Matinée pour conmrendre consacrée à LinShare.org, application de partage de f...
Séminaire Sécurité Linagora 2008
1. UNE MATINEE POUR COMPRENDRE
L'Open Source au service de la Sécurité
PROGRAMME
MATINEE POUR COMPRENDRE
L'Open Source au service de la
Sécurité
4 décembre 2008
Intervenants :
- Yannick QUENEC'HDU, Responsable LINAGORA
département sécurité, Linagora
27 rue de Berri
75008 PARIS
Tél. : 01 58 18 68 28
- Clément OUDOT, Architecte, Linagora Fax : 01 58 18 68 29
www.linagora.com | www.08000linux.com
2. UNE MATINEE POUR COMPRENDRE
L'Open MATINEE POUR COMPRENDRE
UNE Source au service de la Sécurité
L'Open Source au service de la Sécurité
Programme :
A partir de 08H30 Accueil des participants – Accueil café
09h00 – 09h30 LinPKI, l'offre de confiance numérique en Open Source
Par Yannick QUENEC'HDU, Responsable département sécurité, Linagora
09h30 – 10h30 SSO, l'authentification unique par l'exemple
Par Clément OUDOT, Architecte, Linagora
10h30 – 11h00 Pause
11h00 – 11h30 Focus sur les projet LinSign et LinPKI
Par Yannick QUENEC'HDU, Responsable département sécurité, Linagora
LINAGORA
27 rue de Berri
11h30-12h00 Retour d'expérience. 75008 PARIS
Par Yannick QUENEC'HDU, Responsable département sécurité, Linagora
Tél. : 01 58 18 68 28
Fax : 01 58 18 68 29
www.linagora.com | www.08000linux.com
3. PRESENTATION
Réussir ensemble les grands projets du Libre
Contact :
LINAGORA – Siège social
27 rue de Berri
75008 Paris – France
Tél. : +33 1 58 18 68 28
Fax : +33 1 58 18 68 29
Mail : info@linagora.com
4. Qui sommes-nous ? 2
LINAGORA est l'une des sociétés les plus importantes sur le
marché des logiciels libres, au niveau mondial.
+ Leader dans l'édition de logiciels Open Source
+ Plus de 150 experts à votre service
+ Une présence en France (Paris, Lyon, Toulouse et Marseille), en
Belgique et aux Etats-Unis
+ Plus de 500 clients dont plus de 60% de très grands comptes
+ Un réseau important de partenaires
+ Un fort soutien au Libre
5. Implantations 3
Bruxelles
San Francisco
Paris
Lyon
Toulouse
Marseille
6. LINAGORA : Editeur Orienté Services 4
LINAGORA est un éditeur de logiciel libre. Sa vocation est :
+ De développer avec ses équipes de R&D des Logiciels Libres
+ D'être l'intermédiaire de confiance entre les communautés et ses clients
+ De vendre une Open Source Software Assurance
+ Et enfin d'être un expert de l'Open Source capable de mener des grands
projets de mise en œuvre de solution libre
7. Edition de logiciels 5
La stratégie du groupe dans l'édition de logiciels s'articule
autour de 4 axes :
+ Outils de messagerie et de travail collaboratif avec OBM : obm.org
+ Applications de gestion et de fédération des identités avec LinID:
linid.org
+ Solutions de sécurité avec LinPKI : linpki.org
+ Solutions de Service Management avec LinSM
8. L'OSSA, l'offre logicielle propre au Libre 6
Une gamme de services complète à partir d'un guichet unique
pour sécuriser votre SI à composantes Open Source. La mission
de l'OSSA est de vous fournir une expertise personnalisée sur vos
logiciels libres.
Avec un engagement de résultats, une équipe d'experts vous
assiste pour :
+ la résolution des anomalies rencontrées
+ l'intégration des correctifs aux communautés concernées
+ des paramétrages complexes
+ l'administration des logiciels supportés
+ leur intégration dans votre SI
9. Services professionnels 7
Annuaire
Supervision
Cette offre produit est complétée par
CMS une gamme de services
professionnels et de formations
Base de données
visant à accompagner les grands
Sécurité
utilisateurs de logiciels libres dans
Bureautique
le projet de transformation de leur
J2EE
SI.
