Le client VPN cisco propose des mecanismes d'authentification
utilisateur. Ca marche comment?
Si j'ai bien compris ce produit fait des tunnels IPsec, mais il me
semble que IPsec n'est prevu que pour une authentification machine:
secret partagé ou bien certificat. Les autres authentifications que l'on
peut ajouter (par exemple via Xauth) ont besoin d'une authentification
machine sûre pour fonctionner.
Il y aurait en plus une authentifcation machine à faire? Ou alors ca ne
marche pas comme je le comprends? Il y a pas mal de doc chez Cisco mais
je ne trouve pas de réponse à ces questions.
--
Emmanuel Dreyfus
A lire: 240 pages en français sur l'administration UNIX avec BSD
http://www.eyrolles.com/php.informatique/Ouvrages/9782212112443.php3
manu@netbsd.org
NB : pour ce que j'en comprends, contrairement à une réflexion clean-room genre Kerberos, l'approche se veut pragmatique : recycler une infrastructure HTTP existante "maîtrisée en interne par le client" (sous entendu, le client est familier de HTTP/HTML, et est parvenu à régler son firewall pour permettre des flux HTTP/HTTPS entrants et sortant sans pour autant se faire démolir son SI) à des fins de fournir les services d'ordinaires attendus.
Pas con : ça s'inscrit en continuité d'une politique SI existante sans pour autant répondre à tous les besoins : ce n'est donc pas entièrement une approche technique.
-- Antoine Bellot
Emmanuel Dreyfus a écrit:
Bonjour
Le client VPN cisco propose des mecanismes d'authentification
utilisateur. Ca marche comment?
je ne trouve pas de réponse à ces questions.
Jetez un oeil à :
http://openscep.othello.ch/
qui a quelques liens obsolètes, mais on peut lire aussi :
NB : pour ce que j'en comprends, contrairement à une réflexion
clean-room genre Kerberos, l'approche se veut pragmatique : recycler une
infrastructure HTTP existante "maîtrisée en interne par le client" (sous
entendu, le client est familier de HTTP/HTML, et est parvenu à régler
son firewall pour permettre des flux HTTP/HTTPS entrants et sortant sans
pour autant se faire démolir son SI) à des fins de fournir les services
d'ordinaires attendus.
Pas con : ça s'inscrit en continuité d'une politique SI existante sans
pour autant répondre à tous les besoins : ce n'est donc pas entièrement
une approche technique.
NB : pour ce que j'en comprends, contrairement à une réflexion clean-room genre Kerberos, l'approche se veut pragmatique : recycler une infrastructure HTTP existante "maîtrisée en interne par le client" (sous entendu, le client est familier de HTTP/HTML, et est parvenu à régler son firewall pour permettre des flux HTTP/HTTPS entrants et sortant sans pour autant se faire démolir son SI) à des fins de fournir les services d'ordinaires attendus.
Pas con : ça s'inscrit en continuité d'une politique SI existante sans pour autant répondre à tous les besoins : ce n'est donc pas entièrement une approche technique.
-- Antoine Bellot
manu
Antoine Bellot wrote:
Pas con : ça s'inscrit en continuité d'une politique SI existante sans pour autant répondre à tous les besoins : ce n'est donc pas entièrement une approche technique.
Le truc qui m'echappe dans ces histoires de VPN, c'est que la question d'une authentifcation utilisateur semble un problème pour lequel personne n'a proposé de solution simple et sûre, comme c'est par exemple le cas avec SSH.
Quelle est la difference? Est-ce le fait que lors de la premiere connexion en SSH on a pas la certitude que la machine distante est bien celle qu'elle prétends être? Ce problème se traite pourtant par une approche "web of trust" où on s'echange des clés publiques entre gens de confiance. Les certificats traitent ce problème par les autorités de certifications.
Est-ce cela l'enjeu: confiance distribuée ou centralisée? Ou bien est-ce que je rate autre chose?
