14.7 Authentification et sécurité

Le protocole SSL (Secure Socket Layer) 3.1 était à l'origine diffusé via Netscape. Le groupe de travail IETF prend possession de cette norme en mettant en oeuvre TLS (Transport Layer Security) 1.0. TLS 1.0 assure une compatibilité avec les versions précédentes de SSLv2 et v3.

TLS permet de coder les connexions dans la couche Session. Il n'est pas nécessaire d'utiliser un port codé pour obtenir une connexion TLS. Il existe une autre manière : le port 636 est le port TLS implicite et le serveur LDAP lance automatiquement une session TLS lorsqu'un client se connecte au port sécurisé.

Un client peut également se connecter au port en texte clair et utiliser ultérieurement TLS pour passer d'une connexion en clair à une connexion codée.

Pour exiger TLS en cas de liaison simple avec mot de passe :

La fonction LDAP étendue STARTTLS permet de passer d'une connexion en clair à une connexion codée. Cette mise à niveau constituait une nouveauté dans eDirectory 8.7.

Lorsque vous employez une connexion codée, c'est la totalité du paquet qui est codée. De ce fait, les analyseurs réseau (ou sniffers) sont dans l'impossibilité de diagnostiquer les données envoyées sur le réseau.

Vous arrêtez TLS pour passer d'une session codée à une session en clair. Avec les connexions en clair, la surcharge est moindre du fait qu'il n'est pas nécessaire de coder et décoder les données destinées au client et provenant de celui-ci. Les données sont donc acheminées plus rapidement. À ce stade, la connexion est rétrogradée au statut Anonymous (anonyme).

Pour vous authentifier, vous utilisez l'opération de liaison LDAP. La liaison établit votre ID en fonction des références que vous avez fournies. Lorsque vous arrêtez TLS, le service LDAP supprime les authentifications préalablement établies. Votre état d'authentification devient alors Anonyme. Par conséquent, pour passer à un autre état qu'Anonyme, vous devez de nouveau vous authentifier.

Lorsqu'une instance de session TLS est créée, un processus de reconnaissance mutuelle intervient. Le serveur et le client échangent des données. Le serveur détermine la façon dont cette reconnaissance se produit. Pour prouver qu'il est le serveur légitime, le serveur envoie toujours son certificat au client. Cette reconnaissance garantit au client que le serveur est bien celui prévu.

Pour exiger que le client établisse également sa légitimité, vous définissez une valeur sur le serveur. Il s'agit de l'attribut ldapTLSVerifyClientCertificate.

Pour que le serveur puisse prendre en charge TLS, vous devez lui fournir un certificat X.509 qu'il utilisera pour établir sa légitimité.

Ce certificat est fourni automatiquement pendant l'installation d'eDirectory. C'est au cours de cette installation que des objets matériels clés sont créés dans le cadre de l'infrastructure de clés publiques (PKI) et des services NMAS (NetIQ Modular Authentication Services). La figure suivante présente ces objets dans iManager :

L'installation associe automatiquement l'un de ces certificats au serveur LDAP. Dans NetIQ iManager, l'onglet Connexions de l'objet Serveur LDAP affiche un DN. Il représente le certificat X.509. Le champ Certificat du serveur de la figure suivante illustre ce DN.

Dans NetIQ iManager, vous pouvez parcourir le système jusqu'aux certificats d'objet Matériel clé (KMO). La liste déroulante vous permet de changer de certificat. Le certificat DNS ou IP fonctionne.

Dans le cadre de la validation, le serveur doit contrôler le nom (adresse IP matérielle ou DN) qui figure dans le certificat.

Pour établir une connexion TLS, vérifiez ce qui suit :

Une fois le serveur LDAP reconfiguré, rafraîchissez-le. Reportez-vous à la Section 14.6, Rafraîchissement du serveur LDAP. iManager rafraîchit automatiquement le serveur.

Un client LDAP est une application (par exemple, Internet Explorer ou ICE). Il doit être en mesure de comprendre l'autorité de certification qu'emploie le serveur LDAP.

