Introduction à FreeIPA (IdM)

Ce chapitre explique l'objectif de FreeIPA (IdM). Il fournit également des informations de base sur le domaine de gestion des identités, notamment les machines client et serveur faisant partie du domaine.

FreeIPA (IdM) fournit un moyen centralisé et unifié de gérer les magasins d'identités, l'authentification, les stratégies et les règles d'autorisation dans un domaine basé sur Linux, ce qui réduit considérablement la charge administrative liée à la gestion individuelle des différents services et à l'utilisation des outils sur différentes machines.

FreeIPA (IdM) est l'une des rares solutions logicielles d'identité, de stratégie et d'autorisation centralisées qui prennent en charge:

• Les fonctions avancées des environnements de système d'exploitation Linux
• L'unification de grands groupes de machines Linux
• L'intégration native avec Active Directory

FreeIPA (IdM) crée un domaine basé sur Linux :

• Cette solution s'appuie sur des outils et des protocoles Linux natifs existants. Il possède ses propres processus et configurations, mais ses technologies sous-jacentes sont bien établies sur les systèmes Linux et approuvées par les administrateurs Linux.
• Les serveurs et clients sont des machines Linux. Cependant, même si FreeIPA (IdM) ne prend pas directement en charge les clients Windows, il permet l'intégration à un environnement Active Directory.

Gestion des identités et des stratégies avec plusieurs serveurs Linux

Sans FreeIPA (IdM) : chaque serveur est administré séparément. Tous les mots de passe sont enregistrés sur les machines locales. L'administrateur informatique gère les utilisateurs sur chaque machine, définit les règles d'authentification et d'autorisation séparément et gère les mots de passe locaux.

Avec FreeIPA (IdM) : l'administrateur informatique peut :

• Maintenir les identités en un lieu central : le serveur FreeIPA
• Appliquer des règles uniformément à des multiples de machines en même temps
• Définir différents niveaux d'accès pour les utilisateurs à l'aide du contrôle d'accès basé sur l'hôte, de la délégation et d'autres règles
• Gérer des règles d'élévation des privilèges de manière centralisée.
• Définir comment les répertoires personnels sont montés.

Authentification unique d'entreprise

Sans FreeIPA (IdM) : les utilisateurs se connectent au système et sont invités à entrer un mot de passe à chaque fois qu'ils accèdent à un service ou à une application. Ces mots de passe peuvent être différents et les utilisateurs doivent se souvenir des identifiants à utiliser pour quelle application.

Avec FreeIPA (IdM) : une fois que les utilisateurs se sont connectés au système, ils peuvent accéder à plusieurs services et applications sans avoir à demander à plusieurs reprises leurs informations d'identification. Cela aide pour :

• Améliorer la facilité d'utilisation
• Réduire le risque de sécurité lié à l'écriture ou au stockage des mots de passe de manière non sécurisée
• Augmenter la productivité des utilisateurs

Gestion d'un environnement Linux et Windows mixte

Sans FreeIPA (IdM) : les systèmes Windows sont gérés dans une forêt Active Directory, mais les équipes de développement, de production et autres disposent de nombreux systèmes Linux exclus de l'environnement Active Directory.

Avec FreeIPA (IdM) : l'administrateur informatique peut:

• Gérer les systèmes Linux à l'aide d'outils Linux natifs
• Intégrer les systèmes Linux aux systèmes Windows, préservant ainsi un magasin d'utilisateurs centralisé.
• Développer facilement la base Linux
• Gérer séparément des machines Linux et Active Directory et permettre aux administrateurs Linux et Windows de contrôler leur environnement directement

Un annuaire LDAP standard, tel que 389 Directory Server, est un annuaire à usage général : il peut être personnalisé pour s'adapter à un large éventail d'utilisation.

• Schéma : schéma flexible pouvant être personnalisé pour un large éventail d'entrées, tel que des utilisateurs, des machines, des entités réseau, des équipements physiques ou des bâtiments.
• Généralement utilisé comme : annuaire principal pour stocker des données pour d'autres applications, telles que des applications professionnelles fournissant des services sur Internet.

La gestion des identités (FreeIPA) a un objectif spécifique : gérer les identités ainsi que les politiques d'authentification et d'autorisation liées à ces identités.

• Schéma : schéma spécifique définissant un ensemble particulier d'entrées correspondant à son objectif, telles que les entrées pour les identités d'utilisateur ou de machine.
• Généralement utilisé comme : serveur d'identité et d'authentification pour gérer les identités dans les limites d'une entreprise ou d'un projet.

La technologie de serveur d'annuaire sous-jacente est la même pour Red Hat Directory Server. Cependant, FreeIPA(IDM) est optimisé pour gérer les identités. Cela limite son extensibilité générale, mais apporte également certains avantages : configuration simplifiée, meilleure automatisation de la gestion des ressources et efficacité accrue dans la gestion des identités.

Le domaine Identity Management (IdM) consiste en un groupe de machines partageant les mêmes magasins de configuration, de stratégie et d'identité. Les propriétés partagées permettent aux machines du domaine de se connaître et de fonctionner ensemble. Du point de vue de la gestion IdM, le domaine comprend les types de machines suivants:

• Serveurs FreeIPA (IdM), qui fonctionnent comme des contrôleurs de domaine
• Clients FreeIPA (IdM), inscrits avec les serveurs

Les serveurs sont également des clients FreeIPA (IdM) inscrits avec eux-mêmes : les machines serveur offrent les mêmes fonctionnalités que les clients.

