séminaire sécurité linagora 2008

LINAGORA

27 rue de Berri75008 PARIS

Tél. : 01 58 18 68 28Fax : 01 58 18 68 29

www.linagora.com | www.08000linux.com

UNE MATINEE POUR COMPRENDREL'Open Source au service de la Sécurité

PROGRAMMEMATINEE POUR COMPRENDRE

L'Open Source au service de la Sécurité

4 décembre 2008

Intervenants :- Yannick QUENEC'HDU, Responsable département sécurité, Linagora- Clément OUDOT, Architecte, Linagora

http://www.linagora.com/

http://www.08000linux.com/

LINAGORA


Tél. : 01 58 18 68 28Fax : 01 58 18 68 29



Programme :A partir de 08H30 Accueil des participants – Accueil café

09h00 – 09h30 LinPKI, l'offre de confiance numérique en Open SourcePar Yannick QUENEC'HDU, Responsable département sécurité, Linagora

09h30 – 10h30 SSO, l'authentification unique par l'exemplePar Clément OUDOT, Architecte, Linagora

10h30 – 11h00 Pause

11h00 – 11h30 Focus sur les projet LinSign et LinPKIPar Yannick QUENEC'HDU, Responsable département sécurité, Linagora

11h30-12h00 Retour d'expérience.Par Yannick QUENEC'HDU, Responsable département sécurité, Linagora




PRESENTATION

Contact : LINAGORA – Siège social27 rue de Berri75008 Paris – FranceTél. : +33 1 58 18 68 28Fax : +33 1 58 18 68 29Mail : [email protected]

Réussir ensemble les grands projets du Libre

Qui sommes-nous ? 2

LINAGORA est l'une des sociétés les plus importantes sur le marché des logiciels libres, au niveau mondial.

+ Leader dans l'édition de logiciels Open Source

+ Plus de 150 experts à votre service

+ Une présence en France (Paris, Lyon, Toulouse et Marseille), en

Belgique et aux Etats-Unis

+ Plus de 500 clients dont plus de 60% de très grands comptes

+ Un réseau important de partenaires

+ Un fort soutien au Libre

San Francisco

Bruxelles

Implantations 3

Paris

Lyon

Toulouse

Marseille

LINAGORA est un éditeur de logiciel libre. Sa vocation est : + De développer avec ses équipes de R&D des Logiciels Libres

+ D'être l'intermédiaire de confiance entre les communautés et ses clients

+ De vendre une Open Source Software Assurance

+ Et enfin d'être un expert de l'Open Source capable de mener des grands

projets de mise en œuvre de solution libre

LINAGORA : Editeur Orienté Services 4

La stratégie du groupe dans l'édition de logiciels s'articule autour de 4 axes : + Outils de messagerie et de travail collaboratif avec OBM : obm.org

+ Applications de gestion et de fédération des identités avec LinID:

linid.org

+ Solutions de sécurité avec LinPKI : linpki.org

+ Solutions de Service Management avec LinSM

Edition de logiciels 5

http://www.obm.org/

Une gamme de services complète à partir d'un guichet unique pour sécuriser votre SI à composantes Open Source. La mission de l'OSSA est de vous fournir une expertise personnalisée sur vos logiciels libres.

Avec un engagement de résultats, une équipe d'experts vous assiste pour :+ la résolution des anomalies rencontrées

+ l'intégration des correctifs aux communautés concernées

+ des paramétrages complexes

+ l'administration des logiciels supportés

+ leur intégration dans votre SI

L'OSSA, l'offre logicielle propre au Libre 6

Services professionnels 7

Cette offre produit est complétée par une gamme de services professionnels et de formations visant à accompagner les grands utilisateurs de logiciels libres dans le projet de transformation de leur SI.

