Je souhaite mettre en place au sein de notre entreprise, une
authentification forte (AF) en interne, c'est-à-dire uniquement pour
notre équipe d'administrateurs système qui sont amenés à intervenir
sur les postes utilisateurs de notre entreprise. Notre parc et nos
serveurs sont sous W2000.
La totalité des solutions que j'ai étudié sur internet (Activecard,
RSA Security, Vaco digipass, etc.) offre une authentification forte
qu'a distance (RAS, VPN, etc.)
J'insiste sur le fait que les administrateurs auront à se loguer de
manière non distante (tout se passe dans notre entreprise). Il
semblerait en effet que les solutions d'AF soient liées à une
connexion distante uniquement de type VPN par exemple.
Aussi, si quelqu'un pouvait me dire si une AF en interne existe.
Laquelle ?
L'ideal sera une solution avec token de type calculette ou un
administrateur qui intervient sur un poste utilisateur se logue (GINA
windows) puis indique le mot de passe dynamique à usage unique génégé
par la calculette.
Je cherche depuis un moment en vain. D'avance merci pour vos
informations.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Clement Seveillac
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Ce 5 Apr 2004 05:47:48 -0700, Douda écrivait :
Je souhaite mettre en place au sein de notre entreprise, une authentification forte (AF) en interne, c'est-à-dire uniquement pour notre équipe d'administrateurs système qui sont amenés à intervenir sur les postes utilisateurs de notre entreprise. Notre parc et nos serveurs sont sous W2000.
La totalité des solutions que j'ai étudié sur internet (Activecard, RSA Security, Vaco digipass, etc.) offre une authentification forte qu'a distance (RAS, VPN, etc.)
Qu'en est-il de l'ActivCard Identity Management System [1], par exemple ? Les cartes a puce comme ActivCard peuvent en effet s'integrer a Active Directory pour les authentifications sur le domaine, meme en local et sans VPN.
Je n'ai pas le temps de l'etudier plus avant, mais cette solution sera bien sur assez lourde s'il faut deployer lecteurs et platforme logicielle client sur tous les postes de votre entreprise, alors que seul un petit groupe d'administrateurs possederont les cartes ad hoc. (quoi que des cartes a puce de type ActivKey, ou eGate chez Axalto, se branchent directement sur le port USB !)
J'insiste sur le fait que les administrateurs auront à se loguer de manière non distante (tout se passe dans notre entreprise). Il semblerait en effet que les solutions d'AF soient liées à une connexion distante uniquement de type VPN par exemple.
Je suis certain qu'il existe depuis plusieurs annees plusieurs solutions pour se loguer sur un domaine Windows 'local' au moyen de token physiques. Cela va des solutions activcard aux cartes axalto cryptoflex au middleware entrust, que j'ai vu permettre de se loguer au choix par mot de passe ou par carte a puce une fois cette carte initialisee et la librairie d'ouverture de session gina.dll remplacee sur le poste client.
Aussi, si quelqu'un pouvait me dire si une AF en interne existe. Laquelle ? L'ideal sera une solution avec token de type calculette ou un administrateur qui intervient sur un poste utilisateur se logue (GINA windows) puis indique le mot de passe dynamique à usage unique génégé par la calculette.
Les token de type calculettes vendus par exemple par RSA Security me semblent en effet plutot destines a des consultations distantes, par exemple depuis le client d'un prestataire, ou l'interet d'un mot de passe unique est clair. Mais vous devriez trouver votre bonheur, au moins en theorie (les couts etant une tout autre histoire), du cote des cartes a puce.
Ce 5 Apr 2004 05:47:48 -0700,
Douda <fouldou@caramail.com> écrivait :
Je souhaite mettre en place au sein de notre entreprise, une
authentification forte (AF) en interne, c'est-à-dire uniquement pour
notre équipe d'administrateurs système qui sont amenés à intervenir
sur les postes utilisateurs de notre entreprise. Notre parc et nos
serveurs sont sous W2000.
La totalité des solutions que j'ai étudié sur internet (Activecard,
RSA Security, Vaco digipass, etc.) offre une authentification forte
qu'a distance (RAS, VPN, etc.)
Qu'en est-il de l'ActivCard Identity Management System [1], par
exemple ? Les cartes a puce comme ActivCard peuvent en effet s'integrer
a Active Directory pour les authentifications sur le domaine, meme en
local et sans VPN.
Je n'ai pas le temps de l'etudier plus avant, mais cette solution
sera bien sur assez lourde s'il faut deployer lecteurs et platforme
logicielle client sur tous les postes de votre entreprise, alors que
seul un petit groupe d'administrateurs possederont les cartes ad hoc.
(quoi que des cartes a puce de type ActivKey, ou eGate chez Axalto, se
branchent directement sur le port USB !)
J'insiste sur le fait que les administrateurs auront à se loguer de
manière non distante (tout se passe dans notre entreprise). Il
semblerait en effet que les solutions d'AF soient liées à une
connexion distante uniquement de type VPN par exemple.
