FLASH INFORMATIQUE FI



Le système central d’identification et d’authentification à l’EPFL




Jean-Jacques DUMONT


Introduction

Une des premières actions concrètes menées dans le cadre du projet de restructuration des services informatiques (dit IT2001) actuellement en cours consiste en une consolidation des services d’annuaires de l’Ecole, jugé prioritaire en fonction des innombrables besoins exprimés. Le sujet n’est en effet pas anodin : il s’agit pour le moins d’établir une liste complète, cohérente et à jour en tout temps de toutes les personnes connues ayant droit à des prestations, en particulier dans le domaine de l’informatique. En d’autres termes, toute personne désirant accéder à des ressources quelconques, telle que l’ouverture des portes de son laboratoire, doit pouvoir être identifiée par ses attributs publics (nom civil, username informatique, carte CAMIPRO...) et authentifiée par ses attributs privés, c’est-à-dire connus d’elle seule (mots de passe, NIP,...) avant d’obtenir les droits d’accès (ACL, Access Control List) correspondant à son statut (étudiant, personnel, invité,...). En bref, il s’agit de répondre aux besoins de l’Ecole en matière d’ Identification - Authentification - Contrôle d’Accès (IACA), soit les trois aspects d’un système complet de sécurisation des applications informatiques.

Ce travail a été confié à un groupe dit annuaire, dont le soussigné est le coordinateur. Notons d’ailleurs que les termes d’annuaire ou maintenant même de méta-annuaire ont été récemment détournés de leur sens initial par le département marketing d’entreprises soucieuses de simplifier la présentation de leurs produits. Mais ces termes sont faussement réducteurs, comme le diagramme des modules de services et des flux de données à mettre en oeuvre à l’EPFL tels que représentés ci-après peut vous le laisser supposer.

Situation actuelle

Deux outils sont gérés par le SIC et assurent les services d’identification et authentification pour l’Ecole : d’un côté DINFO, de l’autre GASPAR et son complément OSCAR, notre système de bornes interactives maison jouant le rôle de guichet virtuel permanent.

DINFO : Serveur central d’identification

C’est le dépôt central des informations de l’EPFL, basé sur SCIPER.

Les fournisseurs sont :

  • Service académique (SAC) : données des étudiants de l’EPFL
  • Service téléphonique : données du personnel
  • Service exploitation (SE) : données CAMIPRO
  • SIC : adresses e-mail, identificateurs informatiques
  • VPR (Vice Présidence Recherche) : URL’s professeurs.

Les consommateurs sont :

  • SIC
    • construction des annuaires on-line (CSO, LDAP)
    • mise à jour de GASPAR le fidèle serveur d’authentification
    • mise à jour du système de mail (Qmail et IMAP)
  • System managers
    • gestion automatique des utilisateurs sur leurs machines

GASPAR : Serveur central d’authentification

  • permet aux différents outils informatiques d’authentifier leurs utilisateurs ;
  • peut mettre à jours en temps réel les attributs d’authentification (username, mot de passe, etc.) des utilisateurs dans les autre systèmes d’authentification (LDAP, Active Directory, Radius,...) ;
  • c’est un outil souple dont on a le contrôle et la maîtrise complète.

Actuellement, GASPAR permet de contrôler les accès des services suivant :

  • attribution d’adresses e-mail ;
  • gestion des comptes e-mail sur le serveur central IMAP ;
  • Distrilog pour l’accès contrôlé aux logiciels ;
  • DIODE (ouvertures des machines, comptes Tremplin, configuration du proxy ftp) ;
  • GESTAC, soit l’ensemble des applications académiques ;
  • offres d’emplois et de logements de l’UNIL ;
  • attribution de certificats de sécurité (signatures électroniques et cryptage) ;
  • URL’s personnels pour l’annuaire ;
  • base de données Radius pour VPN et accès wireless au réseau ;
  • le bureau virtuel d’e-pfl ;
  • diverses autres applications Web : réservation d’objets, gestion d’absences, gestion de projets, sondage d’opinions, consultations.

et probablement beaucoup d’autres applications non connues de nos services puisque GASPAR peut-être utilisé de façon transparente par toute personne autorisée.