Supervision

Annuaire

CMS

Base de données

Sécurité

Bureautique

J2EE

Travail collaboratif

2008 2009 2010

15 M€

25 M€

50 M€

LINAGORA SA au capital social de 2.257.140 Euros

CA en K Euros

18

Effectifs

2002 2003 2004 2006 2007 2008*2005

30 3745

55

110

200

Chiffres clés 8

Répartition du CA par pôle Répartition du CA par secteur

Chiffres clés 9

EditionOpen Source

25 %

OSSA25 %

Formations10 %

Services professionnels40 %

Secteur public50 %

Secteur privé50 %

Nos références – Secteur public

+ APHP

+ Armée de l'Air

+ Assemblée Nationale

+ Cert Europe

+ CHU de Brest

+ Conseil Général des Bouches du Rhône

+ Conseil Général de Haute Garonne

+ Conseil Général de Moselle

+ Conseil Général Tarn et Garonne

+ Gendarmerie Nationale

+ Grand Toulouse

+ HLM des Châlets

+ Inserm

+ Ministère de l'Agriculture

+ Ministère de la Défense

+ Ministère de l'Economie, des Finances et de

l'Industrie

+ Ministère de l'Intérieur

+ La Poste

+ RATP

+ SDIS

+ Université Pierre Mendes France

+ Ville d'Issy les Moulineaux

10

11Nos références – Secteur privé

+ Adecco

+ Afnor

+ Alcatel

+ Aldebaran

+ Air France

+ Areva

+ CinReal on line

+ CLS

+ Docubase

+ Fnac.com

+ France 24

+ GIE Cartes bancaires

+ ICDC

+ Hispano Suiza

+ Macif

+ Magnus

+ Norbert d'Entressangle

+ Orange

+ Paru Vendu

+ Prémaliance

+ Sagem Communication

+ Sanofi Aventis

+ Société Générale

+ Telemarket

www.linagora.comTél. : +33 1 58 18 68 28

[email protected]

Pour plus d'informations :


LINAGORA


Tél. : 01 58 18 68 28Fax : 01 58 18 68 29



LinPKI, l'offre de confiance numériqueen Open Source

Yannick QUENEC'HDUResponsable département sécurité[email protected]



mailto:[email protected]

Groupe

1515

Le Groupe LINAGORA

San Francisco

Bruxelles

Paris

Toulouse

Lyon

Marseille

Groupe de plus de 160 collaborateurs, CA 2008, 12 M€

Gamme complète de logiciels et services unique

Une couverture nationale (Paris, Lyon, Toulouse, Marseille) et des implantations internationales (Belgique et USA – San Francisco

Groupe

1616

Notre métier

Edition -LinPKI : Suite applicative de sécurité-OBM : Outils de messagerie et de gestion collaborative-LinID : Gestion et de Fédération des identités-LinSM : Solution de service de Management

OSSA-Support des applications du groupe LINAGORA-Catalogue complet de plus de 200 logiciels libres, prêts à l'industrialisation, sur une plate-forme unique : le 08000LINUX.com.

Services Professionnels-LCS – Linagora Consulting Service-LBS – Linagora Build Service-LTS – Linagora Training Service

Groupe

1717

Quelques références

Groupe

1818

Le projet LinPKI

Groupe

1919

Composition (1/2)

PKI -C’est l’application de gestion du cycle de vie des autorités de certification et des certificats d’entités. Elle se caractérise par une approche modulaire et une simplicité d’utilisation.

Gestionnaire de carte à puce-Cette application est proposée en complément de l’offre de PKI. Elle fournit les services de gestion des cartes à puce et des tokens USB.

Signature électronique-Signature client -Ce composant permet d’intégrer la signature électronique au niveau du poste du client. Il s’intègre à vos applications Web , dans les clients lourds ou tout simplement sur le poste de travail.-Serveur de signature-Serveur de signature pour signer vos documents, données avant archivage dans un référentiel de données

Groupe

2020

Composition (2/2)

Horodatage-Ce service permet d’horodater vos signatures électroniques, vos requêtes, vos données. Il est conforme aux standards sur l’horodatage. Il peut être utilisé en conjonction avec les applications LinPKI pour sécuriser les échanges.

