image

Comment sécuriser votre IBM i à partir de l’active directory ?

La gestion des comptes utilisateurs et des mots de passe associés est un des talons d’Achille de la sécurité informatique.

La gestion de ces mots de passe devient alors complexe pour les utilisateurs : il y en a de plus en plus à retenir avec une fréquence de modification élevée, des règles différentes et une impossibilité de choisir un mot de passe déjà utilisé. 

Ces mots de passe se retrouvent le plus souvent affichés dans des documents (Excel, Word…) ou pire, sur des post it collés sur l’écran. Ou restent inchangés sur de très longues périodes… On se retrouve alors rapidement dans la situation ou le couple compte/mot de passe n’est plus sécurisé.

Le SSO (Single Sign On, pour système de signature unique) constitue une solution à ce problème. Il permet aux utilisateurs d’un réseau d’entreprise d’accéder à l’ensemble des ressources autorisées sur la base d’une authentification unique effectuée lors de l’accès initial au réseau, quel que soit le nombre et l’hétérogénéité des serveurs concernés ! Grâce à cette stratégie, l’entreprise assure une meilleure sécurité des applications informatiques : les mots de passe et les profils ne circulent plus sur le réseau, la stratégie de mot de passe peut être renforcée (changement obligatoire avec une durée plus courte, complexité du mot passe plus importante…). 

Les utilisateurs n’ont à retenir qu’un seul mot de passe qui leur permet d’accéder à l’ensemble des ressources du réseau auxquelles ils sont autorisés. C’est également un gain de temps pour la hotline qui peut enfin se consacrer à des problèmes à plus forte valeur ajoutée : entre 20% et 40% du temps passé par le support est dédié à la gestion de mots de passe et des profils. 

L’Active Directory (AD) est un annuaire qui répertorie et organise les informations concernant le monde Microsoft, que ce soit les utilisateurs, les systèmes ou les applications. C’est l’endroit idéal pour centraliser les données du SSO. Cet Il est le système centralisé d’authentification des utilisateurs, et leurs permet une fois connecté, d’accéder à la ressource demandée, sans avoir à retaper leur mot de passe. 

Les IBM i peuvent participer à un SSO centré sur l’AD avec EIM (Enterprise Identity Mapping). Avec EIM, la gestion des mots de passe est simplifiée car elle s’appuie sur l’authentification réalisée par l’Active Directory.

L’EIM s’appuie sur deux couches du réseau : le protocole standard Kerberos, implémenté dans l’Active Directory, et un contrôleur EIM installé dans un IBM i. Les mots de passe ne sont présents, en standard, que dans l’Active Directory. Ils peuvent être désactivés sur tous les IBM i concernés. Lorsqu’une application démarre, elle demande un « jeton » à l’Active Directory. Ce jeton est présenté au serveur sur lequel on souhaite se connecter, qui demande au contrôleur EIM quel est le profil utilisateur à utiliser. Si la connexion est autorisée, la session est directement ouverte avec le bon profil.

L’implémentation du SSO sur IBM i permet ainsi de supprimer les mots de passe sur l’IBM i. Cette implémentation peut être longue et fastidieuse dans le cadre d’un grand nombre d’utilisateurs sur cet IBM i.

 

Gagnez du temps grâce à notre offre AD-iCT, qui regroupe un ensemble de fonctions facilitant cette intégration de l’IBM i dans un AD.  Apprenez-en davantage sur notre offre AD-iCT ou contactez-nous au 01 88 32 12 34, ou via le formulaire de contact pour en savoir plus.