Un petit tour avec Single SIGN-ON

La sécurité d’iSeries Navigator a toujours été simple et directe (figure 1). Pour agir sur un système, vous commencez par vous connecter avec votre profil utilisateur et mot de passe correspondant à ce système. Si vous voulez utiliser les tâches et moniteurs de Management Central, capables d’agir sur de nombreux systèmes ou partitions iSeries simultanément (par exemple, commande à distance, moniteurs de système, moniteurs de messages, PTF Send et Apply), vous devez d’abord vous connecter à l’iSeries système central. Ensuite le système central coordonne l’exécution de la tâche ou du moniteur vers différents systèmes et partitions d’extrémité. Vous n’avez pas à savoir comment fonctionne la sécurité entre le système central et les points d’extrémité, mais vous devez avoir le même profil et le même mot de passe sur le système central et chaque système point d’extrémité. Bien que cela ressemble fort à SSO (parce que vous n’avez pas à vous connecter vers chaque système point d’extrémité avec un profil et un mot de passe), il ne s’agit en réalité que de la synchronisation des profils et des mots de passe. La méthode présente encore de graves lacunes, comme le fait de devoir changer tous les mots de passe chaque fois que l’on change l’un d’eux.

En V5R2, iSeries Navigator a introduit la possibilité d’utiliser Kerberos (également appelé Network Authentication Service) et EIM (Enterprise Indentity Mapping) pour valider SSO pour la connexion initiale entre le PC et le système iSeries sur lesquels vous voulez agir. Cette possibilité étant validée, votre ticket Windows Kerberos vous authentifie auprès du système iSeries et EIM associe ce ticket Kerberos à votre profil utilisateur. Donc, votre profil utilisateur et mot de passe ne vous sont pas du tout demandés.

Cette option prend en charge SSO: concrètement, une fois que vous vous êtes connectés à votre domaine Windows, il n’est pas nécessaire d’entrer à nouveau votre nom et mot de passe utilisateur pour vous connecter à vos systèmes iSeries par l’intermédiaire d’iSeries Navigator. Cependant, vous devez quand même synchroniser tous vos profils et mots de passe utilisateur pour pouvoir utiliser les tâches et moniteurs de Management Central. Cet article ne traite pas de l’utilisation de SSO pour vos connexions directes à iSeries Navigator ou les connexions vers votre système central Management Central. Cette possibilité a été ajoutée en V5R2 (pour en savoir plus, voir « Scenario: Enable single sign-on » dans la section Security du iSeries Info Center). Cet article traite plutôt de l’option de V5R3 pour un single sign-on entre votre système central Management Central et tous vos systèmes et partitions d’extrémité.

La synchronisation des mots de passe est nécessaire parce que les applications Management Central utilisent le même registre d’utilisateurs, ou liste d’utilisateurs, à la fois pour l’authentification (pour prouver que vous êtes bien celui que vous prétendez) et l’autorisation (ce qui vous est autorisé).

Les applications Management Central utilisent le fait que le profil et le mot de passe sont les mêmes sur le point d’extrémité et le système central, pour authentifier le fait que le demandeur est bien l’utilisateur de ce point d’extrémité.

Après quoi, le système point d’extrémité exécute la même tâche ou moniteur que l’utilisateur du point d’extrémité, pour s’assurer que l’utilisateur a le droit d’exécuter cette tâche ou ce moniteur (parce que la tâche ou le moniteur échouent si le profil a une autorité insuffisante). Les profils d’utilisateurs i5/ OS conviennent bien à l’autorisation, mais du fait de l’utilisation de mots de passe, ils ne sont pas l’outil idéal pour l’authentification distribuée.

Un grand mérite de la technologie EIM est de pouvoir utiliser un registre utilisateur pour l’authentification et un registre utilisateur différent pour l’autorisation.

En V5R3, les applications Management Central ont ajouté la possibilité d’utiliser Kerberos pour l’authentification entre le système central et les points d’extrémité, de telle sorte qu’aucune synchronisation des mots de passe n’est nécessaire. EIM permet aussi d’associer un profil utilisateur du système central à un profil utilisateur sur chacun des points d’extrémité (de sorte qu’aucune synchronisation des profils utilisateur n’est nécessaire).