Partage de fichier sécurité✔ Dernier né des applications de la suite LinPKI, Linshare est une application de

partage de fichier sécurisée. Elle permet de déposer et de partager des fichiers en interne de l'entreprise ou vers des personnes extérieures. Comprend le chiffrement et le déchiffrement asymétrique et symétrique et la signature électronique.

Groupe

2121

✔PKI✔Infrastructure à clés

publiques

Groupe

2222

PKI - Principe

L'offre de PKI de LINAGORA comprend l'application EJBCA pour les opérations de gestion de l'autorité de certification et LinPKI pour les autres opérations (gestion du cycle de vie des certificats d'entité, administration, etc.)

✔ LinPKI fournit à la fois les fonctions classiques que l’on retrouve dans la plupart des PKI du marché, mais avec une approche orientée vers la simplicité d'utilisation pour les non-initiés à la PKI✔ L'application a été pensée pour simplifier la gestion des certificats pour

l'utilisateur final et l'installation des certificats sur le poste de travail ✔ LinPKI un générateur de vos besoins

✔ LinPKI a été construit comme un générateur, permettant de répondre rapidement et sans développement complémentaire aux contraintes liées aux certificats ou au SI de l’entreprise. Le générateur permet de créer des profils de certificat, des formats de requête, des cinématiques de gestion du cycle de vie des certifications, de personnaliser des cartes à puce ou de dongle USB.

Groupe

2323

PKI – Infrastructure à clés publiques

L'infrastructure de gestion de clef LINPKI se différencie des autres solutions de PKI sur les points suivants : -Solution distribuée en Open Source (licence OSL)-Processus automatique d’identification des utilisateurs dans l’environnement de la PKI-Simplicité des interfaces et des fonctions pour les utilisateurs non initiés au PKI-Refonte des composants Windows pour faciliter l’intégration des certificats dans les environnements Microsoft -Moteur de cinématique graphique pour adapter les cinématiques aux besoins des entreprises-Outils d’intégration des gestionnaires d’identités pour la gestion des droits sur l’entité d’enrôlement (SSO, IAM, etc.) -Provisonning d’identités depuis des référentiels de données -Interface personnalisable (texte, feuille de style, images, etc.)

Groupe

2424

PKI

Moteur de cinématique -Exemple

Groupe

2525

Interface LINPKI

Exemple, le reporting

Groupe

2626

PKI – Composants complémentaires

L'infrastructure de gestion de clef propose les services complémentaires suivants :-Un serveur de validation OCSP (Online certificate status Protocole) :-Déploiement intégré dans la PKI ou externe

✔ Un service de validation et d'appel WebService en (XML Key Management Service) :✔ Protocole standardisé en XML pour la validation et les opérations de gestion de

vie des certificats (demande, révocation, récupération de clés, etc.)-Composants annexes pour simplifier les déploiements de certificats sur les postes Windows, tels que la refonte des composants d'installation des PKCS12, l'auto installation des certificats avec Active Directory.

Groupe

2727

✔La ✔signature

✔électronique

Groupe

2828

Signature client

Le client de signature a pour objectif de permettre la signature depuis le poste du client-Ce composant est conçu dans un esprit de généricité et de modularité vis-à-vis des applications. il peut-être mis en œuvre de 3 façons différentes-Service : Il s’agit de mettre en place ce composant en tant que service commun exploité et autonome. Ce composant est alors vu comme un service global défini par ses interfaces publiques (WebService)-Produit : ce composant est utilisé comme un produit prêt à l'emploi.-Boîte à outils : Il s’agit pour un projet applicatif de pouvoir s’approprier ce composant en intégrant, voire en les adaptant à ses propres besoins dans le cadre du développement d’une l’application.

Ce dispositif de signature fonctionne selon plusieurs modes :-En mode connecté sur les navigateurs standards du marché. -En mode autonome sur un système d’exploitation ou des clients lourds, tels que OpenOffice.-En mode service embarqué dans des applications métiers.