Travail collaboratif
10. Chiffres clés 8
Effectif
CA en K Euros 50 M€
200
s
110
25 M€
15 M€ 55
45
37
30
18
2002 2003 2004 2005 2006 2007 2008*
2008 2009 2010
LINAGORA SA au capital social de 2.257.140 Euros
11. Chiffres clés 9
Répartition du CA par pôle Répartition du CA par secteur
Services professionnels Secteur public
40 % 50 %
Formations
10 %
OSSA
Edition Secteur privé
25 %
Open Source 50 %
25 %
12. Nos références – Secteur public 10
+ APHP + Inserm
+ Armée de l'Air + Ministère de l'Agriculture
+ Assemblée Nationale + Ministère de la Défense
+ Cert Europe + Ministère de l'Economie, des Finances et de
+ CHU de Brest l'Industrie
+ Conseil Général des Bouches du Rhône + Ministère de l'Intérieur
+ Conseil Général de Haute Garonne + La Poste
+ Conseil Général de Moselle + RATP
+ Conseil Général Tarn et Garonne + SDIS
+ Gendarmerie Nationale + Université Pierre Mendes France
+ Grand Toulouse + Ville d'Issy les Moulineaux
+ HLM des Châlets
13. Nos références – Secteur privé 11
+ Adecco + ICDC
+ Afnor + Hispano Suiza
+ Alcatel + Macif
+ Aldebaran + Magnus
+ Air France + Norbert d'Entressangle
+ Areva + Orange
+ CinReal on line + Paru Vendu
+ CLS + Prémaliance
+ Docubase + Sagem Communication
+ Fnac.com + Sanofi Aventis
+ France 24 + Société Générale
+ GIE Cartes bancaires + Telemarket
Pour plus d'informations :
www.linagora.com
Tél. : +33 1 58 18 68 28
info@linagora.com
14. UNE MATINEE POUR COMPRENDRE
L'Open Source au service de la Sécurité
LinPKI, l'offre de confiance numérique
en Open Source
Yannick QUENEC'HDU
Responsable département sécurité
yquenechdu@linagora.com
LINAGORA
27 rue de Berri
75008 PARIS
Tél. : 01 58 18 68 28
Fax : 01 58 18 68 29
www.linagora.com | www.08000linux.com
15. Le Groupe LINAGORA
Groupe
Groupe de plus de 160 collaborateurs, CA 2008, 12 M€
Gamme complète de logiciels et services unique
Une couverture nationale (Paris, Lyon, Toulouse, Marseille) et
des implantations internationales (Belgique et USA – San Francisco
Bruxelles
San Francisco
Paris
Lyon
Toulouse Marseille
15
16. Notre métier
Groupe
Edition
-LinPKI : Suite applicative de sécurité
-OBM : Outils de messagerie et de gestion collaborative
-LinID : Gestion et de Fédération des identités
-LinSM : Solution de service de Management
OSSA
-Support des applications du groupe LINAGORA
-Catalogue complet de plus de 200 logiciels libres, prêts à l'industrialisation, sur une plate-
forme unique : le 08000LINUX.com.
Services Professionnels
-LCS – Linagora Consulting Service
-LBS – Linagora Build Service
-LTS – Linagora Training Service
16
19. Composition (1/2)
Groupe
PKI
-C’est l’application de gestion du cycle de vie des autorités de certification et des
certificats d’entités. Elle se caractérise par une approche modulaire et une simplicité
d’utilisation.
Gestionnaire de carte à puce
-Cette application est proposée en complément de l’offre de PKI. Elle fournit les
services de gestion des cartes à puce et des tokens USB.
Signature électronique
-Signature client
-Ce composant permet d’intégrer la signature électronique au niveau du poste du
client. Il s’intègre à vos applications Web , dans les clients lourds ou tout
simplement sur le poste de travail.
-Serveur de signature
-Serveur de signature pour signer vos documents, données avant archivage dans un
référentiel de données
19
20. Composition (2/2)
Groupe
Horodatage
-Ce service permet d’horodater vos signatures électroniques, vos requêtes, vos
données. Il est conforme aux standards sur l’horodatage. Il peut être utilisé en
conjonction avec les applications LinPKI pour sécuriser les échanges.
