SERVICE INFORMATIQUE CENTRAL

french only
   > SIC > Flash informatique > an 2001 > numéro de novembre 2001

  FI 9/1

L'aventure niceberg
PDF, 112 K
Pierre Crevoisier



Une remplaçante à la réception du SIC



La musique adoucit les moeurs
PDF, 56 K
Jacques Virchaux



L'histoire secrète du signe @
PDF, 57 K
Bruno Guissani



Projet e-pfl; l'équipe e-pfl prend forme
PDF,48 K
Elaine Mc Murray



Authentification via le serveur LDAP
PDF, 48 K
Claude Lecommandeur



Le système central d'identification et d'authentification à l'EPFL
PDF, 64 K
Jean-Jacques Dumont



FileMaker Pro 5 - Les listes de valeurs (1ère partie)
PDF, 105 K
Isabelle Fernandez



Messagerie électronique: POP ou IMAP, vous pouvez choisir
PDF, 41 K
Jacqueline Dousson


 
Jean-Jacques.Dumont@epfl.ch, SIC


Le Système Central d'Identification et d'Authentification à l'EPFL
(SCIA , qu'est-ce ? )

Introduction

Une des premières actions concrètes menées dans le cadre du projet de restructuration des services informatiques (dit IT2001) actuellement en cours consiste en une consolidation des services d'annuaires de l'Ecole, jugé prioritaire en fonction des innombrables besoins exprimés. Le sujet n'est en effet pas anodin: il s'agit pour le moins d'établir une liste complète, cohérente et à jour en tout temps de toutes les personnes connues ayant droit à des prestations, en particulier dans le domaine de l'informatique. En d'autres termes, toute personne désirant accéder à des ressources quelconques, telle que l'ouverture des portes de son laboratoire, doit pouvoir être identifiée par ses attributs publics (nom civil, username informatique, carte CAMIPRO...) et authentifiée par ses attributs privés, c'est-à-dire connus d'elle seule (mots de passe, NIP,...) avant d'obtenir les droits d'accès (ACL, Access Control List) correspondant à son statut (étudiant, personnel, invité,...). En bref, il s'agit de répondre aux besoins de l'Ecole en matière d' Identification - Authentification - Contrôle d'Accès (IACA), soit les trois aspects d'un système complet de sécurisation des applications informatiques.

Ce travail a été confié à un groupe dit annuaire, dont le soussigné est le coordinateur. Notons d'ailleurs que les termes d'annuaire ou maintenant même de méta-annuaire ont été récemment détournés de leur sens initial par le département marketing d'entreprises soucieuses de simplifier la présentation de leurs produits. Mais ces termes sont faussement réducteurs, comme le diagramme des modules de services et des flux de données à mettre en oeuvre à l'EPFL tels que représentés ci-après peut vous le laisser supposer.

Situation actuelle

Deux outils sont gérés par le SIC et assurent les services d'identification et authentification pour l'Ecole: d'un côté DINFO, de l'autre GASPAR et son complément OSCAR, notre système de bornes interactives maison jouant le rôle de guichet virtuel permanent.

DINFO: Serveur central d'identification

C'est le dépôt central des informations de l'EPFL, basé sur SCIPER.

Les fournisseurs sont:

  • Service académique (SAC): données des étudiants de l'EPFL
  • Service téléphonique: données du personnel
  • Service exploitation (SE): données CAMIPRO
  • SIC: adresses e-mail, identificateurs informatiques
  • VPR (Vice Présidence Recherche): URL's professeurs.

Les consommateurs sont:

  • SIC
    • construction des annuaires on-line (CSO, LDAP)
    • mise à jour de GASPAR le fidèle serveur d'authentification
    • mise à jour du système de mail (Qmail et IMAP)
  • System managers
    • gestion automatique des utilisateurs sur leurs machines

GASPAR: Serveur central d'authentification

  • permet aux différents outils informatiques d'authentifier leurs utilisateurs;
  • peut mettre à jours en temps réel les attributs d'authentification (username, mot de passe, etc.) des utilisateurs dans les autre systèmes d'authentification (LDAP, Active Directory, Radius,...);
  • c'est un outil souple dont on a le contrôle et la maîtrise complète.