Lorsqu'un serveur est ajouté dans une arborescence eDirectory, l'installation crée par défaut :

Le serveur LDAP emploie ce fournisseur de certificat.

Le client doit importer un certificat dans lequel il a confiance, afin de valider la CA de l'arborescence que le serveur LDAP affirme utiliser. Cette importation est impérative pour que, lorsque le serveur envoie son certificat, le client puisse le valider et vérifier l'authenticité du serveur.

Pour pouvoir établir une connexion sécurisée, le client doit être configuré avant la connexion.

La méthode d'importation du certificat par le client diffère en fonction du type d'application utilisée. Chaque application doit avoir une méthode pour importer un certificat. Internet Explorer en a une et ICE, une autre. Ce sont des clients LDAP différents. Chaque client possède sa méthode pour localiser les certificats dans lesquels il a confiance.

Vous pouvez exporter automatiquement la racine approuvée tout en acceptant le serveur de certificats.

Pour exporter manuellement la racine approuvée, reportez-vous à la section Exportation d'un certificat de racine approuvée ou d'un certificat de clé publique.

La fonctionnalité d'exportation crée le fichier indiqué. Bien qu'il soit possible de modifier le nom du fichier, il peut s'avérer utile de laisser « DNS » ou « IP » dans le nom, de manière à pouvoir reconnaître le type d'objet Matériel. Laissez également le nom du serveur.

Installez l'autorité de certification auto-assignée dans tous les navigateurs établissant des connexions LDAP sécurisées avec eDirectory.

Si vous utilisez le certificat avec des produits Microsoft (par exemple, Internet Explorer), conservez l'extension .der.

Si des applications ou des SDK requièrent le certificat, importez-le dans une base de données de certificats.

Internet Explorer 5 exporte automatiquement les certificats de racine lors d'une mise à jour de la base de registres. L'extension classique .X509 utilisée par Microsoft est indispensable.

L'authentification mutuelle exige une session TLS et un certificat client. Le serveur et le client doivent l'un et l'autre vérifier que leur correspondant est bien l'objet qu'il prétend être. Le certificat client a été validé au niveau de la couche Transport. Toutefois, au niveau de la couche du protocole LDAP, le client est anonyme jusqu'à ce qu'il effectue une requête de liaison LDAP.

À ce stade, le client a établi son authenticité vis-à-vis du serveur, mais pas de LDAP. Si un client souhaite s'authentifier à l'aide de l'identité mentionnée dans le certificat client, il exécute une opération de liaison en utilisant le mécanisme SASL EXTERNAL.

Pendant l'installation d'eDirectory, le serveur LDAP reçoit une autorité de certification (CA) de l'arborescence. L'objet Matériel clé LDAP repose sur cette CA. Tout certificat qu'un client envoie au serveur LDAP doit pouvoir être validé via cette CA de l'arborescence.

Les services LDAP pour eDirectory prennent en charge plusieurs autorités de certification. La CA de l'arborescence de NetIQ n'est qu'une autorité de certification parmi d'autres. Le serveur LDAP peut en avoir d'autres (par exemple VeriSign*, une société externe). Ce type d'autorité de certification supplémentaire est également une racine approuvée.

Pour configurer le serveur LDAP afin qu'il utilise plusieurs autorités de certification, définissez l'attribut ldapTLSTrustedRootContainer sur l'objet Serveur LDAP. En faisant référence à plusieurs autorités de certification, le serveur LDAP permet à un client d'employer un certificat d'une autorité externe.

NetIQ eDirectory affecte l'identité [Public] aux utilisateurs qui ne sont pas authentifiés. Dans le protocole LDAP, un utilisateur non authentifié est un utilisateur anonyme. Par défaut, le serveur LDAP accorde aux utilisateurs anonymes les droits d'une identité [Public]. Grâce à ces droits, les utilisateurs eDirectory non authentifiés et les utilisateurs anonymes de LDAP peuvent parcourir eDirectory en utilisant les droits [Public].