Cette solution prend en charge les machines Linux en tant que serveurs et clients.

Les serveurs FreeIPA (IdM) agissent en tant que référentiels centraux pour les informations d'identité et de stratégie. Ils hébergent également les services utilisés par les membres du domaine. La solution fournit un ensemble d'outils de gestion permettant de gérer tous les services associés à la gestion IdM de manière centralisée : l'interface Web et les utilitaires de ligne de commande.

Pour prendre en charge la redondance et l'équilibrage de charge, les données et la configuration peuvent être répliquées d'un serveur FreeIPA (IdM) à un autre : un répliqua du serveur initial. Vous pouvez configurer les serveurs et leurs répliquas pour fournir différents services aux clients.

La plupart des services suivants ne doivent pas nécessairement être installés sur le serveur FreeIPA (IdM). Par exemple, des services tels qu'une autorité de certification (CA), un serveur DNS ou un serveur NTP (Network Time Protocol) peuvent être installés sur un serveur externe en dehors du domaine IdM.

Kerberos KDC

FreeIPA (IdM) utilise le protocole Kerberos pour prendre en charge la connexion unique. Avec Kerberos, l'utilisateur doit seulement présenter une fois le bon nom d'utilisateur et mot de passe. Ensuite, l'utilisateur peut accéder aux services IdM sans que le système demande à nouveau les informations d'identification.

Serveur d'annuaire LDAP

FreeIPA (IdM) inclut une instance de serveur d'annuaire LDAP interne où sont stockées toutes les informations IdM, telles que les informations relatives à Kerberos, les comptes d'utilisateur, les entrées d'hôte, les services, les stratégies, le DNS et autres. L'instance de serveur d'annuaire LDAP est basée sur la même technologie que Red Hat Directory Server. Cependant, il est adapté aux tâches spécifiques à la gestion IdM.

Autorité de certification

Dans la plupart des déploiements, une autorité de certification intégrée est installée avec le serveur FreeIPA (IdM). Vous pouvez également installer le serveur sans l'autorité de certification intégrée si vous créez et fournissez tous les certificats requis de manière indépendante.

Système de nom de domaine (DNS)

FreeIPA (IdM) utilise le service DNS pour la découverte de service dynamique. L'utilitaire d'installation du client FreeIPA (IdM) peut utiliser les informations du DNS pour configurer automatiquement l'ordinateur client. Une fois le client inscrit dans le domaine IdM, il utilise le service DNS pour localiser les serveurs et services IdM dans le domaine.

Protocole de temps réseau (NTP)

De nombreux services nécessitent que les serveurs et les clients disposent de la même heure système, avec une certaine variance. Par exemple, les tickets Kerberos utilisent des horodatages pour déterminer leur validité et empêcher les attaques par relecture. Si les délais entre le serveur et le client sont en dehors de la plage autorisée, les tickets Kerberos sont invalidés.

Par défaut, FreeIPA (IdM) utilise le protocole NTP (Network Time Protocol) pour synchroniser les horloges sur un réseau. Avec NTP, un serveur central agit comme une horloge faisant autorité et les clients synchronisent leurs heures pour correspondre à l'horloge du serveur. Le serveur FreeIPA (IdM) est configuré en tant que serveur NTP pour le domaine IdM pendant le processus d'installation du serveur.

Figure 1.1. Le serveur Identity Management: Unifying Services

Les clients FreeIPA (IdM) sont des ordinateurs configurés pour fonctionner dans le domaine IdM. Ils interagissent avec les serveurs FreeIPA (IdM) pour accéder aux ressources du domaine. Par exemple, ils appartiennent aux domaines Kerberos configurés sur les serveurs, reçoivent des certificats et des tickets émis par les serveurs et utilisent d'autres services centralisés pour l'authentification et l'autorisation.

Un client FreeIPA (IdM) ne nécessite pas de logiciel client dédié pour interagir en tant que partie du domaine. Il ne nécessite que la configuration système appropriée de certains services et bibliothèques, tels que Kerberos ou DNS. Cette configuration indique à l'ordinateur client d'utiliser les services FreeIPA (IdM).

Démon System Security Services (SSSD)

Le démon “System Security Services Daemon” (SSSD) est une application côté client pour la mise en cache des informations d'identification. L'utilisation de SSSD sur les ordinateurs clients est recommandée car elle simplifie la configuration client requise. SSSD fournit également des fonctionnalités supplémentaires, par exemple:

• Authentification du client hors ligne, assurée par la mise en cache locale des informations d'identification des magasins d'identité et d'authentification centralisés
• Une cohérence améliorée du processus d'authentification, car il n'est pas nécessaire de gérer à la fois un compte central et un compte d'utilisateur local pour l'authentification hors ligne
• Intégration avec d'autres services, tels que sudo
• Autorisation de contrôle d'accès basé sur l'hôte (HBAC)

Avec SSSD, les administrateurs IdM peuvent définir toutes les configurations d'identité de manière centralisée sur le serveur FreeIPA (IdM). La mise en cache permet au système local de poursuivre les opérations d'authentification normales si le serveur FreeIPA (IdM) devient indisponible ou si le client est hors ligne.

certmonger

Le service certmonger surveille et renouvelle les certificats sur le client. Il peut demander de nouveaux certificats pour les services sur le système.

Figure 1.2. Interactions entre les services FreeIPA (IdM)