1.1.1 POURQUOI UTILISER UN SERVICE D’AUTHENTIFICATION ?
Tout d’abord, il faut se souvenir que dans des temps très reculés à l’échelle de l’informatique, dans les années 70, les terminaux étaient reliés au serveur par des liens spécialisés. Pour s’infiltrer, un hacker devait donc obligatoirement se brancher physiquement sur ces liens.
Lorsque les réseaux ont commencé à utiliser un modèle client-serveur(6) et que les terminaux ont été remplacés par les PC, les administrateurs ne pouvaient plus avoir confiance aux utilisateurs. En effet, ceux-ci peuvent désormais modifier un logiciel ou écouter le réseau. Il a donc fallu mettre en place un système permettant de rétablir cette confiance sur le réseau.
La solution proposée est la mise en place d’un système d’authentification, permettant de rétablir la confiance dans le réseau, car dès lorsque les interlocuteurs se connaissent et peuvent s’identifier. Elle a été proposée pour la sécurité, afin que seules les personnes concernées puissent consulter les informations confidentielles.
1.1.2 LES ACTEURS D’AUTHENTIFICATION
Ce sont les concepts et objets manipulés pendant l’authentification.
. Un utilisateur
Désigne une personne physique ayant les natures suivantes :
– un étudiant
– un membre du personnel ou un client
– une entité administrative
– un administrateur informatique
– un invité etc…
. Un groupe
Les utilisateurs peuvent être regroupés en groupe statique ou dynamique. Ces groupes sont utilisés pour faciliter la gestion en masse des habilitations.
On peut regrouper ces acteurs en 3 natures : un client, un serveur proposant le service demandé et un serveur d’authentification.
. Un compte
A chaque personne peuvent être associés des comptes d’accès aux différents systèmes et applications.
Le compte est défini par l’identifiant d’accès, un mot de passe, et plusieurs attributs supplémentaires, en fonction de l’environnement dans lequel il est crée comme : la politique de mot de passe associée, l’accès externe autorisé ou non, l’état du compte, les modes d’authentifications autorisés etc… Il existe quatre types de compte :
Le compte global : Compte unique, identifie une personne dans le référentiel central et est utilisé par tous les processus d’attribution des droits.
Le compte utilisateur : compte qui donne accès à un utilisateur dans un environnement particulier auquel cet utilisateur est habilité. Chaque compte utilisateur est obligatoirement associé à une personne.
Le compte d’administration : Ce compte donne l’accès à un administrateur dans un environnement particulier. Il n’est pas associé à une personne.
Le compte « de service fonctionnel ou technique » : Compte utilisé par les composants d’un système pour accéder aux services applicatifs et/ou données d’un autre système. Aucune personne n’est autorisée à l’utiliser.
1.1.3 LES SERVICES D’AUTHENTIFICATION
Les termes associés aux services d’authentification sont : Identification, Authentification et Autorisation. Le travail de ces services est avant tout l’authentification.
L’identification permet de vérifier l’identité d’une personne via un login par exemple.
L’authentification permet de s’assurer qu’une personne est bien celle qu’elle prétend être par login et mot de passe.
L’autorisation permet à partir de l’identification et l’authentification de définir des droits à une personne.
Après la phase d’authentification des utilisateurs, le système pourra autoriser ces utilisateurs sur le service auquel ils tentent d’accéder par le contrôle de leurs droits d’accès. Le service d’autorisation est chargé d’évaluer les droits effectifs sur la base des informations fournies par le service d’authentification :
– Authentification Windows pour SAMBA
– Authentification accès distant (Radius)
– Authentification Web Apache/IIS
– Authentification SGBD Oracle/MySQL
– Authentification messagerie (Webmail)
On peut distinguer deux types d’authentification : l’authentification d’un tiers et l’authentification de la source des données. L’authentification d’un tiers consiste à prouver son identité. L’authentification de la source des données sert à prouver que les données reçues viennent de l’émetteur déclaré.
1.1.4 LES PROTOCOLES D’AUTHENTIFICATION
De nombreux protocoles d’authentification requièrent une authentification de l’identité ou de l’équipement avant d’accorder des droits d’accès. Les principaux protocoles d’authentification sont :
– RADIUS
– TACACS
– Kerberos.
Les protocoles de la famille TACACS sont assez répandus. Ils utilisent le protocole TCP contrairement à RADIUS qui s’appuie sur UDP. Toutefois, ce ne sont pas des standards définis par un organisme de standardisation comme l’IETF. Seuls RADIUS et Kerberos sont des standards.
Kerberos est mis en place dans l’authentification Windows 2000 au sein d’Active Directory. Ce protocole permet l’authentification des entités communicantes (clients et serveurs) et des utilisateurs.
6 Système disposant d’un client pour les requêtes vers un serveur répondant à ces requêtes