Actuellement, GASPAR permet de contrôler les accès des services suivant:

  • attribution d'adresses e-mail;
  • gestion des comptes e-mail sur le serveur central IMAP;
  • Distrilog pour l'accès contrôlé aux logiciels;
  • DIODE (ouvertures des machines, comptes Tremplin, configuration du proxy ftp);
  • GESTAC, soit l'ensemble des applications académiques;
  • offres d'emplois et de logements de l'UNIL;
  • attribution de certificats de sécurité (signatures électroniques et cryptage);
  • URL's personnels pour l'annuaire;
  • base de données Radius pour VPN et accès wireless au réseau;
  • le bureau virtuel d'e-pfl;
  • diverses autres applications Web: réservation d'objets, gestion d'absences, gestion de projets, sondage d'opinions, consultations.

et probablement beaucoup d'autres applications non connues de nos services puisque GASPAR peut-être utilisé de façon transparente par toute personne autorisée.

Contrôle des accès

Cette troisième phase de sécurisation est laissée à la discrétion des gestionnaires d'applications, qui seuls sont à même de définir de quels types de protection leurs données doivent bénéficier (données publiques, donnée confidentielles, lecture seulement, droits de modifier, de supprimer,...par profil d'utilisateur).

Progrès récents

Pour la rentrée de cette année, tous les étudiants ont pu bénéficier non seulement d'une carte CAMIPRO, soit leur carte d'identité locale, mais aussi d'une adresse e-mail, d'un nom d'utilisateur informatique et d'un mot de passe valable pour GASPAR et pour la plupart des autres prestations informatiques auxquelles ils ont droit. Ces données confidentielles leur ont été distribuées personnellement lors de la semaine d'immatriculation. La grande nouveauté est qu'elles ont aussi été rendues accessibles aux responsables de services informatiques décentralisés, responsables d'applications locales à sécuriser. Les outils utilisés pour cela sont LDAP pour le monde Unix/Linux (voir l'article de Claude Lecommandeur dans ce numéro), et l'Active Directory pour le monde Windows 2000. Pour en savoir plus sur le volet Windows, nous vous conseillons de consulter l'excellente documentation à l'adresse: http://pcline.epfl.ch/students.

Nous en profitons pour remercier François Georgy et les autres membres de la task force mise en place durant cet été, qui ont effectué un travail d'une qualité remarquable ayant abouti à la mise en fonction du domaine: students en un temps record, et selon les contraintes drastiques imposées par la rentrée.

Ce qu'il reste à faire

La tâche du groupe annuaire n'en est pas pour autant terminée. Il faudra encore notamment:

  • compléter et structurer le contenu des annuaires, et en particulier de l'Active Directory, en tenant compte de la nouvelle structure administrative de l'Ecole et des groupes de projets;
  • créer et organiser les activités d'un bureau d'accréditation pour les personnes ne figurant pas dans les listes officielles des étudiants et du personnel, mais ayant néanmoins droit à un certain nombre de prestations (invités, entreprises sur le site,...);
  • développer des procédures permettant aux facultés d'ajouter dans l'annuaire des utilisateurs de services locaux connus localement (les électrons libres), tout en respectant les règles de mise à jour;
  • mettre au point et contrôler des procédures d'alerte lors de changements d'état des personnes répertoriées;
  • établir une coordination avec les autres universités suisses (Infrastructure d'Authentification et d'Autorisation commune pour l'enseignement supérieur suisse);
  • étudier des solutions de contrôle d'accès à l'aide de lecteurs des cartes à puces CAMIPRO.

Nous vous tiendrons bien sûr au courant de l'évolution de ces services à l'occasion de prochains articles.


© FI-9-1 du 20 novembre 2001

version de l'article en pdf

Vos commentaires

retour à la page principale
des Flash informatique