Le contexte
Depuis 2004, la PLM (Plate-forme en Ligne pour les Mathématiques) propose des services basés sur un annuaire LDAP avec un principe de délégation pour la gestion des utilisateurs :
-
Chaque laboratoire souhaitant bénéficier des services MATHRICE a toute autonomie pour créer des utilisateurs.
-
Ces utilisateurs peuvent ensuite évoluer et migrer d’un laboratoire à un autre en adéquation avec leur parcours professionnel.
-
Chaque laboratoire est considéré comme une “branche” et chaque “branche” est géré par un “gestionnaire” (= correpondant Mathrice dans le laboratoire).
DEMO
- L’authentification de la PLM est donc sous la responsabilité partagée de chaque gestionnaire.
Depuis 2013, la PLM évolue vers une authentification fédérée (Fédération RENATER) et est appelée à prendre en compte un plus grand nombre d’individus. Des laboratoires pourraient maintenant exploiter cette information et peut-être éviter la duplication de comptes et d’authentification pour leur population.
Objectif du projet
L’objectif du projet est de propager la base d’authentification gérée par Mathrice vers les laboratoires. Actuellement, chaque chercheur a une identité numérique dans son établissement, et dans Mathrice (et souvent dans d’autres centres : labo, université, INRIA, …).
Les gains prévisibles :
- diminuer le nombre d’identités numériques (ex comptes informatiques) pour les utilisateurs
- pouvoir accueillir des invités dans le laboratoire sans avoir à dupliquer des comptes locaux
- bénéficier des outils de gestion personnalisé (“à la Mathrice” => supporté par l’équipe de la PLM “PLM-Team”) des comptes (appelés alors identités numériques) mis en oeuvre sur la PLM
- apporter de la sécurité dans les laboratoires
Exploiter l’existant
- les annuaires opérés par Mathrice : PLM (les comptes) et l’annuaire de la communauté mathématique française (annuaire “emath”)
- les compétences kerberos : serveurs Kerberos (1 master et 2 replicas) mis en place au niveau national, composé d’une extraction des informations de l’annuaire PLM (les entrées “dn” des comptes et leurs groupes d’appartenance) auquel on a ajouté le schéma kerberos afin de stocker la base des “principals” kerberos et des secrets des utilisateurs
Mécanismes utilisés
1- une réplication partielle du backend LDAP contrôlée par des filtres et des ACLs (récupération des membres en affectation principale et secondaire dans le laboratoire)
- via l’overlay “syncrepl” et des ACLs basées sur des expressions régulières
2- installation d’un serveur Kerberos localement dans le laboratoire
- s’appuyant sur un réplica partiel
- dans le royaume Kerberos MATHRICE.FR
- avec une gestion de l’approbation dans le principal national, et gestion des tickets utilisateurs au niveau local
Conséquence de cette mise en oeuvre
- un royaume MATHRICE.FR dans chaque laboratoire (réplica partiel du royaume national)
- un royaume MONLABO.FR dans chaque laboratoire, avec approbation avec le royaume MATHRICE.FR (se fait une fois) : mécanisme de “Cross Realm”
- une possibilité aussi de fonctionner en meta-annuaire qui interroge d’abord le backend LDAP du Kerberos local puis le backend national
- possibilité de recevoir des invités courte ou longue durée d’autres laboratoires ou d’ailleurs
- remarque : ne permettra pas de SSO entre les services du laboratoire et les services nationaux
Précautions
- avoir un autre réplica LDAP local
- avoir un esclave kerberos local (en base locale)
- protéger le secret du KDC
- réplication sous la responsabilité des administrateurs de ce groupe
- s’appuyer sur une base LDAP locale pour gérer ses propres attributs posixAccount, mais avec des RDN équivalents (les identifiants doivent correspondre)
- ou bien répliquer sur le même schéma les comptes standards de l’annuaire LDAP national (si on souhaite utiliser les informations des comptes nationaux)