EPFL > VPSI > IT > EXAPP - Site d'information: WinAD (Windows Active Directory)
 

  Affiche tous les articles

 Mode d'emploi du moteur de recherche  Rechercher : 
Moteur de recherche
Home page
Accréditation
Activation MS
AD c'est quoi ?
AD PowerShell
Authentifications
Autorisations DHCP
bugs
Conseils AD
DCs Sécurité
Délégations OUs
Domaine SC
Gaspar
GPO
Grp-Staff
KMS
Migrations
Outils
Procès verbaux
· PV WINAD du 10.10.2013
· PV WinAd du 6 mai 2011
· PV du 8 Octobre 2009
· PV du 3 sept 2008
· PV du 26 Novembre 2007
· PV du 7 Novembre 2007
· PV du 2 Juillet 2007
· PV du 20 Décembre 2006
· PV du 3 mai 2006
· PV du 1er mars 2006
· PV du 2 novembre 2005
· PV du 07 sept 2005
· PV du 22 juin 2005
· PV du 13 Avril 2005
· PV du 02 février 2005
· PV du 30 juin 2004
· PV du 12 mai 2004
· PV du 10 mars 2004
· PV du 11 Fev 2004
· PV du 21 Jan 2004
· PV du 10 Dec 2003
· PV du 29 oct 2003
· PV du 24 sept 2003
· PV du 27 Août 2003
· PV du 18 juin 2003
· PV du 30 avril 2003
· PV du 26 Mar. 2003
· PV du 19 Fev. 2003
· PV du 11 déc. 2002
· PV du 13 nov 2002
· PV du 2 oct 2002
· PV du 21 août 2002
· PV du 4 juil 2002
· PV DU 12 Juin 2002
· PV du 15 mai 2002
· PV du 31.01.2002
· PV du vendredi 8.2.02, 1 ère discussion sur le crash test de la forêt Active Directory de l'EPFL...
· PV Séance Domaine SC du 5.12.01
Profiles Itinérants
PWAD
Règles de nommage
Restaurations DC Fac
ServerAD2003
ServerAD2008
Seven
Students
synchro
toto1
Trucs et Astuces
Win 8.1
WinAD
Windows 10
Windows 8
Windows Server
Wins
Work Shop
  Afficher une version imprimable de ce document dans une nouvelle fenêtre
 
PV WinAd du 6 mai 2011
 

Présents : YR-SN-LK-AT-KS-CZ-DP-SAM-LV-TC-AG-CP-PB-PS

la liste des participants du WinAD : http://winad.epfl.ch/core/index.asp?article=3

Ordre du jour :

1. Discuter de la synchronisation des guests dans l'AD

Séance

1. Comptes guests synchronisés dans ActiveDirectory
Objectifs de la démarche : permettre à des personnes non accréditées, connues du créateur de leur compte, d'accéder à des ressources dans le cadre de la collaboration sur des projets.
Points de vue facultaires
STI
Les comptes guests ne sont pas destinés à donner accès à des ressources gouvernées par l'AD.
CDM
Nombre d'applications ont bénéficié de réflexions très poussées, telles qu'Accred et Guests. P. Bangerter s'étonne qu'on mette si rapidement en place cette synchronisation et estime ne pas être consulté mais mis devant le fait accompli.
[foire d'empoigne]
Solutions
  1. Les groupes créés aujourd'hui automatiquement par MIIS (EPFL-StaffU et EPFL-StudU) contiennent déjà toutes les personnes des catégories susmentionnées. Il conviendrait donc de contrôler l'accès aux sessions et ressources accessibles par le réseau (partages de fichiers) à ces groupes.
  2. L'accès aux partages de fichiers sera prochainement analysé par le groupe sécurité et leur administrateur notifié des risques encourus.
  3. Afin de limiter le nombre de guests synchronisés dans l'AD, un nouveau flag devrait être activé afin que le compte soit synchronisé. L'attribution du flag elle-même serait soumise à autorisation (Accred).
La séance a permis d'identifier certains problèmes et d'établir les pré requis pour que cette solution soit acceptable :
  1. Accès aux ressources : par défaut, le contrôle d'accès des serveurs Windows est trop laxiste et considère toute personne dans l'AD comme étant de confiance. Les ressources accessibles à tous doivent être considérées individuellement afin de déterminer si c'est le souhait du propriétaire des ressources.
  2. Accès à l'ouverture de session sur les ordinateurs : le même raisonnement s'applique ici. Des procédures doivent être établies et appliquées en vue de n'autoriser l'accès aux machines qu'aux étudiants, collaborateurs et autres personnes ayant un besoin légitime de cet accès.