Le serveur LDAP permet également aux utilisateurs anonymes de se servir des droits d'un autre utilisateur proxy. La valeur correspondante est située dans l'objet Groupe LDAP. Dans NetIQ iManager, cette valeur est le champ Utilisateur proxy. La figure suivante illustre ce champ dans NetIQ iManager.

L'utilisateur proxy est un nom distinctif. Vous pouvez lui accorder d'autres droits que ceux dont bénéficie l'utilisateur Public. Avec l'utilisateur proxy, vous pouvez contrôler l'accès d'un client LDAP anonyme à des conteneurs spécifiques de l'arborescence eDirectory.

Vous pouvez donc créer un utilisateur proxy LDAP et lui affecter des droits spécifiques sur le répertoire DataSure. Vous indiquez le Nom distinctif du proxy dans l'objet Groupe LDAP, et rafraîchissez le serveur. Le serveur emploie alors automatiquement les droits de l'utilisateur proxy pour tout utilisateur anonyme nouveau ou existant.

SASL (Simple Authentication and Security Layer) est un mécanisme permettant d'ajouter des services de sécurité des données et de prise en charge de l'authentification aux protocoles basés sur les connexions via différents mécanismes. Il présente une interface bien formée entre les protocoles et les mécanismes. En outre, il fournit un protocole pour la sécurisation des échanges de protocole suivants au sein d'une couche de sécurité des données, et garantit l'intégrité et la confidentialité des données ainsi que d'autres services.

SASL est conçu pour permettre à de nouveaux protocoles de réutiliser les mécanismes existants sans modifier ces derniers et aussi pour permettre aux protocoles existants, sans les modifier, d'utiliser de nouveaux mécanismes. Pour utiliser SASL, chaque protocole propose une méthode pour identifier quel mécanisme utiliser, une méthode pour échanger des défis serveur et des réponses client spécifiques du mécanisme et une méthode pour communiquer le résultat de l'échange d'authentification.

Les mécanismes SASL sont nommés par des chaînes, composées de lettres majuscules, de chiffres, de traits d'union et de traits de soulignement. Les noms des mécanismes SASL doivent être enregistrés auprès de l'IANA (Internet Assigned Numbers Authority).

Si un serveur prend en charge le mécanisme demandé, il lance un échange de protocole d'authentification. Il s'agit d'une série de défis serveur et de réponses client qui sont propres au mécanisme demandé. Au cours de l'échange de protocole d'authentification, le mécanisme effectue une authentification, transmet une identité d'autorisation du client au serveur et négocie l'utilisation d'une couche de sécurité propre au mécanisme. Si l'utilisation d'une couche de sécurité est acceptée, le mécanisme doit également définir ou négocier la taille maximale du tampon de texte chiffré que chaque côté est capable de recevoir.

Le serveur LDAP gère les mécanismes suivants :

Ces mécanismes sont déployés sur le serveur pendant une installation ou une mise à niveau d'eDirectory. Cependant, sous Linux, l'utilitaire nmasinst doit être utilisé pour installer les méthodes NMAS.

Comme indiqué ci-dessus, le serveur LDAP interroge SASL pour connaître les mécanismes installés lorsqu'il reçoit sa configuration, et prend automatiquement en charge les éléments installés. Le serveur LDAP signale également les mécanismes SASL pris en charge dans son entrée rootDSE à l'aide de l'attribut supportedSASLMechanisms. Étant donné que ce sont les mécanismes enregistrés, les conventions de dénomination correctes doivent être utilisées pour les utiliser.

Le protocole de liaison LDAP autorise le client à utiliser différents mécanismes SASL pour l'authentification. Lorsque l'application utilise l'API de liaison LDAP, elle doit choisir soit la liaison simple et fournir un DN et un mot de passe, soit la liaison SASL et indiquer le nom du mécanisme SASL ainsi que les références SASL associées exigées par le mécanisme.

La connexion NMAS est activée par défaut dans eDirectory. Pour désactiver la connexion NMAS, définissez NDSD_TRY_NMASLOGIN_FIRST sur false.