En cours de certification Critères Commun EAL 3+

Groupe

2929

Signature Serveur

SignServer est un serveur de signature modulaire distribué sous licence OpenSource. Il est développé en Java/J2EE. SignServer est le premier serveur autonome et industriel distribué sous licence OpenSourceSignerServer est un serveur de signature multi-protocoles, c’est-à-dire qu’il peut-être appelé comme serveur d’horodatage (RFC3161), serveur de signature XML ( Xades T, C, X, X-L et XMLDsign), serveur pour la signature des passeports de nouvelle génération (MRTD – Machine Readable Travel Documents), pour la signature de document OpenOffice et PDF.

En complément du serveur de signature, SignServer offre les fonctionnalités :✔-Protection des courriels en conjonction avec le serveur de courriel permet l’authentification, le chiffrement, la signature et l’horodatage des messages-Validation des certificats numériques-Moteur pour créer des scénarios d’autorisation et de validation-Gestion de groupe de clefs symétriques et asymétriques

Groupe

3030

✔CMS✔Card Management

✔System

Groupe

3131

CMS – Card Management Service

Le gestionnaire de support cryptographique permet de gérer le cycle de vie complet de cartes à puces dans une société ou organisation. ToLiMA est la première application composée de modules qui utilise le standard HTMF – Hard Token Management FrameWork et le standard MiFair pour la gestion des imprimantes de cartes à puces.✔Les fonctionnalités non exhaustives de la suite applicative ToLiMa sont : -Émission de carte : temporaire, ordinaire, projet-Déblocage de code PIN sans exposer le code PUK pour les utilisateurs et les administrateurs-Révocation de carte-Renouvellement de carte-Activation et désactivation de carte-Il est aussi possible d’émettre et de bloquer des cartes sur la base d’un système d’approbation. -Personnalisation graphique et électronique✔

Groupe

3232

CMS – Card Management Service

Analyseur automatique de carte, permet d’appliquer des scénarios automatiquement lors de l’insertion de carte à puce. Les différences essentiellement entre ToLIMa et les autres CMS du marché, porte sur 5 grands aspects :

✔

-Solution totalement Open Source ;-Respect des standards HTMF et Mifair;-Gestion automatisée du cycle de vie des certificats ;-Gestionnaire de Workflow ;-Indépendant des systèmes d’exploitation ;-Ne nécessite aucun déploiement sur les postes des usagers.

✔

Groupe

3333

Serveur de fichier sécurisé

✔ Spécialement conçue pour sécuriser les échanges dématérialisés des entreprises qui placent la confidentialité et la traçabilité au cœur de leurs problématiques d’échanges, LinShare apporte une solution simple à mettre en œuvre et totalement intuitive. L'ergonomie est améliorée par la technologie Web 2.0.

✔ Partage de fichier entre des collaborateurs abonné à l'application ;✔ Partage de fichier avec des personnes externes ;✔ Partage de fichier de personnes externe vers des abonnés ;✔ Dépôt/suppression de fichiers ;✔ Mise en place de partage de fichiers vers un ou plusieurs utilisateurs (abonné et externe) ;✔ Chiffrement de fichier (clé symétrique) vers des collaborateurs externes ou internes ;✔ Chiffrement de fichier par certificat numérique vers des collaborateurs externes ou internes ;✔ Signature électronique des documents ;✔ Un abonné peur Créer/supprimer de compte externe temporaire ;✔ État d’un utilisateur externe (accès, pas d'accès, retrait des fichiers, etc.) ;✔ Notification (par courriel) à l'attention de collaborateurs externe pour lui adresser l'URL d'accès, son couple

identifiant/mot de passe ;✔ LinShare peut-être couplé avec Thunderbird et Outlook.