Partage de fichier sécurité
✔ Dernier né des applications de la suite LinPKI, Linshare est une application de
partage de fichier sécurisée. Elle permet de déposer et de partager des fichiers en
interne de l'entreprise ou vers des personnes extérieures. Comprend le chiffrement
et le déchiffrement asymétrique et symétrique et la signature électronique.
20
21. Groupe
✔PKI
✔Infrastructure à clés
publiques
21
22. PKI - Principe
Groupe
L'offre de PKI de LINAGORA comprend l'application EJBCA
pour les opérations de gestion de l'autorité de certification et
LinPKI pour les autres opérations (gestion du cycle de vie des
certificats d'entité, administration, etc.)
✔ LinPKI fournit à la fois les fonctions classiques que l’on retrouve dans la
plupart des PKI du marché, mais avec une approche orientée vers la
simplicité d'utilisation pour les non-initiés à la PKI
✔ L'application a été pensée pour simplifier la gestion des certificats pour
l'utilisateur final et l'installation des certificats sur le poste de travail
✔ LinPKI un générateur de vos besoins
✔ LinPKI a été construit comme un générateur, permettant de répondre rapidement
et sans développement complémentaire aux contraintes liées aux certificats ou
au SI de l’entreprise. Le générateur permet de créer des profils de certificat, des
formats de requête, des cinématiques de gestion du cycle de vie des
certifications, de personnaliser des cartes à puce ou de dongle USB.
22
23. PKI – Infrastructure à clés publiques
Groupe
de gestion de clef LINPKI se différencie des autres
L'infrastructure
solutions de PKI sur les points suivants :
-Solution distribuée en Open Source (licence OSL)
-Processus automatique d’identification des utilisateurs dans l’environnement de la
PKI
-Simplicité des interfaces et des fonctions pour les utilisateurs non initiés au PKI
-Refonte des composants Windows pour faciliter l’intégration des certificats dans
les environnements Microsoft
-Moteur de cinématique graphique pour adapter les cinématiques aux besoins des
entreprises
-Outils d’intégration des gestionnaires d’identités pour la gestion des droits sur
l’entité d’enrôlement (SSO, IAM, etc.)
-Provisonning d’identités depuis des référentiels de données
-Interface personnalisable (texte, feuille de style, images, etc.)
23
26. PKI – Composants complémentaires
Groupe
de gestion de clef propose les services
L'infrastructure
complémentaires suivants :
-Un serveur de validation OCSP (Online certificate status Protocole) :
-Déploiement intégré dans la PKI ou externe
✔ Un service de validation et d'appel WebService en (XML Key Management
Service) :
✔ Protocole standardisé en XML pour la validation et les opérations de gestion de
vie des certificats (demande, révocation, récupération de clés, etc.)
-Composants annexes pour simplifier les déploiements de certificats sur les postes
Windows, tels que la refonte des composants d'installation des PKCS12, l'auto
installation des certificats avec Active Directory.
26
28. Signature client
Groupe
Le client de signature a pour objectif de permettre la signature
depuis le poste du client
-Ce composant est conçu dans un esprit de généricité et de modularité vis-à-vis des
applications. il peut-être mis en œuvre de 3 façons différentes
-Service : Il s’agit de mettre en place ce composant en tant que service commun
exploité et autonome. Ce composant est alors vu comme un service global défini par
ses interfaces publiques (WebService)
-Produit : ce composant est utilisé comme un produit prêt à l'emploi.
-Boîte à outils : Il s’agit pour un projet applicatif de pouvoir s’approprier ce
composant en intégrant, voire en les adaptant à ses propres besoins dans le cadre
du développement d’une l’application.
Ce dispositif de signature fonctionne selon plusieurs modes :
-En mode connecté sur les navigateurs standards du marché.
-En mode autonome sur un système d’exploitation ou des clients lourds, tels que
OpenOffice.
-En mode service embarqué dans des applications métiers.
