Mise en place de l'authentification OTP
Le service EoleSSO est capable de valider une authentification par clé OTP auprès d'un serveur RSA Authentication Manager (protocole SecurID).
Pour permettre ce fonctionnement, il est nécessaire d'installer sur le serveur un module PAM fourni par EMC.
Ce module est disponible à l'adresse suivante :
http://france.emc.com/security/rsa-securid/rsa-authentication-agents/pam-7-1.htm
La dernière version testée est la version 7.1.0.1. elle nécessite au minimum un serveur RSA Authentication Manager version 6.1 ou 7.1
Ce client n'est pas certifié pour fonctionner sur le système GNU/Linux Ubuntu, il peut être nécessaire de modifier le script d'installation présent dans l'archive pour qu'il s'exécute correctement sur un serveur EOLE (voir ci-dessous).
Complément
Adaptation du fichier install_pam.sh
pour une installation sur un serveur EOLE :
- Remplacer les occurrences de chmod 755 par chmod 644 pour appliquer les permissions préconisées par la distribution.
- Rechercher la section concernant le paramétrage pour Linux (ligne 362 dans la version testée) :
Dans le bloc else (serveur 64 bits), remplacer MODULE_DIR_SECONDARY="/lib64/security/" par MODULE_DIR_SECONDARY="/lib/x86_64-linux-gnu/security/".
La même modification doit être effectuée sur le fichier uninstall_pam.sh
si vous souhaitez désinstaller l'agent.
Cette modification concerne la dernière version testée du client (v7.1.0.1.16.05_06_13_02_04_01).
Un fichier de configuration est livré avec EoleSSO pour utiliser le module fourni (/etc/pam.d/rsa_securid
)
Le module nécessite également les étapes suivantes :
- enregistrement du serveur hébergeant EoleSSO en tant qu'agent dans la configuration du serveur Authentication Manager ;
- copie du fichier
sdconf.rec
présent sur le serveur RSA dans le répertoire/var/ace
(serveur EoleSSO) ; - activer la gestion de l'authentification OTP dans EoleSSO (dans l'interface de configuration du module, onglet
Eole sso
puis redémarrer le service). Se reporter à la section Configuration pour le détail des options de configuration disponibles.
Truc & astuce
Deux utilitaires sont livrés avec le module PAM pour tester le fonctionnement :
/opt/pam/bin/32bit/acestatus
: affiche les informations sur le serveur présentes danssdconf.rec
/opt/pam/bin/32bit/acetest
: permet de valider l'authentification d'un utilisateur
Sur un serveur 64 bits, les utilitaires livrés avec le module PAM se trouvent dans le répertoire /opt/pam/bin/64bit
.
AttentionVersions 32 ou 64 bits
Les scripts d'installation fournis n'installent pas toujours correctement le module PAM. En cas de dysfonctionnement, vérifier que la version installée de la librairie correspond bien à l'architecture de la machine (voir complément ci dessus sur le script d'installation).
Vous pouvez comparer le fichier pam_securid.so
installé avec les version 32 ou 64 bits qui peuvent être trouvées dans l'archive sd_pam_agent.tar
du répertoire /lnx
du répertoire d'installation de l'agent.
La librairie doit être installée dans le répertoire /lib64/security/
dans le cas d'une version d'EOLE inférieure à 2.5.0 ou dans le répertoire /lib/x86_64-linux-gnu/security/
dans le cas contraire.