✔

Groupe

3434

Quelques références

Quelques clients français :

-Direction générale de l’armement-Gendarmerie Nationale-S ociété Générale-GIE Cartes Bancaires-Ministère des Finances

Internationale, plus de 6000 références à travers le monde, donc

-General Motors (US A)

G

-AT&T (US A)

A

-ZhuHai Local Taxation Bureau (Chine)

Z

-Grupo S afa (Espagne)

G

-MediaCert (Portugal)

M

-Evaltec (Brésil)

)

-National S wedish Police Board (S uède)

N

LINAGORA


Tél. : 01 58 18 68 28Fax : 01 58 18 68 29



Merci de votre attention



LINAGORA


Tél. : 01 58 18 68 28Fax : 01 58 18 68 29



SSOl’authentification unique par

l’exempleClément OUDOT

[email protected]



mailto:[email protected]

Groupe

3737

Sommaire

✔ Présentation des systèmes SSO

✔ LinID Access Manager (LemonLDAP::NG)

✔ Vers la fédération des identités

Groupe

3838

Définition du WebSSO

✔ SSO signifie « Single Sign On », qui peut se traduire en français par « authentification unique ».

✔ L'objectif d'une architecture informatique SSO est qu'un utilisateur s'authentifie une première fois pour ouvrir sa session de travail et accède ensuite à toutes ses applications sans rentrer de nouveau son (ou ses) mot(s) de passe.

✔ Le SSO regroupe donc plusieurs fonctionnalités :✔ Couple identifiant/mot de passe unique✔ Transmission transparente des informations de session aux applications✔ Gestion des profils applicatifs, c'est-à-dire qui accède à quoi

✔ Le SSO n'empêche pas un utilisateur d'avoir plusieurs couples identifiant/mot de passe

Groupe

3939

Modes de SSO

✔ SSO par agent :✔ Un agent est installé sur le poste client✔ C'est l'agent qui intercepte les flux des applications et pousse les mots de

passe✔ Mode utilisé généralement pour les clients lourds, pas pour le WebSSO

✔ SSO par délégation :✔ Un agent est installé sur le serveur d'application✔ Cet agent intercepte les requêtes à destination de l'application, et redirige

l'utilisateur sur le portail si ce dernier n'a pas de session SSO active

✔ SSO par mandataire inverse (reverse-proxy) :✔ Le serveur d'application n'est pas accédé directement par les utilisateur, mais

seulement par le portail WebSSO✔ C'est le portail qui vérifie la session SSO de l'utilisateur et qui joue ensuite le

rôle de mandataire entre l'utilisateur et l'application

Groupe

4040

SSO par agent

Groupe

4141

SSO par délégation

Groupe

4242

SSO par mandataire inverse

Groupe

4343

Le procole HTTP

GET http://www.linagora.com HTTP/1.1Accept: text/htmlUser-Agent: Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.7.6)

HTTP/1.1 200 OKDate: Thu, 13 Mar 2008 15:05:29 GMTServer: ApacheContent-Length: 264Content-Type: text/html; charset=iso-8859-1

<?xml version="1.0" encoding="iso-8859-1" ?><!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"><html xmlns="http://www.w3.org/1999/xhtml" lang="fr" xml:lang="fr" dir="ltr"><head><title>Linagora, integrateur de reference sur le marche des logiciels libres</title>

....</html>

Groupe

4444

Présentation de LemonLDAP::NG

✔ LemonLDAP::NG est un ensemble de scripts et de modules Perl utilisés à travers mod_perl et le serveur HTTP Apache

✔ LemonLDAP::NG est un logiciel libre, membre de OW2 : http://www.ow2.org

✔ Le principe général est d'utiliser un annuaire LDAP pour :✔ authentifier l'utilisateur (vérification du mot de passe)✔ effectuer un contrôle d'accès (selon les attributs LDAP de l'utilisateur)✔ approvisionner les applications (par transmissions des attributs LDAP dans

les en-têtes HTTP)

✔ LemonLDAP::NG a été choisi pour le projet FederID et bénéficie d'une possibilité d'authentification Liberty Alliance

http://www.ow2.org/

Groupe

4545

LinID Access Manager

Groupe

4646

Fonctionnement général

Groupe

4747

Capture d'écran : Manager

Groupe

4848

Capture d'écran : Portail d'authentification

Groupe

4949


Groupe

5050


Groupe

5151

Contenu du programme LemonLDAP::NG

✔ LemonLDAP fournit quatre types de modules Perl :✔ Lemonldap::NG::Portal : gestion des accès LDAP et de la création des

sessions✔ Lemonldap::NG::Handler : protection des hôtes virtuels et application des

règles d'accès✔ Lemonldap::NG::Manager : interface graphique de configuration✔ Lemonldap::NG::Common : configuration et fonctions partagées

