Chapitre 1. Aperçu de la planification de l'IdM et du contrôle d'accès dans RHEL
Les sections suivantes fournissent une vue d'ensemble des options de gestion des identités (IdM) et de contrôle d'accès dans Red Hat Enterprise Linux. Après avoir lu ces sections, vous serez en mesure d'aborder la phase de planification de votre environnement.
1.1. Introduction à l'IdM
Ce module explique l'objectif de la gestion d'identité (IdM) dans Red Hat Enterprise Linux. Il fournit également des informations de base sur le domaine IdM, y compris les machines client et serveur qui font partie du domaine.
L'objectif de l'IdM dans Red Hat Enterprise Linux
IdM dans Red Hat Enterprise Linux fournit un moyen centralisé et unifié de gérer les magasins d'identité, l'authentification, les politiques et les politiques d'autorisation dans un domaine basé sur Linux. IdM réduit considérablement la charge administrative liée à la gestion individuelle de différents services et à l'utilisation de différents outils sur différentes machines.
IdM est l'une des rares solutions logicielles centralisées d'identité, de politique et d'autorisation à prendre en charge :
- Fonctionnalités avancées des environnements de systèmes d'exploitation Linux
- Unifier de grands groupes de machines Linux
- Intégration native avec Active Directory
IdM crée un domaine basé sur Linux et contrôlé par Linux :
- L'IdM s'appuie sur des outils et des protocoles Linux natifs existants. Il possède ses propres processus et sa propre configuration, mais ses technologies sous-jacentes sont bien établies sur les systèmes Linux et sont reconnues par les administrateurs Linux.
- Les serveurs et les clients IdM sont des machines Red Hat Enterprise Linux. Les clients IdM peuvent également être d'autres distributions Linux et UNIX si elles prennent en charge les protocoles standard. Un client Windows ne peut pas être membre du domaine IdM, mais les utilisateurs connectés à des systèmes Windows gérés par Active Directory (AD) peuvent se connecter à des clients Linux ou accéder à des services gérés par IdM. Pour ce faire, on établit une confiance inter-forêts entre les domaines AD et IdM.
Gestion des identités et des politiques sur plusieurs serveurs Linux
Without IdM: Chaque serveur est administré séparément. Tous les mots de passe sont enregistrés sur les machines locales. L'administrateur informatique gère les utilisateurs sur chaque machine, définit les politiques d'authentification et d'autorisation séparément et conserve les mots de passe locaux. Cependant, les utilisateurs ont souvent recours à d'autres solutions centralisées, par exemple l'intégration directe avec AD. Les systèmes peuvent être directement intégrés à AD à l'aide de plusieurs solutions différentes :
- Anciens outils Linux (dont l'utilisation n'est pas recommandée)
- Solution basée sur Samba winbind (recommandée pour des cas d'utilisation spécifiques)
- Solution basée sur un logiciel tiers (nécessite généralement une licence d'un autre fournisseur)
- Solution basée sur SSSD (native Linux et recommandée pour la majorité des cas d'utilisation)
With IdM: L'administrateur informatique peut :
- Conserver les identités dans un lieu central : le serveur IdM
- Appliquer des politiques de manière uniforme à plusieurs machines en même temps
- Définir différents niveaux d'accès pour les utilisateurs en utilisant le contrôle d'accès basé sur l'hôte, la délégation et d'autres règles
- Gestion centralisée des règles d'escalade des privilèges
- Définir le mode de montage des répertoires personnels
SSO d'entreprise
Dans le cas d'IdM Enterprise, l'authentification unique (SSO) est mise en œuvre à l'aide du protocole Kerberos. Ce protocole est populaire au niveau de l'infrastructure et permet l'authentification unique avec des services tels que SSH, LDAP, NFS, CUPS ou DNS. Les services web utilisant différentes piles web (Apache, EAP, Django et autres) peuvent également être activés pour utiliser Kerberos pour le SSO. Toutefois, la pratique montre que l'utilisation d'OpenID Connect ou de SAML pour le SSO est plus pratique pour les applications web. Pour faire le lien entre les deux couches, il est recommandé de déployer un fournisseur d'identité (IdP) capable de convertir l'authentification Kerberos en ticket OpenID Connect ou en assertion SAML. La technologie SSO de Red Hat basée sur le projet open source Keycloak est un exemple d'un tel IdP
Without IdM: Les utilisateurs se connectent au système et sont invités à entrer un mot de passe chaque fois qu'ils accèdent à un service ou à une application. Ces mots de passe peuvent être différents et les utilisateurs doivent se rappeler quel identifiant utiliser pour quelle application.
With IdM: Une fois que les utilisateurs se sont connectés au système, ils peuvent accéder à de nombreux services et applications sans qu'on leur demande à plusieurs reprises leurs informations d'identification. Cela permet de :
- Améliorer la convivialité
- Réduire le risque que les mots de passe soient écrits ou stockés de manière non sécurisée
- Augmenter la productivité des utilisateurs
Gestion d'un environnement mixte Linux et Windows
Without IdM: Les systèmes Windows sont gérés dans une forêt AD, mais les équipes de développement, de production et autres disposent de nombreux systèmes Linux. Les systèmes Linux sont exclus de l'environnement AD.
With IdM: L'administrateur informatique peut :
- Gérer les systèmes Linux à l'aide d'outils Linux natifs
- Intégrer les systèmes Linux dans les environnements gérés de manière centralisée par Active Directory, ce qui permet de conserver une base de données centralisée des utilisateurs.
- Déployer facilement de nouveaux systèmes Linux à grande échelle ou selon les besoins.
- Réagir rapidement aux besoins de l'entreprise et prendre des décisions relatives à la gestion de l'infrastructure Linux sans dépendre d'autres équipes, ce qui permet d'éviter les retards.
Comparaison entre l'IdM et un annuaire LDAP standard
Un annuaire LDAP standard, tel que Red Hat Directory Server, est un annuaire polyvalent : il peut être personnalisé pour répondre à un large éventail de cas d'utilisation.
- Schéma : un schéma flexible qui peut être personnalisé pour un large éventail d'entrées, telles que les utilisateurs, les machines, les entités du réseau, l'équipement physique ou les bâtiments.
- Généralement utilisé comme : un répertoire d'arrière-plan pour stocker des données pour d'autres applications, telles que les applications commerciales qui fournissent des services sur Internet.
L'IdM a un objectif spécifique : gérer les identités internes, au sein de l'entreprise, ainsi que les politiques d'authentification et d'autorisation liées à ces identités.
- Schéma : un schéma spécifique qui définit un ensemble particulier d'entrées pertinentes pour son objectif, telles que les entrées pour les identités des utilisateurs ou des machines.
- Généralement utilisé comme : serveur d'identité et d'authentification pour gérer les identités dans les limites d'une entreprise ou d'un projet.
La technologie sous-jacente du serveur d'annuaire est la même pour Red Hat Directory Server et IdM. Cependant, IdM est optimisé pour gérer les identités au sein de l'entreprise. Cela limite son extensibilité générale, mais apporte également certains avantages : une configuration plus simple, une meilleure automatisation de la gestion des ressources et une efficacité accrue dans la gestion des identités de l'entreprise.
Ressources supplémentaires
- Identity Management or Red Hat Directory Server - Which One Should I Use ? sur le blog de Red Hat Enterprise Linux
- Article de la base de connaissances sur les protocoles standard
- Documentation produit pour Red Hat Enterprise Linux 9