Point de vue de la Faculté STI

Sur le fond, le débat se polarise sur 2 points de vue :
A L’accréditation n’est pas l’outil adapté pour introduire des usagers externes à l’école, mais qui collaborent à un projet scientifique.

B L’accréditation est l’outil adapté pour la définition de tous les usagers, y compris les personnes hors EPFL

En parallèle, il existe un débat sur la possibilité de la proposition C

C L’application Guests peut créer des comptes AD


Les arguments pour A (accréditation, outil pas adapté)

  • nécessite être inscrit dans une hiérarchie au niveau 4,
  • demande des informations personnelles vérifiables (carte d’identité, date de naissance),
  • mélange de personnes internes et externes.

Les arguments pour B ( accréditation, outil adapté)
  • outil déjà existant,
  • statut hors-EPFL existant,
  • propriété compte AD existante,
  • durée variable, de 1 jour à 1 an renouvelable,
  • nécessite une accréditation au niveau 4 dans une hiérarchie,
  • demandes des informations personnelles vérifiables (carte d’identité, date de naissance),
  • travail sous la responsabilité des accréditeurs,
  • traçabilité des usagers et des accréditeurs,
  • usagers uniques (pas de doublon).

Il existe un paradoxe dans la proposition C (compte AD pour des usagers créés dans Guests):
  • les usagers pouvant créer des usagers Guests sont accrédités,
  • La création pour des usagers Guests n’est pas soumise a un contrôle (et ils ne sont pas accrédités).

Les arguments pour C (compte AD pour des usagers créer dans Guests)
  • simplicité d’utilisation,
  • pas de contrôle de création,
  • L’adresse e-mail est l’identité d’un individu,
  • structure à plat, pas de hiérarchie,
  • compte à renouveler chaque année,
  • mettre tous ces usagers dans un endroit unique.

Les arguments contre C (compte AD pour des usagers créés dans Guests)
  • absence de contrôle formelle de l’identité,
  • structure à plat,
  • pas de hiérarchie,
  • pas de suppléance (un responsable hiérarchique n’a pas de contrôle sur les actions de subordonnées),
  • l’adresse email d’un individu peut être usurpé,
  • la durée de vie est fixe, une année,
  • les doublons sont possibles (pas de critère d’unicité).

Ce débat a permis de révéler le problème suivant:
Comment s’assurer de la cohérence entre accréditation et accès à un poste de travail authentifié sous Active Directory ?

Ce problème intrinsèque pour AD doit être résolu pour l’ensemble des plateformes (Microsoft Windows, Mac OS, Linux).


Le point de vue de la Faculté STI est:

  • L’accréditation existe, elle possède plus d’avantages que d’inconvénients pour identifier des usagers externes à l’EPFL (statut hors-EPFL existant).
  • La création d’un compte Active Directory pour un usager doit être contrôlée, l’accréditation offre actuellement ce principe (propriété compte AD).
  • Le contrôle d’accès d’un poste de travail avec Active Directory doit être cohérent avec les accréditations (un usager non accrédité dans une unité ne doit pas avoir accès à un poste de travail de cette unité sauf exceptions dûment établies). Ce contrôle d’accès doit être possible pour l’ensemble des plateformes (Microsoft Windows, Mac OS, Linux).


Ce point de vue n'est pas partagé de tous. Les membres de la WinTeam relèvent les points suivants :
  1. A l'instar d'Accred, Guests existe déjà également. L'argument selon lequel Accred est l'outil adapté tombe.
  2. Les comptes guests également ont une durée de validité. L'argument selon lequel ceci est un avantage d'Accred tombe également.
  3. La nécessité de disposer d'informations vérifiables sur un document officiel est une des contraintes d'Accred qui ne peut être appliquée au contexte étudié, la création rapide et agile de comptes utilisateur.
  4. La création de ces comptes ne doit pas non plus systématiquement passer par un accréditeur, par souci d'agilité du processus.
  5. La création des guests, au même titre que l'accréditation, est traçable : chaque guest a un "créateur". Il s'agit bien de ne créer un compte AD que pour les guest ayant un sponsor interne à l'Ecole.
  6. L'unicité des noms d'usager s'applique autant à guests qu'à Accred.
  7. Le paradoxe de la proposition C n'existe pas : cf. point 5 ci-dessus.
  8. Il existe aujourd'hui presque 15'500 comptes AD en déshérence. Introduire la synchronisation des comptes guests serait un premier pas dans la direction d'un assainissement de cette situation car, en combinaison avec Accred et la gestion des comptes de services, elle permettrait de mettre fin à toute création manuelle (sauvage) de compte dans l'AD.

Article N° 184, du 01.07.2011, par Thomas Becker
URL de cet article : http://winad.epfl.ch/?article=184

© 2017 VPSI - EXAPP - TC