Authentification forte "en interne"

Le
fouldou
Bonjour a tous,

Je souhaite mettre en place au sein de notre entreprise, une
authentification forte (AF) en interne, c'est-à-dire uniquement pour
notre équipe d'administrateurs système qui sont amenés à intervenir
sur les postes utilisateurs de notre entreprise. Notre parc et nos
serveurs sont sous W2000.

La totalité des solutions que j'ai étudié sur internet (Activecard,
RSA Security, Vaco digipass, etc.) offre une authentification forte
qu'a distance (RAS, VPN, etc.)

J'insiste sur le fait que les administrateurs auront à se loguer de
manière non distante (tout se passe dans notre entreprise). Il
semblerait en effet que les solutions d'AF soient liées à une
connexion distante uniquement de type VPN par exemple.

Aussi, si quelqu'un pouvait me dire si une AF en interne existe.
Laquelle ?
L'ideal sera une solution avec token de type calculette ou un
administrateur qui intervient sur un poste utilisateur se logue (GINA
windows) puis indique le mot de passe dynamique à usage unique génégé
par la calculette.

Je cherche depuis un moment en vain. D'avance merci pour vos
informations.
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Clement Seveillac
Le #432977
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Ce 5 Apr 2004 05:47:48 -0700,
Douda
Je souhaite mettre en place au sein de notre entreprise, une
authentification forte (AF) en interne, c'est-à-dire uniquement pour
notre équipe d'administrateurs système qui sont amenés à intervenir
sur les postes utilisateurs de notre entreprise. Notre parc et nos
serveurs sont sous W2000.

La totalité des solutions que j'ai étudié sur internet (Activecard,
RSA Security, Vaco digipass, etc.) offre une authentification forte
qu'a distance (RAS, VPN, etc.)


Qu'en est-il de l'ActivCard Identity Management System [1], par
exemple ? Les cartes a puce comme ActivCard peuvent en effet s'integrer
a Active Directory pour les authentifications sur le domaine, meme en
local et sans VPN.

[1] http://www.activcard.com/activ/services/library/aims_standard_a4.pdf

Je n'ai pas le temps de l'etudier plus avant, mais cette solution
sera bien sur assez lourde s'il faut deployer lecteurs et platforme
logicielle client sur tous les postes de votre entreprise, alors que
seul un petit groupe d'administrateurs possederont les cartes ad hoc.
(quoi que des cartes a puce de type ActivKey, ou eGate chez Axalto, se
branchent directement sur le port USB !)

J'insiste sur le fait que les administrateurs auront à se loguer de
manière non distante (tout se passe dans notre entreprise). Il
semblerait en effet que les solutions d'AF soient liées à une
connexion distante uniquement de type VPN par exemple.


Je suis certain qu'il existe depuis plusieurs annees plusieurs
solutions pour se loguer sur un domaine Windows 'local' au moyen de
token physiques. Cela va des solutions activcard aux cartes axalto
cryptoflex au middleware entrust, que j'ai vu permettre de se loguer
au choix par mot de passe ou par carte a puce une fois cette carte
initialisee et la librairie d'ouverture de session gina.dll remplacee
sur le poste client.

Aussi, si quelqu'un pouvait me dire si une AF en interne existe.
Laquelle ? L'ideal sera une solution avec token de type calculette ou
un administrateur qui intervient sur un poste utilisateur se logue
(GINA windows) puis indique le mot de passe dynamique à usage unique
génégé par la calculette.


Les token de type calculettes vendus par exemple par RSA Security me
semblent en effet plutot destines a des consultations distantes, par
exemple depuis le client d'un prestataire, ou l'interet d'un mot de
passe unique est clair. Mais vous devriez trouver votre bonheur, au
moins en theorie (les couts etant une tout autre histoire), du cote des
cartes a puce.

Cordialement,

- --
clem / Clement Seveillac
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.4 (GNU/Linux)
Comment: Secure Email! http://dudu.dyn.2-h.org/gpg-enigmail-howto

iQEVAwUBQHYMopC029jjKP/wAQLjkgf/XN+95M6xw6b2b6OgP6rEJQ4JRE1+i2Q6
UnQr7V7O807bG7LezJkzhH1E8doocgPII0WmoxkoHSL2dM+Bn/QFH+pgOdrMCOig
2iff5QhpOqmhi+L0W/PY5d1O8mZSbYNLximVkPoCVTYFyJ1/ynDQJ8Udiia+h8Xw
DqDaby8/+mnOjT1d43IgyhXxNyM+fuFBSNTI55fveg3AYJswq/G9Ex4vovvUs3vF
HahTuj0n0vmKrDcZF50BwdNGhuTNLRLWkvBIUgvHkBnUAAmPZhmxiJa09NqC7YKl
lKr2NhGm4itJarACZfWgsw78chcdli14oBDIY/ElLOhi4Yg8iqKxyg= =DShO
-----END PGP SIGNATURE-----

secret
Le #432717
Justement nous avons une authentification forte en interne chez nous
uniquement pour les admins.

Parc : windows 2000 server et windows 2000 clients:

Token : ActivCard USB (petit bout de plastique bleu avec carte à puce
interne qui se branche sur le port USB).
Les ouvertures sont validées par Active Directory

Pour le deploiement chaque poste windows 2000 pro sur lequel l'admin doit
pouvoir se connecter doit avoir le soft ActivCard installé sinon le token
USB n'est pas reconnu. C'est tout rien d'autre à faire.

Windows Certificate Server (serveur de certificat) doit être installé sur le
serveur Active Directory.

On a un poste réservé où on insert le token et on utilise certificate server
pour créer les certificats. Le certificat est stocké dans active directory,
la clé privée de l'admin est stockée dans la clé USB.
Chaque clé USB coûte quand même environ 500 francs (de l'époque des francs
:)

On insert la clé USB dans un poste, on entre le code PIN de la clé USB et la
session s'ouvre.

C'est bcp plus sûr que les mots de passe car le certificat et la clé privée
(on utilise du 1024 bits) chiffre l'ouverture de session, plus possible de
cracker les mots de passe en les interceptants sur le réseau avec divers
outils de sniffs.
Les certificats sont mappés sur les comptes utilisateurs.

On utilise cela depuis près d'un an, c'est inpeccable ca s'integre
parfaitement dans Active Directory.

Seul problème : faut installer le soft active card sur tous les postes sur
lesquelles on doit ouvrir la session (postes et serveurs).
Si on a 5000 postes c'est lourd :)
Il semble pas y avoir de façon de le déplyer à distance.
Nicob
Le #432716
On Tue, 13 Apr 2004 20:16:41 +0200, secret wrote:

Seul problème : faut installer le soft active card sur tous les postes
sur lesquelles on doit ouvrir la session (postes et serveurs). Si on a
5000 postes c'est lourd :)
Il semble pas y avoir de façon de le déplyer à distance.


Même si la fonctionalité n'est pas incluse dans le logiciel à
proprement parler, il est possible de déployer n'importe quel soft en
utilisant des outils tiers dédiés à la gestion à distance de parc
informatique.

Donc tout est une question d'outils ...


Nicob

Publicité
Poster une réponse
Anonyme