Je suis certain qu'il existe depuis plusieurs annees plusieurs
solutions pour se loguer sur un domaine Windows 'local' au moyen de
token physiques. Cela va des solutions activcard aux cartes axalto
cryptoflex au middleware entrust, que j'ai vu permettre de se loguer
au choix par mot de passe ou par carte a puce une fois cette carte
initialisee et la librairie d'ouverture de session gina.dll remplacee
sur le poste client.
Aussi, si quelqu'un pouvait me dire si une AF en interne existe.
Laquelle ? L'ideal sera une solution avec token de type calculette ou
un administrateur qui intervient sur un poste utilisateur se logue
(GINA windows) puis indique le mot de passe dynamique à usage unique
génégé par la calculette.
Les token de type calculettes vendus par exemple par RSA Security me
semblent en effet plutot destines a des consultations distantes, par
exemple depuis le client d'un prestataire, ou l'interet d'un mot de
passe unique est clair. Mais vous devriez trouver votre bonheur, au
moins en theorie (les couts etant une tout autre histoire), du cote des
cartes a puce.
Je souhaite mettre en place au sein de notre entreprise, une authentification forte (AF) en interne, c'est-à-dire uniquement pour notre équipe d'administrateurs système qui sont amenés à intervenir sur les postes utilisateurs de notre entreprise. Notre parc et nos serveurs sont sous W2000.
La totalité des solutions que j'ai étudié sur internet (Activecard, RSA Security, Vaco digipass, etc.) offre une authentification forte qu'a distance (RAS, VPN, etc.)
Qu'en est-il de l'ActivCard Identity Management System [1], par exemple ? Les cartes a puce comme ActivCard peuvent en effet s'integrer a Active Directory pour les authentifications sur le domaine, meme en local et sans VPN.
Je n'ai pas le temps de l'etudier plus avant, mais cette solution sera bien sur assez lourde s'il faut deployer lecteurs et platforme logicielle client sur tous les postes de votre entreprise, alors que seul un petit groupe d'administrateurs possederont les cartes ad hoc. (quoi que des cartes a puce de type ActivKey, ou eGate chez Axalto, se branchent directement sur le port USB !)
J'insiste sur le fait que les administrateurs auront à se loguer de manière non distante (tout se passe dans notre entreprise). Il semblerait en effet que les solutions d'AF soient liées à une connexion distante uniquement de type VPN par exemple.
Je suis certain qu'il existe depuis plusieurs annees plusieurs solutions pour se loguer sur un domaine Windows 'local' au moyen de token physiques. Cela va des solutions activcard aux cartes axalto cryptoflex au middleware entrust, que j'ai vu permettre de se loguer au choix par mot de passe ou par carte a puce une fois cette carte initialisee et la librairie d'ouverture de session gina.dll remplacee sur le poste client.
Aussi, si quelqu'un pouvait me dire si une AF en interne existe. Laquelle ? L'ideal sera une solution avec token de type calculette ou un administrateur qui intervient sur un poste utilisateur se logue (GINA windows) puis indique le mot de passe dynamique à usage unique génégé par la calculette.
Les token de type calculettes vendus par exemple par RSA Security me semblent en effet plutot destines a des consultations distantes, par exemple depuis le client d'un prestataire, ou l'interet d'un mot de passe unique est clair. Mais vous devriez trouver votre bonheur, au moins en theorie (les couts etant une tout autre histoire), du cote des cartes a puce.
Justement nous avons une authentification forte en interne chez nous uniquement pour les admins.
Parc : windows 2000 server et windows 2000 clients:
Token : ActivCard USB (petit bout de plastique bleu avec carte à puce interne qui se branche sur le port USB). Les ouvertures sont validées par Active Directory
Pour le deploiement chaque poste windows 2000 pro sur lequel l'admin doit pouvoir se connecter doit avoir le soft ActivCard installé sinon le token USB n'est pas reconnu. C'est tout rien d'autre à faire.
Windows Certificate Server (serveur de certificat) doit être installé sur le serveur Active Directory.
On a un poste réservé où on insert le token et on utilise certificate server pour créer les certificats. Le certificat est stocké dans active directory, la clé privée de l'admin est stockée dans la clé USB. Chaque clé USB coûte quand même environ 500 francs (de l'époque des francs :)
On insert la clé USB dans un poste, on entre le code PIN de la clé USB et la session s'ouvre.
C'est bcp plus sûr que les mots de passe car le certificat et la clé privée (on utilise du 1024 bits) chiffre l'ouverture de session, plus possible de cracker les mots de passe en les interceptants sur le réseau avec divers outils de sniffs. Les certificats sont mappés sur les comptes utilisateurs.
On utilise cela depuis près d'un an, c'est inpeccable ca s'integre parfaitement dans Active Directory.