En cours de certification Critères Commun EAL 3+
28
29. Signature Serveur
Groupe
SignServer est un serveur de signature modulaire distribué sous licence OpenSource. Il
est développé en Java/J2EE. SignServer est le premier serveur autonome et industriel
distribué sous licence OpenSource
SignerServer est un serveur de signature multi-protocoles, c’est-à-dire qu’il peut-être
appelé comme serveur d’horodatage (RFC3161), serveur de signature XML ( Xades T, C,
X, X-L et XMLDsign), serveur pour la signature des passeports de nouvelle génération
(MRTD – Machine Readable Travel Documents), pour la signature de document
OpenOffice et PDF.
En complément du serveur de signature, SignServer offre les fonctionnalités :
✔
-Protection des courriels en conjonction avec le serveur de courriel permet l’authentification, le
chiffrement, la signature et l’horodatage des messages
-Validation des certificats numériques
-Moteur pour créer des scénarios d’autorisation et de validation
-Gestion de groupe de clefs symétriques et asymétriques
29
31. CMS – Card Management Service
Groupe
Le gestionnaire de support cryptographique permet de gérer le cycle de vie complet de
cartes à puces dans une société ou organisation.
ToLiMA est la première application composée de modules qui utilise le standard HTMF –
Hard Token Management FrameWork et le standard MiFair pour la gestion des
imprimantes de cartes à puces.
✔
Les fonctionnalités non exhaustives de la suite applicative ToLiMa sont :
-Émission de carte : temporaire, ordinaire, projet
-Déblocage de code PIN sans exposer le code PUK pour les utilisateurs et les
administrateurs
-Révocation de carte
-Renouvellement de carte
-Activation et désactivation de carte
-Il est aussi possible d’émettre et de bloquer des cartes sur la base d’un système
d’approbation.
-Personnalisation graphique et électronique
✔
31
32. CMS – Card Management Service
Groupe
Analyseur automatique de carte, permet d’appliquer des scénarios
automatiquement lors de l’insertion de carte à puce. Les différences
essentiellement entre ToLIMa et les autres CMS du marché, porte
sur 5 grands aspects :
✔
-Solution totalement Open Source ;
-Respect des standards HTMF et Mifair;
-Gestion automatisée du cycle de vie des certificats ;
-Gestionnaire de Workflow ;
-Indépendant des systèmes d’exploitation ;
-Ne nécessite aucun déploiement sur les postes des usagers.
✔
32
33. Serveur de fichier sécurisé
Groupe
Spécialement conçue pour sécuriser les échanges dématérialisés des entreprises qui placent la
✔
confidentialité et la traçabilité au cœur de leurs problématiques d’échanges, LinShare apporte une
solution simple à mettre en œuvre et totalement intuitive. L'ergonomie est améliorée par la
technologie Web 2.0.
Partage de fichier entre des collaborateurs abonné à l'application ;
✔
Partage de fichier avec des personnes externes ;
✔
Partage de fichier de personnes externe vers des abonnés ;
✔
Dépôt/suppression de fichiers ;
✔
Mise en place de partage de fichiers vers un ou plusieurs utilisateurs (abonné et externe) ;
✔
Chiffrement de fichier (clé symétrique) vers des collaborateurs externes ou internes ;
✔
Chiffrement de fichier par certificat numérique vers des collaborateurs externes ou internes ;
✔
Signature électronique des documents ;
✔
Un abonné peur Créer/supprimer de compte externe temporaire ;
✔
État d’un utilisateur externe (accès, pas d'accès, retrait des fichiers, etc.) ;
✔
Notification (par courriel) à l'attention de collaborateurs externe pour lui adresser l'URL d'accès, son couple
✔
identifiant/mot de passe ;
LinShare peut-être couplé avec Thunderbird et Outlook.
