Mise en place de l'authentification OTP
Le service EoleSSO est capable de valider une authentification par clé OTP auprès d'un serveur RSA Authentication Manager (protocole SecurID).
Pour permettre ce fonctionnement, il est nécessaire d'installer sur le serveur un module PAM fourni par EMC.
Ce module est disponible à l'adresse suivante :
http://france.emc.com/security/rsa-securid/rsa-authentication-agents/pam-7-1.htm
La dernière version testée est la version 7.0, elle nécessite au minimum un serveur RSA Authentication Manager version 6.1 ou 7.1
Ce client n'est pas certifié pour fonctionner sur le système GNU/Linux Ubuntu, il peut être nécessaire de modifier le script d'installation présent dans l'archive pour qu'il s'exécute correctement sur un serveur EOLE (voir ci-dessous).
Complément
Vers la ligne 354 du fichier install_pam.sh (ajouter les lignes commençant par +) :
case "$LNX_VERS" in
'x86_64' )
echo "";;
'i386' )
echo "";;
+'unknown' )
+ echo "";;
* )
echo "Sorry, this is not a supported configureation"
Un fichier de configuration est livré avec EoleSSO pour utiliser le module fourni (/etc/pam.d/rsa_securid)
Le module nécessite également les étapes suivantes :
- enregistrement du serveur hébergeant EoleSSO en tant qu'agent dans la configuration du serveur Authentication Manager ;
- copie du fichier
sdconf.recprésent sur le serveur RSA dans le répertoire/var/ace(serveur EoleSSO) ; - activer la gestion de l'authentification OTP dans EoleSSO (dans l'interface de configuration du module, onglet
Eole ssopuis redémarrer le service).
Truc & astuce
Deux utilitaires sont livrés avec le module PAM pour tester le fonctionnement :
/opt/pam/bin/32bit/acestatus: affiche les information sur le serveur présentes danssdconf.rec/opt/pam/bin/32bit/acetest: permet de valider l'authentification d'un utilisateur
Remarque
Sur un serveur 64 bits, les utilitaires livrés avec le module PAM se trouvent dans le répertoire /opt/pam/bin/64bit.