Author Topic: Aide : zentyal - C.A.S  (Read 4990 times)

moula

  • Zen Apprentice
  • *
  • Posts: 22
  • Karma: +0/-0
    • View Profile
Aide : zentyal - C.A.S
« on: January 31, 2012, 01:14:03 am »
Bonsoir,

J'ai créé un serveur C.A.S ( Central Authentication Service) ( http://www.jasig.org/cas) en virtualisation sur mon LAN qui fonctionne en local.
Ma Gateway-Firewall  est une Zentyal.
L'administration de ZENTYAL de l'extérieur est désactivée comme c'est conseillé.
J'aimerai savoir si quelqu'un a déjà mis en place une telle plate-forme, et comment paramétrer ZENTYAL  pour qu'on puisse rentrer de l'extérieur pour s'authentifier directement sur le C.A.S?
Merci.
 

christian

  • Guest
Re: Aide : zentyal - C.A.S
« Reply #1 on: January 31, 2012, 08:01:19 am »
Laisse moi d'abord te féliciter pour ton choix   :) 
CAS est à mon sens la meilleure solution pour l'authentification des utilisteurs accédant à des applications "web based".
Une manière très élégante et sécurisée de faire du SSO pour ce périmètre.

Le seul "revers" de cette approche est que l'utilisation d'un token fait que l'utilisateur ne s'authentifie plus systématiquement à LDAP via chaque application. Dès lors, s'il y a des attributs LDAP qui ne sont pas publiques mais accessibles à l'utilisateur seulement, ça ne marche plus. Mais ce problème peut se contourner en adaptant ses controles d'accès LDAP. Très bon choix donc.

J'imagine bien sur que ton serveur CAS s'appuie sur LDAP (de Zentyal) pour l'authentification...  8)

J'avoue cependant ne pas comprendre ton besoin  ??? : utiliser ton serveur CAS interne pour des applications externes signifie que celles-ci sont configurées pour accéder à ce serveur depuis l'exterieur. Pourquoi pas mais étrange...  Dans le cas contraire, pour un utilisateur "dehors", pourquoi vouloir obtenir un token ?

Ceci étant, si tu persistes dans ce sens, CAS s'appuie uniquement sur HTTPS: tu peux donc rediriger tes requêtes d'authentification qui arriver sur l'interface externe vers ce serveur en interne.
Soit par redirection de port (mais je n'aime pas cette solution pour le protocole HTTP) soit via un reverse proxy.

Does it help ?

moula

  • Zen Apprentice
  • *
  • Posts: 22
  • Karma: +0/-0
    • View Profile
Re: Aide : zentyal - C.A.S
« Reply #2 on: January 31, 2012, 06:47:26 pm »
Merci pour ta réponse Christian et tes compliments.
je vais t'expliquer un peu mes solutions et pourquoi je peux utiliser C.A.S pour l'authentification de l'extérieur pour mes solutions.
Je vais détailler un peu plus, j'ai créé des plate-formes  CLOUD-COMPUTING PRIVE avec ces projets : Openstack ou avec ProxmoxVE, openfiler ou Freenas pour le SAN etc... en Cluster, virtualisation et High Aviability (IAAS).  Et j'ai créé plusieurs serveurs logiciels virtuels qui fonctionnent bien sur mes plate-formes privées, parmi ces serveurs openerp, glpi-ocsng, zimbra, cas, icinga... Mes plate-formes fonctionnent très bien en local, je veux qu'elles soient disponibles de l’extérieure avec authentification CAS ...

Voilà en gros ce que je mets en place et je veux qu'avec zentyal (comme firewal-gateway et son ldap) je puisse rendre ces solutions disponibles de l'extérieure avec C.A.S comme authentification. j'essaye toujours de les améliorer...

Merci beaucoup pour ton aide sur ce chapitre.