-- Emmanuel Dreyfus Publicité subliminale: achetez ce livre! http://www.eyrolles.com/php.informatique/Ouvrages/9782212112443.php3
Antoine Bellot <Antoine.Bellot@eat-it.ath.cx> wrote:
Pas con : ça s'inscrit en continuité d'une politique SI existante sans
pour autant répondre à tous les besoins : ce n'est donc pas entièrement
une approche technique.
Le truc qui m'echappe dans ces histoires de VPN, c'est que la question
d'une authentifcation utilisateur semble un problème pour lequel
personne n'a proposé de solution simple et sûre, comme c'est par exemple
le cas avec SSH.
Quelle est la difference?
Est-ce le fait que lors de la premiere connexion en SSH on a pas la
certitude que la machine distante est bien celle qu'elle prétends être?
Ce problème se traite pourtant par une approche "web of trust" où on
s'echange des clés publiques entre gens de confiance. Les certificats
traitent ce problème par les autorités de certifications.
Est-ce cela l'enjeu: confiance distribuée ou centralisée? Ou bien est-ce
que je rate autre chose?
--
Emmanuel Dreyfus
Publicité subliminale: achetez ce livre!
http://www.eyrolles.com/php.informatique/Ouvrages/9782212112443.php3
manu@netbsd.org
Pas con : ça s'inscrit en continuité d'une politique SI existante sans pour autant répondre à tous les besoins : ce n'est donc pas entièrement une approche technique.
Le truc qui m'echappe dans ces histoires de VPN, c'est que la question d'une authentifcation utilisateur semble un problème pour lequel personne n'a proposé de solution simple et sûre, comme c'est par exemple le cas avec SSH.
Quelle est la difference? Est-ce le fait que lors de la premiere connexion en SSH on a pas la certitude que la machine distante est bien celle qu'elle prétends être? Ce problème se traite pourtant par une approche "web of trust" où on s'echange des clés publiques entre gens de confiance. Les certificats traitent ce problème par les autorités de certifications.
Est-ce cela l'enjeu: confiance distribuée ou centralisée? Ou bien est-ce que je rate autre chose?
-- Emmanuel Dreyfus Publicité subliminale: achetez ce livre! http://www.eyrolles.com/php.informatique/Ouvrages/9782212112443.php3
Antoine Bellot
Emmanuel Dreyfus a écrit:
Antoine Bellot wrote:
Pas con : ça s'inscrit en continuité d'une politique SI existante sans pour autant répondre à tous les besoins : ce n'est donc pas entièrement une approche technique.
Le truc qui m'echappe dans ces histoires de VPN, c'est que la question d'une authentifcation utilisateur semble un problème pour lequel personne n'a proposé de solution simple et sûre, comme c'est par exemple le cas avec SSH.
SSH est très loin de résoudre l'ensemble des questions que prétend adresser Kerberos depuis 1993 : voir par exemple : http://web.mit.edu/kerberos/www/dialogue.html
Quelle est la difference?
L'intégration de la PKI nécessairement présente au moins à l'état embryonnaire dès qu'on utilise HTTPS et la possible intégration LDAP, sans pour autant renoncer à kerberos, qui peut être l'infrastructure sous-jacente d'une PKI, et est en pratique implémenté nativement dans la gamme Microsoft, et facilement disponible sous Unix.
-- Antoien Bellot
Emmanuel Dreyfus a écrit:
Antoine Bellot <Antoine.Bellot@eat-it.ath.cx> wrote:
Pas con : ça s'inscrit en continuité d'une politique SI existante sans
pour autant répondre à tous les besoins : ce n'est donc pas entièrement
une approche technique.
Le truc qui m'echappe dans ces histoires de VPN, c'est que la question
d'une authentifcation utilisateur semble un problème pour lequel
personne n'a proposé de solution simple et sûre, comme c'est par exemple
le cas avec SSH.
