HSC - Technology monitoring report -

Network Security Consulting Agency Since 1989 - Specialized in Unix, Windows, TCP/IP and Internet


You are here: Home > Resources > Techno-Watch >		Search:

Services

			Skills & Expertise
			Consulting
			ISO 27001 services
			Vulnerabilities monitoring
			Audit & Assessment
			Penetration tests
			Vunerability assessment (TSAR)
			Forensics
			Training courses
			E-learning

Conferences

			Agenda
			Past events
			Tutorials

Resources

			Thematic index
			Tips
			Lectures
			Courses
			Articles
			Tools (download)
			Vulnerability watch

Company

			Hervé Schauer
			Job opportunities
			Credentials
			History
			Partnerships
			Associations

Press and
communication

			HSC Newsletter
			Press review
			Press releases
			Publications

Contacts

			How to reach us
			Specific inquiries
			Directions to our office
			Hotels near our office


	Access to the content		Beginning of the report

	Description		Report on the Singls-Sign-On (SSO) conference at the Clusif on 10 May 2000.

	Context & Dates		Report made for our news monitoring service . The difference between the report writing and publishing dates are generally due to corrections and proofreading by the different people who took part in the conference. 10 May 2000 - Report writing 17 May 2000 - Sending to the news monitoring service subscribers 19 May 2000 - Publication in Netcost & Security Hebdo number 27 June 2000 - Publication in Netcost & Security Magazine number 24 9 June 2000 - Publication on HSC's web site

	Author		Hervé Schauer (Herve.Schauer@hsc.fr) and Gilles Guiot

	Type

	Abstract & Table of content

	Related documents

	Copyright		© 2000, Hervé Schauer Consultants, all rights reserved.

Le Clusif a organisé une conférence sur le SSO (Single-Sign-On), offrant une tribune à 4 éditeurs de solutions.

Axent propose PassGo, un serveur indépendant qui permet de synchroniser les mots de passe des utilisateurs sur l'ensemble des systèmes qui authentifient l'utilisateur comme Unix, WNT, MVS RACF, Lotus Domino, etc. Cette technique facilite le déploiement de l'apparence d'un SSO au travers d'un mot de passe identique d'un système d'authentification à un autre. Le niveau de sécurité de l'entreprise est celui du système d'authentification le plus faible de l'ensemble de l'entreprise. Voir la présentation de Denis Ducamp sur le crackage et le durcissement de mots de passe .

Thierry Jardin de Bull (Thierry.Jardin@bull.net) présente Bull AccessMaster, qui lui propose une première authentification vis-à-vis du serveur d'authentification AccessMaster, qui lui ensuite va authentifier l'utilisateur sur chaque système d'authentification existant avec un mot de passe différent. AccessMaster supporte le token SSPI de W2K ou les certificats, et préfère l'usage de la carte à puce avec un système d'administration complet. Bull a ajouté un relais HTTP appellé WebSSO qui permet d'utiliser AccessMaster comme système d'authentification sur des serveurs web. Bull a conclu sa présentation avec une démonstration avec la carte proprietaire de GIP CPS et une mise en oeuvre dans Lotus Notes.

Patrick Chrisment de Computer Associates (Patrick.Chrisment@cai.com) présente Etrust SSO, anciennement Proxima SSO de la société Isralélienne MEMCO, qui avait été rachetée par Platinum, elle-même rachetée par Computer Associates. L'avenir de TNG, le SSO initial de CA, reste sans réponse. Etrust SSO propose un serveur d'authentification qui est interrogé par l'authentification propre à WNT, Netware ou un serveur web. Etrust permet aussi une intégration aux PKIs Entrust et ID2, sans que ce qu'apporte Etrust dans ce cas apparaisse.

Stéphane Woillez de Tivoli (Stephane.Woillez@tivoli.com) présente GlobalSignOn, ancien produit IBM passé chez Tivoli. GSO est basé sur OSF/DCE et Kerberos et s'interface au travers de PAM (Pluggable Authentication Modules).

La conférence a mit en avant 4 conceptions différentes d'architectures de Single-Sign-On, permettant un mot de passe unique aux utilisateurs :

Architecture 1, proposée par Axent :

        Client -> Authentification habituelle
        Authentification habituelle <- Serveur SSO

Architecture 2, proposée par Computer Associates :

        Client -> Authentification habituelle -> Serveur SSO

Architecture 3, proposée par IBM-Tivoli :
```
        Client -> Serveur SSO
```

Architecture 4, proposée par Bull :

        Client -> Serveur SSO -> Authentification habituelle

L'architecure 2 est celle que l'on a avec un serveur LDAP, et l'intégration de LDAP dans les clients, comme PAM sous Unix, les serveurs webs, le relais HTTP Apache, etc.

Les architectures 3 et 4 imposent un déploiement du logiciel client sur tous les postes utilisateurs, les autres ne l'imposent que pour les intégrations aux applications où le SSO se substitue à l'utilisateur au niveau interface graphique, mais seule une architecture d'authentification client -> serveur SSO (3 ou 4) permet un véritable SSO.

La conférence bien que commerciale a exposé les principes techniques et permet une bonne vue d'ensemble. Maleureusement, la migration vers l'usage des PKI n'a pas été présentée, celle-ci étant sans doute vue comme une concurrence par les éditeurs de SSO.