Préambule :

J’étais hier au tutos N°13 du jres ( http://www.jres.org/tuto/tuto13/index ) à l’université Descartes (Paris 6E) ou l’on abordait le sujet de l’authentification unifiée. Ce sujet est devenu pour les lycées, universités et pôle de recherche incontournable.  Evidement, dans le monde Microsoft on pense tout de suite à Active Directory dont une présentation a été faite hier par Guillaume ROUSSE de l’INRIA. Mais quand est il du monde libre ? A t-on un équivalent permettant de faire aussi bien avec des environements hétérogènes ?

Authentification unifiée pour les postes de travail dans un

environnement hétérogène :

Nous avons plusieurs retour d’expérience autour du couplage de samba + ldap + kerberos. Il semble que beaucoup d’universités se soient lancer sur ce chemin un peu complexe . On peut voir l’exemple de Rennes 1 : Mise en place de l’authentification unifiée

Mais si cela fonctionne très bien, on ne peut pas dire que se soit out of box comme l’est AD…

Un intervenant de chez RedHat, Jérôme FENAL a attiré mon attention. Il presentait un outil FREEIPA inclue dans la Fedora depuis la version 11 dont l’installation se limite à :

yum install ipa-server (pour la partie serveur)ensuite on le lance et on répond à 5 questions pour obtenir un ensemble annuaire, partage de fichiers et royaume kerberos pret à l’emploi !

yum install client-ipa-install (sur le client) ensuite on fourni l’adresse ip du poste et  c’est fini.

La version 2 doit sortir courant juin (elle sera uniquement communautaire) et la version 3 qui est déjà en préparation sera intégrer à l’offre server et workstation de RedHat en plus de la version communautaire bien sûre…

Le fin du fin et le remplacement de pam par SSSD pour des raisons de performance.

Pour l’instant seul fedora intégre ce projet mais gageons que d’autre distribution linux (mandriva, opensuze, ubuntu etc…) intégrerons aussi bientôt cette évolution.

Une grosse attente existe également pour le projet SAMBA 4 dont les premiers tests montre que la partie annuaire, partage, dns, ntp et gpo semble bien fonctionné mais on semble encore loin d’une version de production tellement le travail de réécriture est important.

Nous avons évoquer le cas d’outil permettant juste d’ouvrir une session sur un ldap, radius…. comme Pgina mais cela se limite à windows et ne presente un intérêt que pour les versions Familiale qui ne peuvent par être intégrer à un domaine.

Conclusion :

On constate que de nouveaux outils viennent enrichire et facilité la tâche d’authentification unifiés déjà rendu possible par LDAP. Que l’on va de plus en plus vers le système kerberos afin de supprimer le transfert de mot de passe entre le client et le serveur au profit de ticket de service.