Moula   

christian

  • Guest
Re: Aide : zentyal - C.A.S
« Reply #3 on: January 31, 2012, 07:01:07 pm »
Si je comprends bien, il s'agit donc d'accéder, depuis internet, à des services qui tournent "à l'intérieur" et qui s'appuient sur CAS pour l'authentification. J'ai juste ?
Dans ce cas, je ne vois vraiment pas où est le problème: il suffit que l'tulisateur ai accès, comme je l'écrivais plus haut, au serveur CAS en HTTPS pour valider son token qui est ensuite présenté aux applications.
Ce que j'ai du mal à comprendre, c'est comment tu arrives à mettre en oeuvre des solutions avec ce niveau de complexité tout en étant arrêté par ce point qui me parait très simple en regard de ce qui tu fais à coté  ;)  ou alors c'est moi qui ne comprends pas  :-[

De mon point de vue, la problématique n'est pas CAS mais le type de gateway et l'architecture à mettre en oeuvre pour permettre un accès à tous ces services sans compromettre la sécurité sur le LAN. Une DMZ ? probablement... les règle de firewall sont à étudier avec soin  8)

moula

  • Zen Apprentice
  • *
  • Posts: 22
  • Karma: +0/-0
    • View Profile
Re: Aide : zentyal - C.A.S
« Reply #4 on: January 31, 2012, 07:17:58 pm »
Merci encore pour ta réponse.

Ce n'est pas le fait que je suis bloqué sur ce problème, mais je ne le jamais testé de l'extérieur, et je veux avoir des avis pour que je puisse faire un système bien sécurisé. Comme tu dis une DMZ s'impose peut-être. encore un chapitre pour améliorer ces plates-formes. si je crée une DMZ, suis-je obligé d'installer le serveur CAS sur un serveur physique à part pour ne pas compromettre les règles du firewall?
je vais essayer de réaliser ça.
Merci christain.
Moula   

christian

  • Guest
Re: Aide : zentyal - C.A.S
« Reply #5 on: January 31, 2012, 10:42:58 pm »
Tu veux dire que pour le moment tout est sur la même machine physique ?
Au final, ça n'a pas beaucoup d'importance, au moins pour ce qui concerne les aspect sécurité. J'ai plus d'état d'âme en ce qui concerne la haute dispo mais c'est un autre débat.
L'histoire de la DMZ, c'est surtout pour s'assurer que l'accès à tous ces services depuis internet ne donne pas, en cas d'erreur, accès direct au LAN.
Comment fonctionne to remote accès ?

moula

  • Zen Apprentice
  • *
  • Posts: 22
  • Karma: +0/-0
    • View Profile
Re: Aide : zentyal - C.A.S
« Reply #6 on: January 31, 2012, 11:16:35 pm »
Re Christian,
Pour le CAS , pour l'instant je l'ai installé sur un serveur virtuel pour le tester.
Haute dispo en état d'ame!!!! pourquoi? c'est  la HA en Fencing, avec un un switch rac de la marque APC et sincérement ça fonctionne trés bien avec mes 6 serveurs physiques compatible VT.
Ma solution je vais l'orienter vers un accés HTTPS de l'extérieur avec authentification  CAS , une fois la personne s'est authentifié, il aura accés vers tout Les services installés sur le cloud. et peut-être une double authentification avec wikid.
Un petit lien qui parle par exemple de Zimbra avec le CAS : http://www.zimbrafr.org/forum/files/file/89-sso-cas-shibboleth/
je te donnerai de nouvelles avec l'avancement de cette amélioration et merci encore pour ton aide et remarques.
Moula
 

moula

  • Zen Apprentice
  • *
  • Posts: 22
  • Karma: +0/-0
    • View Profile
Re: Aide : zentyal - C.A.S
« Reply #7 on: January 31, 2012, 11:24:43 pm »
j'ai oublié de répondre à cette question, Tu veux dire que pour le moment tout est sur la même machine physique ?
Non, les serveurs virtuels du data-center par exemple avec ProxmoxVE, je les installes toujours sur le SAN, c'est ce qui permet  à la HA de faire la migration à chaud des VMs, c'est le même système avec readhat (centos ) et conga. c'est du fencing. 

