Gestion de la sécurité/utilisateur : Configurer la fonctionnalité de connexion PAM

Document created by RSA Information Design and Development on Apr 26, 2018Last modified by RSA Information Design and Development on Apr 29, 2019
Version 2Show Document
  • View in full screen mode
 

Cette rubrique explique comment configurer NetWitness Platform pour utiliser les modules PAM (Pluggable Authentication Modules) afin d'authentifier les connexions d'utilisateurs externes.

La fonctionnalité de connexion PAM comporte deux composants distincts :

  • PAM pour l'authentification de l'utilisateur
  • NSS pour l'autorisation de groupe

S'ils sont associés, ils offrent aux utilisateurs externes la fonctionnalité de se connecter à NetWitness Platform sans avoir de compte NetWitness Platform interne, et de recevoir des autorisations ou des rôles déterminés en mappant le groupe externe vers un rôle de sécurité NetWitness Platform. Les deux composants sont requis pour qu'une connexion réussisse.

L'authentification externe est un paramètre au niveau du système. Avant de configurer PAM, examinez attentivement toutes les informations ici.

Modules PAM (Pluggable Authentication Module)

PAM est une bibliothèque fournie par Linux, responsable de l'authentification des utilisateurs auprès des fournisseurs d'authentification tels que RADIUS, Kerberos ou LDAP. Pour la mettre en œuvre, chaque fournisseur d’authentification utilise son propre module, qui se présente sous la forme d’un package de système d’exploitation (OS), tel que pam_ldap. Pour authentifier les utilisateurs, NetWitness Platform utilise la bibliothèque PAM fournie par le système d’exploitation et le module que la bibliothèque PAM est configurée pour utiliser.

Remarque : Le module PAM fournit uniquement la possibilité de s'authentifier.

Name Service Switch

NSS est une fonction Linux qui fournit les bases de données que le système d'exploitation et les applications utilisent pour découvrir des informations comme les noms d'hôtes ; les attributs d'utilisateur comme le répertoire de base, le groupe principal et le shell de connexion ; et pour répertorier des utilisateurs qui appartiennent à un groupe donné. Semblable aux modules PAM, NSS est configurable et utilise des modules pour interagir avec les différents types de fournisseurs. NetWitness Platform utilise les fonctions NSS fournies par l’OS pour autoriser les utilisateurs PAM externes en recherchant si un utilisateur est connu sur NSS, puis en demandant ensuite depuis NSS les groupes dont cet utilisateur est membre. NetWitness Platform compare les résultats de la demande au mappage de groupe externe NetWitness Platform et, si un groupe correspondant est trouvé, l’utilisateur obtient un accès pour se connecter à NetWitness Platform avec le niveau de sécurité défini dans le mappage de groupe externe.

Remarque : NSS ne fournit pas d'authentification.

Association de PAM et NSS

Les opérations de PAM (authentification) et NSS (autorisation) doivent réussir pour qu'un utilisateur externe soit autorisé à se connecter à NetWitness Platform. La procédure de configuration et de dépannage de PAM est différente de celle de NSS. Les exemples concernant PAM dans ce guide comprennent Kerberos, LDAP et RADIUS. Les exemples de NSS incluent LDAP et UNIX. L'association de modules PAM et NSS utilisée est déterminée par les besoins du site.

Vue d’ensemble du processus

Pour configurer la fonction de connexion PAM, suivez les instructions de ce document pour effectuer chaque étape :

  1. Configurer et tester le module PAM.
  2. Configurer et tester le service NSS.
  3. Activer PAM dans le serveur NetWitness.
  4. Créer des mappages de groupes dans le serveur NetWitness.

Conditions préalables

Avant de commencer la configuration de PAM, passez en revue la procédure et recueillez les détails du serveur d'authentification externe en fonction du module PAM que vous souhaitez mettre en œuvre.

Avant de commencer la configuration de NSS, passez en revue la procédure, identifiez les noms des groupes que vous allez utiliser dans le mappage de groupe externe, puis recueillez les détails du serveur d'authentification externe, selon le service NSS utilisé.

