Mise en place de l'authentification OTP [Installation et mise en œuvre du module Scribe ]

Mise en place de l'authentification OTP

Le service EoleSSO est capable de valider une authentification par clé OTP auprès d'un serveur RSA Authentication Manager (protocole SecurID).

Pour permettre ce fonctionnement, il est nécessaire d'installer sur le serveur un module PAM fourni par EMC.

Ce module est disponible à l'adresse suivante :

http://france.emc.com/security/rsa-securid/rsa-authentication-agents/pam-7-1.htm

La dernière version testée est la version 7.1.0.1. elle nécessite au minimum un serveur RSA Authentication Manager version 6.1 ou 7.1

Ce client n'est pas certifié pour fonctionner sur le système GNU/Linux Ubuntu, il peut être nécessaire de modifier le script d'installation présent dans l'archive pour qu'il s'exécute correctement sur un serveur EOLE (voir ci-dessous).

Complément

Un fichier de configuration est livré avec EoleSSO pour utiliser le module fourni (/etc/pam.d/rsa_securid)

Le module nécessite également les étapes suivantes :

enregistrement du serveur hébergeant EoleSSO en tant qu'agent dans la configuration du serveur Authentication Manager ;
copie du fichier sdconf.rec présent sur le serveur RSA dans le répertoire /var/ace (serveur EoleSSO) ;
activer la gestion de l'authentification OTP dans EoleSSO (dans l'interface de configuration du module, onglet Eole sso puis redémarrer le service). Se reporter à la section Configuration pour le détail des options de configuration disponibles.

Truc & astuce

Deux utilitaires sont livrés avec le module PAM pour tester le fonctionnement :

/opt/pam/bin/32bit/acestatus : affiche les informations sur le serveur présentes dans sdconf.rec
/opt/pam/bin/32bit/acetest : permet de valider l'authentification d'un utilisateur

Sur un serveur 64 bits, les utilitaires livrés avec le module PAM se trouvent dans le répertoire /opt/pam/bin/64bit.

AttentionVersions 32 ou 64 bits

Les scripts d'installation fournis n'installent pas toujours correctement le module PAM. En cas de dysfonctionnement, vérifier que la version installée de la librairie correspond bien à l'architecture de la machine (voir complément ci dessus sur le script d'installation).

Vous pouvez comparer le fichier pam_securid.so installé avec les version 32 ou 64 bits qui peuvent être trouvées dans l'archive sd_pam_agent.tar du répertoire /lnx du répertoire d'installation de l'agent.

La librairie doit être installée dans le répertoire /lib64/security/ dans le cas d'une version d'EOLE inférieure à 2.5.0 ou dans le répertoire /lib/x86_64-linux-gnu/security/ dans le cas contraire.