Contrôle des accès

Cette troisième phase de sécurisation est laissée à la discrétion des gestionnaires d’applications, qui seuls sont à même de définir de quels types de protection leurs données doivent bénéficier (données publiques, donnée confidentielles, lecture seulement, droits de modifier, de supprimer,...par profil d’utilisateur).

Progrès récents

Pour la rentrée de cette année, tous les étudiants ont pu bénéficier non seulement d’une carte CAMIPRO, soit leur carte d’identité locale, mais aussi d’une adresse e-mail, d’un nom d’utilisateur informatique et d’un mot de passe valable pour GASPAR et pour la plupart des autres prestations informatiques auxquelles ils ont droit. Ces données confidentielles leur ont été distribuées personnellement lors de la semaine d’immatriculation. La grande nouveauté est qu’elles ont aussi été rendues accessibles aux responsables de services informatiques décentralisés, responsables d’applications locales à sécuriser. Les outils utilisés pour cela sont LDAP pour le monde Unix/Linux (voir l’article de Claude Lecommandeur dans ce numéro), et l’Active Directory pour le monde Windows 2000. Pour en savoir plus sur le volet Windows, nous vous conseillons de consulter l’excellente documentation à l’adresse : http://pcline.epfl.ch/students.

Nous en profitons pour remercier François Georgy et les autres membres de la task force mise en place durant cet été, qui ont effectué un travail d’une qualité remarquable ayant abouti à la mise en fonction du domaine : students en un temps record, et selon les contraintes drastiques imposées par la rentrée.

Ce qu’il reste à faire

La tâche du groupe annuaire n’en est pas pour autant terminée. Il faudra encore notamment :

  • compléter et structurer le contenu des annuaires, et en particulier de l’Active Directory, en tenant compte de la nouvelle structure administrative de l’Ecole et des groupes de projets ;
  • créer et organiser les activités d’un bureau d’accréditation pour les personnes ne figurant pas dans les listes officielles des étudiants et du personnel, mais ayant néanmoins droit à un certain nombre de prestations (invités, entreprises sur le site,...) ;
  • développer des procédures permettant aux facultés d’ajouter dans l’annuaire des utilisateurs de services locaux connus localement (les électrons libres), tout en respectant les règles de mise à jour ;
  • mettre au point et contrôler des procédures d’alerte lors de changements d’état des personnes répertoriées ;
  • établir une coordination avec les autres universités suisses (Infrastructure d’Authentification et d’Autorisation commune pour l’enseignement supérieur suisse) ;
  • étudier des solutions de contrôle d’accès à l’aide de lecteurs des cartes à puces CAMIPRO.

Nous vous tiendrons bien sûr au courant de l’évolution de ces services à l’occasion de prochains articles.



Cherchez ...

- dans tous les Flash informatique
(entre 1986 et 2001: seulement sur les titres et auteurs)
- par mot-clé

Avertissement

Cette page est un article d'une publication de l'EPFL.
Le contenu et certains liens ne sont peut-être plus d'actualité.

Responsabilité

Les articles n'engagent que leurs auteurs, sauf ceux qui concernent de façon évidente des prestations officielles (sous la responsabilité du DIT ou d'autres entités). Toute reproduction, même partielle, n'est autorisée qu'avec l'accord de la rédaction et des auteurs.


Archives sur clé USB

Le Flash informatique ne paraîtra plus. Le dernier numéro est daté de décembre 2013.

Taguage des articles

Depuis 2010, pour aider le lecteur, les articles sont taggués:
  •   tout public
    que vous soyiez utilisateur occasionnel du PC familial, ou bien simplement propriétaire d'un iPhone, lisez l'article marqué tout public, vous y apprendrez plein de choses qui vous permettront de mieux appréhender ces technologies qui envahissent votre quotidien
  •   public averti
    l'article parle de concepts techniques, mais à la portée de toute personne intéressée par les dessous des nouvelles technologies
  •   expert
    le sujet abordé n'intéresse que peu de lecteurs, mais ceux-là seront ravis d'approfondir un thème, d'en savoir plus sur un nouveau langage.