✔
✔
33
34. Quelques références
Groupe
Quelques clients français :
-Direction générale de l’armement
-Gendarmerie Nationale
-S ociété Générale
-GIE C artes B ancaires
-Ministère des Finances
Internationale, plus de 6000 références à travers le monde, donc
-General Motors (US A )
-A T&T (US A )
-ZhuHai Local Taxation B ureau (C hine)
-Grupo S afa (Espagne)
-MediaC ert (Portugal)
-Evaltec (B résil)
-National S wedish Police B oard (S uède)
34
35. UNE MATINEE POUR COMPRENDRE
L'Open Source au service de la Sécurité
Merci de votre attention
LINAGORA
27 rue de Berri
75008 PARIS
Tél. : 01 58 18 68 28
Fax : 01 58 18 68 29
www.linagora.com | www.08000linux.com
36. UNE MATINEE POUR COMPRENDRE
L'Open Source au service de la Sécurité
SSO
l’authentification unique par
l’exemple
Clément OUDOT
Architecte
coudot@linagora.com
LINAGORA
27 rue de Berri
75008 PARIS
Tél. : 01 58 18 68 28
Fax : 01 58 18 68 29
www.linagora.com | www.08000linux.com
37. Sommaire
Groupe
✔ Présentation des systèmes SSO
✔ LinID Access Manager (LemonLDAP::NG)
✔ Vers la fédération des identités
37
38. Définition du WebSSO
Groupe
✔ SSO signifie « Single Sign On », qui peut se traduire en français
par « authentification unique ».
✔ L'objectif d'une architecture informatique SSO est qu'un
utilisateur s'authentifie une première fois pour ouvrir sa session
de travail et accède ensuite à toutes ses applications sans rentrer
de nouveau son (ou ses) mot(s) de passe.
✔ Le SSO regroupe donc plusieurs fonctionnalités :
✔ Couple identifiant/mot de passe unique
✔ Transmission transparente des informations de session aux applications
✔ Gestion des profils applicatifs, c'est-à-dire qui accède à quoi
✔ Le SSO n'empêche pas un utilisateur d'avoir plusieurs couples
identifiant/mot de passe
38
39. Modes de SSO
Groupe
✔ SSO par agent :
✔ Un agent est installé sur le poste client
✔ C'est l'agent qui intercepte les flux des applications et pousse les mots de
passe
✔ Mode utilisé généralement pour les clients lourds, pas pour le WebSSO
✔ SSO par délégation :
✔ Un agent est installé sur le serveur d'application
✔ Cet agent intercepte les requêtes à destination de l'application, et redirige
l'utilisateur sur le portail si ce dernier n'a pas de session SSO active
✔ SSO par mandataire inverse (reverse-proxy) :
✔ Le serveur d'application n'est pas accédé directement par les utilisateur, mais
seulement par le portail WebSSO
✔ C'est le portail qui vérifie la session SSO de l'utilisateur et qui joue ensuite le
rôle de mandataire entre l'utilisateur et l'application
39
43. Le procole HTTP
Groupe
GET http://www.linagora.com HTTP/1.1
Accept: text/html
User-Agent: Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.7.6)
HTTP/1.1 200 OK
Date: Thu, 13 Mar 2008 15:05:29 GMT
Server: Apache
Content-Length: 264
Content-Type: text/html; charset=iso-8859-1
<?xml version=quot;1.0quot; encoding=quot;iso-8859-1quot; ?>
<!DOCTYPE html PUBLIC quot;-//W3C//DTD XHTML 1.0
Transitional//ENquot; quot;http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtdquot;>
<html xmlns=quot;http://www.w3.org/1999/xhtmlquot; lang=quot;frquot; xml:lang=quot;frquot; dir=quot;ltrquot;>
<head>
<title>Linagora, integrateur de reference sur le marche des logiciels libres</title>
....