Seul problème : faut installer le soft active card sur tous les postes sur lesquelles on doit ouvrir la session (postes et serveurs). Si on a 5000 postes c'est lourd :) Il semble pas y avoir de façon de le déplyer à distance.
Justement nous avons une authentification forte en interne chez nous
uniquement pour les admins.
Parc : windows 2000 server et windows 2000 clients:
Token : ActivCard USB (petit bout de plastique bleu avec carte à puce
interne qui se branche sur le port USB).
Les ouvertures sont validées par Active Directory
Pour le deploiement chaque poste windows 2000 pro sur lequel l'admin doit
pouvoir se connecter doit avoir le soft ActivCard installé sinon le token
USB n'est pas reconnu. C'est tout rien d'autre à faire.
Windows Certificate Server (serveur de certificat) doit être installé sur le
serveur Active Directory.
On a un poste réservé où on insert le token et on utilise certificate server
pour créer les certificats. Le certificat est stocké dans active directory,
la clé privée de l'admin est stockée dans la clé USB.
Chaque clé USB coûte quand même environ 500 francs (de l'époque des francs
:)
On insert la clé USB dans un poste, on entre le code PIN de la clé USB et la
session s'ouvre.
C'est bcp plus sûr que les mots de passe car le certificat et la clé privée
(on utilise du 1024 bits) chiffre l'ouverture de session, plus possible de
cracker les mots de passe en les interceptants sur le réseau avec divers
outils de sniffs.
Les certificats sont mappés sur les comptes utilisateurs.
On utilise cela depuis près d'un an, c'est inpeccable ca s'integre
parfaitement dans Active Directory.
Seul problème : faut installer le soft active card sur tous les postes sur
lesquelles on doit ouvrir la session (postes et serveurs).
Si on a 5000 postes c'est lourd :)
Il semble pas y avoir de façon de le déplyer à distance.
Justement nous avons une authentification forte en interne chez nous uniquement pour les admins.
Parc : windows 2000 server et windows 2000 clients:
Token : ActivCard USB (petit bout de plastique bleu avec carte à puce interne qui se branche sur le port USB). Les ouvertures sont validées par Active Directory
Pour le deploiement chaque poste windows 2000 pro sur lequel l'admin doit pouvoir se connecter doit avoir le soft ActivCard installé sinon le token USB n'est pas reconnu. C'est tout rien d'autre à faire.
Windows Certificate Server (serveur de certificat) doit être installé sur le serveur Active Directory.
On a un poste réservé où on insert le token et on utilise certificate server pour créer les certificats. Le certificat est stocké dans active directory, la clé privée de l'admin est stockée dans la clé USB. Chaque clé USB coûte quand même environ 500 francs (de l'époque des francs :)
On insert la clé USB dans un poste, on entre le code PIN de la clé USB et la session s'ouvre.
C'est bcp plus sûr que les mots de passe car le certificat et la clé privée (on utilise du 1024 bits) chiffre l'ouverture de session, plus possible de cracker les mots de passe en les interceptants sur le réseau avec divers outils de sniffs. Les certificats sont mappés sur les comptes utilisateurs.
On utilise cela depuis près d'un an, c'est inpeccable ca s'integre parfaitement dans Active Directory.
Seul problème : faut installer le soft active card sur tous les postes sur lesquelles on doit ouvrir la session (postes et serveurs). Si on a 5000 postes c'est lourd :) Il semble pas y avoir de façon de le déplyer à distance.
Nicob
On Tue, 13 Apr 2004 20:16:41 +0200, secret wrote:
Seul problème : faut installer le soft active card sur tous les postes sur lesquelles on doit ouvrir la session (postes et serveurs). Si on a 5000 postes c'est lourd :) Il semble pas y avoir de façon de le déplyer à distance.
Même si la fonctionalité n'est pas incluse dans le logiciel à proprement parler, il est possible de déployer n'importe quel soft en utilisant des outils tiers dédiés à la gestion à distance de parc informatique.
Donc tout est une question d'outils ...
Nicob
On Tue, 13 Apr 2004 20:16:41 +0200, secret wrote:
Seul problème : faut installer le soft active card sur tous les postes
sur lesquelles on doit ouvrir la session (postes et serveurs). Si on a
5000 postes c'est lourd :)
Il semble pas y avoir de façon de le déplyer à distance.
Même si la fonctionalité n'est pas incluse dans le logiciel à
proprement parler, il est possible de déployer n'importe quel soft en
utilisant des outils tiers dédiés à la gestion à distance de parc
informatique.
Seul problème : faut installer le soft active card sur tous les postes sur lesquelles on doit ouvrir la session (postes et serveurs). Si on a 5000 postes c'est lourd :) Il semble pas y avoir de façon de le déplyer à distance.
Même si la fonctionalité n'est pas incluse dans le logiciel à proprement parler, il est possible de déployer n'importe quel soft en utilisant des outils tiers dédiés à la gestion à distance de parc informatique.
