GNU/Linux Magazine N°
Numéro
143

Installez une solution Single Sign-on complète et multiplateforme avec Kerberos

Temporalité
Novembre 2011
Article mis en avant

Résumé

Kerberos est un protocole d'authentification réseau, qui présente la particularité d'allier à la fois sécurité et confort d'utilisation, puisqu'il s'agit d'un système d'authentification unique (SSO, Single Sign On). À l'heure où fleurissent les articles vantant les mérites des systèmes de type CAS, assurant un service similaire, mais limité aux seules applications web, il paraît intéressant de présenter cette technologie quelque peu méconnue.

Dans ce numéro...


Je suis triste et écoeuré... En l’espace de quelques jours, le mois dernier, nous avons eu la démonstration que le monde dans lequel nous vivons est bien incapable de la moindre reconnaissance propor- tionnelle et légitime.
Malgré la détection récente de l'intrusion sur kernel.org, à la suite de laquelle les serveurs ont été arrêtés pour analyse, le développement a tout de même repris, mais à une cadence plus faible. Les mainteneurs des différents sous-systèmes ont dû héberger temporairement leur arborescence git sur des hôtes tels que github.org. Ainsi, la phase de stabilisation du noyau 3.1 a été plus longue que d'ordinaire, mais à l'heure où vous lirez ces lignes, le développement du 3.2 devrait avoir commencé. Nous analysons dans ce Kernel Corner le noyau 3.1. Dans cette première partie, nous abordons différentes optimisations ayant eu lieu dans la gestion mémoire, les nouvelles opérations que supportent à présent lseek(), mais nous proposons aussi une petite analyse de code dans les méandres du VFS ;)
La supervision de serveurs et de services fait partie des fondamentaux du métier de sysadmin, que ce soit sous forme de remontée d'alertes ou de graphage de métriques. C'est précisément dans le cadre de cette dernière activité que nous allons nous intéresser à RRDtool, un classique dans le domaine des outils de graphage qui vous permet de stocker des valeurs numériques et de générer des graphiques. Bien que généralement embarqué dans des solutions clés en main telles que Cacti, Munin ou encore Centreon, je vous propose de découvrir dans cet article son fonctionnement propre et de l'utiliser « nature » afin de vous permettre de grapher des métriques correspondant à des besoins potentiellement spécifiques (tension électrique, température, etc.).
La démarche nominale pour établir un document LaTeX consiste à placer les uns à la suite des autres les différents éléments permettant d'indiquer ce qui doit être écrit (fond) et comment ce doit être écrit (forme). Il peut y avoir par ailleurs des calculs ou des accès mémoire qui se font sans transparaître immédiatement sur le document final, mais qui permettent d'ajuster à un moment donné le contenu ou l'aspect du document.
Après des vacances bien méritées mais studieuses, nous voilà repartis dans le projet de la montre pour la dernière ligne droite : l'assemblage de toutes les unités pour finaliser le code VHDL ! Il manque encore une unité de gestion de l'affichage matriciel et nous devons ajuster les autres unités en conséquence, mais ça y est, tout est enfin là.
L'intégration des applications à une infrastructure Kerberos, ou kerberisation, peut se faire de deux manières différentes. La première, l'authentification Kerberos à proprement parler, consiste à utiliser le mécanisme décrit précédemment, à base de tickets, entre le client et le serveur (figure 1). Il faut bien évidemment un support explicite pour ce mécanisme au niveau du client et du serveur, mais également dans le protocole utilisé.
La partie précédente a montré l'utilisation de Kerberos au sein de différentes applications, à partir de cas d'école. Néanmoins, les cas réels sont généralement plus complexes et certains détails viennent parfois compliquer la donne. Cette partie présente donc certains problèmes de mise en œuvre de Kerberos et la façon d'y remédier.
Jusqu'ici, les exemples présentés concernaient l'accès à des ressources appartenant au même royaume Kerberos que l'utilisateur. Or, ceci n'est pas toujours le cas dans la réalité, lorsqu'il existe plusieurs royaumes Kerberos différents au sein d'une même entité. Cette situation peut être volontaire, les différents royaumes jouant une fonction de cloisonnement, ou non, typiquement lorsqu'un domaine Active Directory est mis en place pour gérer un parc de machines Windows et qu'il vient avec son propre royaume Kerberos.
L'authentification unique ou identification unique, en anglais Single Sign-On (SSO), est une méthode permettant à un utilisateur de ne procéder qu'à une seule authentification pour accéder à plusieurs applications informatiques. Le Web SSO s’intéresse particulièrement à l'authentification unique pour les applications web et donc, toute application accessible à travers un navigateur web.
Tout le monde connaît le compilateur Gcc, tout le monde l'utilise ! Mais Gcc est rarement exploité à la mesure de ses possibilités ! Au-delà de la multitude d'options proposées, le programmeur peut aussi développer des extensions de Gcc, et cette tâche est moins ardue qu'on ne le croit, grâce à MELT. On présentera les notions à connaître sur Gcc et l'intérêt de l'étendre via des exemples simples.
Smalltalk a déjà fait l'objet de plusieurs articles dans ces pages, offrant une perspective générale ou soulignant un aspect plus pointu du langage. Cette série se veut plutôt une vue depuis le terrain, un compte-rendu de ce qui est nécessaire à un simple développeur pour créer une application complète dans cet environnement.

Magazines précédents

Les derniers articles Premiums

Les derniers articles Premium

Stubby : protection de votre vie privée via le chiffrement des requêtes DNS

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Depuis les révélations d’Edward Snowden sur l’espionnage de masse des communications sur Internet par la NSA, un effort massif a été fait pour protéger la vie en ligne des internautes. Cet effort s’est principalement concentré sur les outils de communication avec la généralisation de l’usage du chiffrement sur le web (désormais, plus de 90 % des échanges se font en HTTPS) et l’adoption en masse des messageries utilisant des protocoles de chiffrement de bout en bout. Cependant, toutes ces communications, bien que chiffrées, utilisent un protocole qui, lui, n’est pas chiffré par défaut, loin de là : le DNS. Voyons ensemble quels sont les risques que cela induit pour les internautes et comment nous pouvons améliorer la situation.

Surveillez la consommation énergétique de votre code

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Être en mesure de surveiller la consommation énergétique de nos applications est une idée attrayante, qui n'est que trop souvent mise à la marge aujourd'hui. C'est d'ailleurs paradoxal, quand on pense que de plus en plus de voitures permettent de connaître la consommation instantanée et la consommation moyenne du véhicule, mais que nos chers ordinateurs, fleurons de la technologie, ne le permettent pas pour nos applications... Mais c'est aussi une tendance qui s'affirme petit à petit et à laquelle à terme, il devrait être difficile d'échapper. Car même si ce n'est qu'un effet de bord, elle nous amène à créer des programmes plus efficaces, qui sont également moins chers à exécuter.

Donnez une autre dimension à vos logs avec Vector

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Avoir des informations précises et détaillées sur ce qu’il se passe dans une infrastructure, et sur les applications qu'elle héberge est un enjeu critique pour votre business. Cependant, ça demande du temps, temps qu'on préfère parfois se réserver pour d'autres tâches jugées plus prioritaires. Mais qu'un système plante, qu'une application perde les pédales ou qu'une faille de sécurité soit découverte et c'est la panique à bord ! Alors je vous le demande, qui voudrait rester aveugle quand l'observabilité a tout à vous offrir ?

Body