webleads-tracker

Comment sécuriser votre IBM i à partir de l’active directory ?

  • Comment sécuriser votre IBM i à partir de l’active directory ?

    La gestion des mots de passe est un des talons d’Achille de la Sécurité Informatique.  L’essentiel de la sécurité des systèmes d’information s’appuie sur des mots de passe associés à des comptes utilisateurs. Ces comptes utilisateurs deviennent de plus en plus nombreux, ainsi que les mots de passe associés.  

    La gestion de ces mots de passe devient alors complexe pour les utilisateurs : il y en a de plus en plus à retenir avec une fréquence de modification élevée , des règles différentes et une impossibilité de choisir un mot de passe déjà utilisé. 

    Ces mots de passe se retrouvent le plus souvent affichés dans des documents (Excels, Word…) ou pire, sur des post it collés sur l’écran. Ou restent inchangés sur de très longues périodes. . On se retrouve alors rapidement dans la situation ou le couple compte/mot de passe n’est plus sécurisé.

    Le SSO (Single Sign On, pour système de signature unique) constitue une solution à ce problème. Il permet aux utilisateurs d’un réseau d’entreprise d’accéder à l’ensemble des ressources autorisées sur la base d’une authentification unique effectuée lors de l’accès initial au réseau, quel que soit le nombre et l’hétérogénéité des serveurs concernés ! Grâce à cette stratégie, l’entreprise assure une meilleure sécurité des applications informatiques : les mots de passe et les profils ne circulent plus sur le réseau, la stratégie de mot de passe peut être renforcée (changement obligatoire avec une durée plus courte, complexité du mot passe plus importante…). 

    Les utilisateurs n’ont à retenir qu’un seul mot de passe qui leur permet d’accéder à l’ensemble des ressources du réseau auxquelles ils sont autorisés. C’est également un gain de temps pour la hotline qui peut enfin se consacrer à des problèmes à plus forte valeur ajoutée : entre 20% et 40% du temps passé par le support est dédié à la gestion de mots de passe et des profils. 

    L’Active Directory (AD) est un annuaire qui répertorie et organise les informations concernant le monde Microsoft, que ce soit les utilisateurs, les systèmes ou les applications. C’est l’endroit idéal pour centraliser les données du SSO. Cet Il est le système centralisé d’authentification des utilisateurs, et leurs permet une fois connecté, d’accéder à la ressource demandée, sans avoir à retaper leur mot de passe. 

    Les IBM i peuvent participer à un SSO centré sur l’AD avec EIM (Enterprise Identity Mapping). Avec EIM, la gestion des mots de passe est simplifiée car elle s’appuie sur l’authentification réalisée par  l’Active Directory.

    L’EIM s’appuie sur deux couches du réseau : le protocole standard Kerberos, implémenté dans l’Active Directory, et un contrôleur EIM installé dans un IBM i. Les mots de passe ne sont présents, en standard, que dans l’Active Directory. Ils peuvent être désactivés sur tous les IBM i concernés. Lorsqu’une application démarre, elle demande un « jeton » à l’Active Directory. Ce jeton est présenté au serveur sur lequel on souhaite se connecter, qui demande au contrôleur EIM quel est le profil utilisateur  à utiliser. Si la connexion est autorisée, la session est directement ouverte avec le bon profil.

    L’implémentation du SSO sur IBM i permet ainsi de supprimer les mots de passe sur l’IBM i. Cette implémentation peut être longue et fastidieuse dans le cadre d’un grand nombre d’utilisateurs sur cet IBM i. Gagnez du temps grâce à AD-iCT : un ensemble de fonctions qui facilitent cette intégration de l’IBM i dans un AD !

    Leave a comment

    Required fields are marked *