jusqu’à 8 UIDs différents
Objectifs: Politique de sécurité des mots de passe commune sur les OS & besoins autour de SOX
Approche: Etude technique comparative: Méthode via un Méta-annuaire Méthode via un royaume Kerberos MIT en approbation
avec Active Directory Méthode via l’intégration des systèmes dans Active
Directory Choix technique, évaluation de deux offres
commerciales, sélection puis lancement du projet: environ 20 000 serveurs
Retours d’expériences, cas clients
Amadeus: Contexte: Gestion du système de réservation
pour les compagnies aériennes / plusieurs domaines NIS à intégrer
Objectifs: Valider les audits liés à PCI Approche: Etude technique comparative:
Méthode via une solution pilotée par TIM/TAM Méthode via l’intégration des systèmes dans Active
Directory Choix technique, évaluation de deux offres
commerciales, sélection puis lancement du projet: environ 2 000 serveurs et plusieurs dizaines de NAS NetApp intégrés via Kerberos et NFS V4
Retours d’expériences, cas clients
Geotherma: Contexte: besoin de gérer les Mac OSX des
commerciaux itinérants, population peu à l’aise avec l’informatique
Objectifs: Un seul mot de passe, faciliter les échanges via les serveurs de fichiers et d’impression entre le monde Windows et Mac OSX, bloquer par GPOs certaines options des portables Mac OSX
Approche: Etude technique comparative: Méthode via la solution Apple Open Directory Méthode via l’intégration des systèmes dans Active Directory
Choix technique, déploiement de la solution communautaire Centrify Express sur l’ensemble du parc de 65 Mac puis acquisition de la version commerciale pour 25 postes uniquement
Pour aller plus loin…
Pour aller plus loin…
http://blogs.technet.com/b/chrisdu/
http://www.identitycosmos.com
***
***
Pour aller plus loin…
http://centrifyexpress.cerberis.com
Pour aller plus loin…
http://www.microsoft.com/interop/
http://www.microsoft.com/france/interop/
palais des congrès Paris
7, 8 et 9 février 2012