✔ Ces modules doivent être instanciés dans des scripts Perl :✔ Une page d'accueil du portail, affichant un formulaire d'authentification ou la

liste des applications disponibles✔ L'application Manager permettant l'accès graphique à la configuration

✔ Sur chaque serveur protégé un module Handler doit également être instancié

Groupe

5252

Intégration d'une application

✔ Pré-requis :✔ Accès au code source et possibilité de le modifier✔ disposer d'un langage permettant la lecture des en-têtes HTTP

✔ Désactiver le formulaire d'authentification local

✔ Lire les en-têtes HTTP, en particulier celle fournissant l'identité de l'utilisateur

✔ Si nécessaire : associer l'identité de l'utilisateur à l'identité locale

✔ Si nécessaire : créer à la volée une entrée locale si inexistante

✔ Si nécessaire : désactiver la gestion locale des autorisations

Groupe

5353

Lecture des en-têtes en PHP<?php

//// Function to collect all headers//function getHeaders() { foreach ($_SERVER as $h => $v ) { if( ereg( 'HTTP_(.+)', $h, $hp ) ) $headers[$hp[1]] = $v ; } return $headers;}

// Call the function$headers = getHeaders() ;

// Print headersforeach ($headers as $k => $v) { echo "$k = $v<br/>\n" ;}

?>

headers.php

Groupe

5454

LinPKI et SSO

Groupe

5555

LinRA et SSO

✔ LinRA permet de délivrer des certificats aux utilisateurs, et d'offir des interfaces de management aux administrateurs

✔ LinRA peut maintenant s'appuyer sur LemonLDAP::NG pour :✔ Protéger l'accès à ses pages✔ Déterminer le rôle de l'utilisateur connecté✔ Lire les en-têtes pour remplir automatiquement la demande de certificat

Groupe

5656

Pourquoi la fédération des identités ?

✔ Il n'est pas toujours possible de centraliser toutes les informations dans un référentiel unique

✔ Le respect de la vie privée impose une scission des informations selon différents référentiels (personnel, professionnel, médical, etc.)

✔ Le partage de ces informations est ensuite possible au sein d'un cercle de confiance, ou entre cercles de confiance, mais toujours autorisé par l'utilisateur

Groupe

5757

Standards de fédération

✔ Plusieurs efforts de normalisation en parallèle :✔ Liberty Alliance : ID-FF, ID-WSF, ID-SIS✔ Shibboleth (Internet2)✔ WS-* (Microsoft)✔ SAML (OASIS)

✔ Vers une convergence des standards :✔ Shibboleth et Liberty Alliance adoptent une norme commune : SAML 2.0

Groupe

5858

Présentation de Liberty Alliance

✔ Fondé en 2001 par SUN et 13 autres partenaires

✔ Compte actuellement plus de 150 membres

✔ Objectifs :✔ Standard ouvert de fédération des identités✔ Respect de la vie privée dans l'espace numérique

Groupe

5959

Le consortium Liberty Alliance

Groupe

6060

Cercle de confiance liberty AllianceFournisseur de service

Fournisseur d'identitésFournisseur de service

Fournisseur d'attributs

InteractionsUtilisateur

Services Web

Groupe

6161

Fédération d'un compte

Groupe

6262

AnnuaireLDAP

CercleCercledede

confianceconfiance

Authentic

Fournisseurd'identités

Gestion decontenu[WUI]

Fournisseurd'attributs

[LAAP]

SSO &Autorisations

Fournisseurde service

ApplicationWeb

standard

ApplicationWeb

standard

Exemple d'architecture

LINAGORA


Tél. : 01 58 18 68 28Fax : 01 58 18 68 29



MERCI DE VOTRE ATTENTION



séminaire sécurité linagora 2008

Technology

responsable

ministre de

sso par dlgation

la signature

sso par agent

linid access

yannick quenec

identit de