christian

  • Guest
Re: Aide : zentyal - C.A.S
« Reply #8 on: January 31, 2012, 11:50:14 pm »
Mes état d'ames étaient relatif à l'installation de "tout" sur la même machine physique mais je comprends à la lecture de ton post que ce n'est pas le cas. Donc tout baigne. Et comme tes fichiers sont sur le SAN, par de problème pour redémarrer rapidement "ailleurs". C'est selon moi la vraie valeur ajoutée de la virtualization  ;)

Ne le prends pas mal mais j'adore le coté marketing de :
Quote
Ma solution je vais l'orienter vers un accés HTTPS de l'extérieur avec authentification  CAS , une fois la personne s'est authentifié, il aura accés vers tout Les services installés sur le cloud. et peut-être une double authentification avec wikid
;D ;D ;D

S'il n'y a pas de "cloud" dans les solutions présentées de nos jours,  alors ça ne vaut rien. C'est ce que j'appelle "EaaS" (Everything as a Service)  :P :P

Joke aside, WikID pour faire de l'authentificaiton "forte"... pourquoi pas... OTP est un plus lorsqu'il s'agit de securiser du remote access.
As-tu décidé si l'accès se fait par redirection ou par reverse proxy. L'utilisation du reverse proxy te permet d'isoler encore un peu plus ta plateforme et de faire l'authentificaiton initiale au niveau du reverse proxy frontal, en CAS, lequel s'intègre avec WikID. A ce niveau j'ai un doute car CAS <-> WikID s'appuie sur Radius non ? Comment alors beneficier du LDAP de Zentyal?
Il faudrait faire du CAS <-> LDAP et du LDAP <-> SASL lequel viendrait s'appuyer sur WikID... mais tu as certainement les idées plus claires que moi à ce sujet  ;)

moula

  • Zen Apprentice
  • *
  • Posts: 22
  • Karma: +0/-0
    • View Profile
Re: Aide : zentyal - C.A.S
« Reply #9 on: February 01, 2012, 12:07:59 am »
Je connaissais SAAS, PAAS, IAAS mais EAAS c'est nouveau pour moi, pas mal Christian  ;D
je te donnerai des nouvelles peut-être demain, si j'ai réussi à avancer sur le CAS.

Merci encore
bonne nuit

christian

  • Guest
Re: Aide : zentyal - C.A.S
« Reply #10 on: February 01, 2012, 12:08:59 pm »
Note bien que dans mon propos, EaaS était plutôt ironique (sans vouloir cependant dénigrer le projet très intéressant sur lequel tu travailles): je lutte contre la propension actuelle à vouloir mettre du "cloud" de partout sans que cela ai nécessairement du sens.
S'il y a quelques domaines dans lesquels il y a une réelle offre de type "cloud" qui permet au client de faire totalement abstraction de la solution mise en œuvre pour se concentrer sur le service et bénéficier de la flexibilité de l'offre, il y a aussi souvent, et malheureusement, une appellation "cloud" dès lors qu'il y a plus d'un serveur ou qu'il y a la moindre VM...  >:(

Bref, le "could" a toutes les sauces...

Encore une fois, je ne dis pas ça pour toi  ;)

moula

  • Zen Apprentice
  • *
  • Posts: 22
  • Karma: +0/-0
    • View Profile
Re: Aide : zentyal - C.A.S
« Reply #11 on: February 01, 2012, 04:33:30 pm »
La photo de l'un de mes datacenters , je dis datacenter, puisque Christian n'aime pas le mot CLOUD à toutes les sauces. http://imageshack.us/f/109/datacenter1.jpg/ où le C.A.S  fonctionne aussi, mais je voudrai bien le mettre sur un serveur physique à part comme ips-ids ( sericata avec snorby).

Désolé Christian, je n'ai pas eu le temps pour avancer côté wan et la sécurité.
@+