</html>
43
44. Présentation de LemonLDAP::NG
Groupe
✔ LemonLDAP::NG est un ensemble de scripts et de modules Perl
utilisés à travers mod_perl et le serveur HTTP Apache
✔ LemonLDAP::NG est un logiciel libre, membre de OW2 :
http://www.ow2.org
✔ Le principe général est d'utiliser un annuaire LDAP pour :
✔ authentifier l'utilisateur (vérification du mot de passe)
✔ effectuer un contrôle d'accès (selon les attributs LDAP de l'utilisateur)
✔ approvisionner les applications (par transmissions des attributs LDAP dans
les en-têtes HTTP)
✔ LemonLDAP::NG a été choisi pour le projet FederID et bénéficie
d'une possibilité d'authentification Liberty Alliance
44
51. Contenu du programme LemonLDAP::NG
Groupe
✔ LemonLDAP fournit quatre types de modules Perl :
✔ Lemonldap::NG::Portal : gestion des accès LDAP et de la création des
sessions
✔ Lemonldap::NG::Handler : protection des hôtes virtuels et application des
règles d'accès
✔ Lemonldap::NG::Manager : interface graphique de configuration
✔ Lemonldap::NG::Common : configuration et fonctions partagées
✔ Ces modules doivent être instanciés dans des scripts Perl :
✔ Une page d'accueil du portail, affichant un formulaire d'authentification ou la
liste des applications disponibles
✔ L'application Manager permettant l'accès graphique à la configuration
✔ Sur chaque serveur protégé un module Handler doit également
être instancié
51
52. Intégration d'une application
Groupe
✔ Pré-requis :
✔ Accès au code source et possibilité de le modifier
✔ disposer d'un langage permettant la lecture des en-têtes HTTP
✔ Désactiver le formulaire d'authentification local
✔ Lire les en-têtes HTTP, en particulier celle fournissant l'identité
de l'utilisateur
✔ Si nécessaire : associer l'identité de l'utilisateur à l'identité locale
✔ Si nécessaire : créer à la volée une entrée locale si inexistante
✔ Si nécessaire : désactiver la gestion locale des autorisations
52
53. Lecture des en-têtes en PHP
Groupe
headers.php
<?php
//
// Function to collect all headers
//
function getHeaders() {
foreach ($_SERVER as $h => $v ) {
if( ereg( 'HTTP_(.+)', $h, $hp ) )
$headers[$hp[1]] = $v ;
}
return $headers;
}
// Call the function
$headers = getHeaders() ;
// Print headers
foreach ($headers as $k => $v) {
echo quot;$k = $v<br/>nquot; ;
}
?>
53
55. LinRA et SSO
Groupe
✔ LinRA permet de délivrer des certificats aux utilisateurs, et d'offir
des interfaces de management aux administrateurs
✔ LinRA peut maintenant s'appuyer sur LemonLDAP::NG pour :
✔ Protéger l'accès à ses pages
✔ Déterminer le rôle de l'utilisateur connecté
✔ Lire les en-têtes pour remplir automatiquement la demande de certificat
55
56. Pourquoi la fédération des identités ?
Groupe
✔ Il n'est pas toujours possible de centraliser toutes les
informations dans un référentiel unique
✔ Le respect de la vie privée impose une scission des informations
selon différents référentiels (personnel, professionnel, médical,
etc.)
✔ Le partage de ces informations est ensuite possible au sein d'un
cercle de confiance, ou entre cercles de confiance, mais toujours
autorisé par l'utilisateur
56
57. Standards de fédération
Groupe
✔ Plusieurs efforts de normalisation en parallèle :
Liberty Alliance : ID-FF, ID-WSF, ID-SIS
✔
Shibboleth (Internet2)
✔
WS-* (Microsoft)
✔
SAML (OASIS)
✔
✔ Vers une convergence des standards :
✔ Shibboleth et Liberty Alliance adoptent une norme commune : SAML 2.0
57
58. Présentation de Liberty Alliance
Groupe
✔ Fondé en 2001 par SUN et 13 autres partenaires
✔ Compte actuellement plus de 150 membres
✔ Objectifs :
✔ Standard ouvert de fédération des identités
✔ Respect de la vie privée dans l'espace numérique
58
60. Cercle de confiance liberty Alliance
Groupe
Fournisseur de service Fournisseur d'attributs
Fournisseur d'identités
Fournisseur de service
Interactions
Utilisateur
Services Web
60
62. Exemple d'architecture
Groupe
Gestion de Fournisseur
contenu d'identités
[WUI]
Authentic
Fournisseur
Cercle de service
de
Annuaire Fournisseur
LDAP d'attributs
confiance
[LAAP]
SSO &
Autorisations
Application Application
Web Web
standard standard
62
63. UNE MATINEE POUR COMPRENDRE
L'Open Source au service de la Sécurité
MERCI DE VOTRE ATTENTION
LINAGORA
27 rue de Berri
75008 PARIS
Tél. : 01 58 18 68 28
Fax : 01 58 18 68 29
www.linagora.com | www.08000linux.com