SSH est très loin de résoudre l'ensemble des questions que prétend
adresser Kerberos depuis 1993 : voir par exemple :
http://web.mit.edu/kerberos/www/dialogue.html
Quelle est la difference?
L'intégration de la PKI nécessairement présente au moins à l'état
embryonnaire dès qu'on utilise HTTPS et la possible intégration LDAP,
sans pour autant renoncer à kerberos, qui peut être l'infrastructure
sous-jacente d'une PKI, et est en pratique implémenté nativement dans la
gamme Microsoft, et facilement disponible sous Unix.
Pas con : ça s'inscrit en continuité d'une politique SI existante sans pour autant répondre à tous les besoins : ce n'est donc pas entièrement une approche technique.
Le truc qui m'echappe dans ces histoires de VPN, c'est que la question d'une authentifcation utilisateur semble un problème pour lequel personne n'a proposé de solution simple et sûre, comme c'est par exemple le cas avec SSH.
SSH est très loin de résoudre l'ensemble des questions que prétend adresser Kerberos depuis 1993 : voir par exemple : http://web.mit.edu/kerberos/www/dialogue.html
Quelle est la difference?
L'intégration de la PKI nécessairement présente au moins à l'état embryonnaire dès qu'on utilise HTTPS et la possible intégration LDAP, sans pour autant renoncer à kerberos, qui peut être l'infrastructure sous-jacente d'une PKI, et est en pratique implémenté nativement dans la gamme Microsoft, et facilement disponible sous Unix.
-- Antoien Bellot
manu
Antoine Bellot wrote:
Le truc qui m'echappe dans ces histoires de VPN, c'est que la question d'une authentifcation utilisateur semble un problème pour lequel personne n'a proposé de solution simple et sûre, comme c'est par exemple le cas avec SSH.
SSH est très loin de résoudre l'ensemble des questions que prétend adresser Kerberos depuis 1993 : voir par exemple : http://web.mit.edu/kerberos/www/dialogue.html
Oui, ca sans aucun doute, mais la grande question, c'est de savoir si on souhaite résoudre tous les problèmes du monde, ou seulement ceux que l'on a pour le moment.
-- Emmanuel Dreyfus Publicité subliminale: achetez ce livre! http://www.eyrolles.com/php.informatique/Ouvrages/9782212112443.php3
Antoine Bellot <Antoine.Bellot@eat-it.ath.cx> wrote:
Le truc qui m'echappe dans ces histoires de VPN, c'est que la question
d'une authentifcation utilisateur semble un problème pour lequel
personne n'a proposé de solution simple et sûre, comme c'est par exemple
le cas avec SSH.
SSH est très loin de résoudre l'ensemble des questions que prétend
adresser Kerberos depuis 1993 : voir par exemple :
http://web.mit.edu/kerberos/www/dialogue.html
Oui, ca sans aucun doute, mais la grande question, c'est de savoir si on
souhaite résoudre tous les problèmes du monde, ou seulement ceux que
l'on a pour le moment.
--
Emmanuel Dreyfus
Publicité subliminale: achetez ce livre!
http://www.eyrolles.com/php.informatique/Ouvrages/9782212112443.php3
manu@netbsd.org
Le truc qui m'echappe dans ces histoires de VPN, c'est que la question d'une authentifcation utilisateur semble un problème pour lequel personne n'a proposé de solution simple et sûre, comme c'est par exemple le cas avec SSH.
SSH est très loin de résoudre l'ensemble des questions que prétend adresser Kerberos depuis 1993 : voir par exemple : http://web.mit.edu/kerberos/www/dialogue.html
Oui, ca sans aucun doute, mais la grande question, c'est de savoir si on souhaite résoudre tous les problèmes du monde, ou seulement ceux que l'on a pour le moment.
-- Emmanuel Dreyfus Publicité subliminale: achetez ce livre! http://www.eyrolles.com/php.informatique/Ouvrages/9782212112443.php3
