Mise en place de l'authentification OTP

Le service EoleSSO est capable de valider une authentification par clé OTP auprès d'un serveur RSA Authentication Manager (protocole SecurID).

Pour permettre ce fonctionnement, il est nécessaire d'installer sur le serveur un module PAM fourni par EMC.

Ce module est disponible à l'adresse suivante :

http://france.emc.com/security/rsa-securid/rsa-authentication-agents/pam-7-1.htm

La dernière version testée est la version 7.1.0.1. elle nécessite au minimum un serveur RSA Authentication Manager version 6.1 ou 7.1

Ce client n'est pas certifié pour fonctionner sur le système GNU/Linux Ubuntu, il peut être nécessaire de modifier le script d'installation présent dans l'archive pour qu'il s'exécute correctement sur un serveur EOLE (voir ci-dessous).

Complément

Adaptation du fichier install_pam.sh pour une installation sur un serveur EOLE :

  • Remplacer les occurrences de chmod 755 par chmod 644 pour appliquer les permissions préconisées par la distribution.
  • Rechercher la section concernant le paramétrage pour Linux (ligne 362 dans la version testée) :

Dans le bloc else (serveur 64 bits), remplacer  MODULE_DIR_SECONDARY="/lib64/security/" par MODULE_DIR_SECONDARY="/lib/x86_64-linux-gnu/security/".

La même modification doit être effectuée sur le fichier uninstall_pam.sh si vous souhaitez désinstaller l'agent.

Cette modification concerne la dernière version testée du client (v7.1.0.1.16.05_06_13_02_04_01), si besoin voir la documentation EoleSSO 2.3 si vous utilisez des versions plus anciennes.

Un fichier de configuration est livré avec EoleSSO pour utiliser le module fourni (/etc/pam.d/rsa_securid)

Le module nécessite également les étapes suivantes :

  • enregistrement du serveur hébergeant EoleSSO en tant qu'agent dans la configuration du serveur Authentication Manager ;
  • copie du fichier sdconf.rec présent sur le serveur RSA dans le répertoire /var/ace (serveur EoleSSO) ;
  • activer la gestion de l'authentification OTP dans EoleSSO (dans l'interface de configuration du module, onglet Eole sso puis redémarrer le service). Se reporter à la section Configuration pour le détail des options de configuration disponibles.

Truc & astuce

Deux utilitaires sont livrés avec le module PAM pour tester le fonctionnement :

  • /opt/pam/bin/32bit/acestatus : affiche les informations sur le serveur présentes dans sdconf.rec
  • /opt/pam/bin/32bit/acetest : permet de valider l'authentification d'un utilisateur

Sur un serveur 64 bits, les utilitaires livrés avec le module PAM se trouvent dans le répertoire /opt/pam/bin/64bit.

AttentionVersions 32 ou 64 bits

Les scripts d'installation fournis n'installent pas toujours correctement le module PAM. En cas de dysfonctionnement, vérifier que la version installée de la librairie correspond bien à l'architecture de la machine (voir complément ci dessus sur le script d'installation).

Vous pouvez comparer le fichier pam_securid.so installé avec les version 32 ou 64 bits qui peuvent être trouvées dans l'archive sd_pam_agent.tar du répertoire /lnx du répertoire d'installation de l'agent.

La librairie doit être installée dans le répertoire /lib64/security/ dans le cas d'une version d'EOLE inférieure à 2.5.0 ou dans le répertoire /lib/x86_64-linux-gnu/security/ dans le cas contraire.