Avant de commencer la configuration de PAM dans NetWitness Platform, identifiez les noms des groupes que vous allez utiliser dans le mappage de groupe externe. Lors du mappage des rôles, le rôle dans NetWitness Platform doit correspondre à un nom de groupe qui existe dans le serveur d'authentification externe.

Configurer et tester le module PAM

Choisissez l'une des sections suivantes pour installer et configurer le composant PAM :

PAM Kerberos

Ports de communication Kerberos - TCP 88

Pour configurer l'authentification PAM avec Kerberos :

  1. Exécutez la commande suivante (en vérifiant d’abord que le package krb5-workstation est installé dans votre environnement) :
    yum install krb5-workstation pam_krb5  
  2. Modifiez les lignes suivantes du fichier de configuration Kerberos /etc/krb5.conf. Remplacez les variables, qui sont délimitées par des <crochets>, par vos valeurs et en omettant les crochets. La mise en majuscules est obligatoire aux emplacements indiqués.

    # Configuration snippets may be placed in this directory as well
    includedir /etc/krb5.conf.d/

    [logging]
    default = FILE:/var/log/krb5libs.log
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/kadmind.log

    [libdefaults]
    dns_lookup_realm = false
    ticket_lifetime = 24h
    dns_lookup_kdc = true
    renew_lifetime = 7d
    forwardable = true
    rdns = false
    default_realm = <DOMAIN.COM>
    default_ccache_name = KEYRING:persistent:%{uid}

    [realms]
    <DOMAIN.COM> = {
    kdc = <SERVER.DOMAIN.COM>
    admin_server = <SERVER.DOMAIN.COM>
    }

    [domain_realm]
    <domain.com> = <DOMAIN.COM>
    <.domain.com> = <DOMAIN.COM>
  3. Testez la configuration Kerberos avec la commande :
    kinit <user>@<DOMAIN.COM>
    S'il n'y a aucune sortie après la saisie du mot de passe, c'est que l'opération a réussi.
  4. Modifiez le NetWitness Serverfichier de configuration PAM/etc/pam.d/securityanalytics pour ajouter la ligne suivante. Si le fichier n'existe pas, créez-le et ajoutez la ligne suivante :
    auth sufficient pam_krb5.so no_user_check

Ceci termine la configuration de PAM Kerberos. Maintenant, passez à la section suivante, Configurer et tester le service NSS.

PAM RADIUS

Ports de communication Radius- UDP 1812 ou UDP 1813

Pour configurer l'authentification PAM à l’aide de Radius, vous devez ajouter NetWitness Server à votre liste de client de serveur Radius et configurer un code secret partagé. Contactez l'administrateur du serveur Radius pour cette procédure.

Pour configurer l'authentification PAM avec Radius :

  1. Exécutez la commande suivante (en vérifiant d’abord que le package pam_radius_auth est installé dans votre environnement) :
    yum install pam_radius_auth
  2. Modifiez le fichier de configuration Radius /etc/raddb/server comme suit :
    # server[:port] shared_secret  timeout (s)
    server          secret         3
  3. Modifiez le NetWitness Serverfichier de configuration PAM/etc/pam.d/securityanalytics pour ajouter la ligne suivante. Si le fichier n'existe pas, créez-le et ajoutez la ligne suivante :
    auth sufficient pam_radius_auth.so
  4. Pour copier la bibliothèque RADIUS, exécutez la commande suivante :
    cp /usr/lib/security/pam_radius_auth.so /usr/lib64/security/

Attention : Pour que PAM RADIUS fonctionne, les fichiers /etc/raddb/server doivent disposer d’une autorisation d’écriture. La commande nécessaire pour cela est : chown netwitness:netwitness /etc/raddb/server.

Attention : Vous devez redémarrer le serveur Jetty après avoir apporté les modifications ci-dessus pour PAM RADIUS. La commande nécessaire pour cela est :
systemctl restart jetty

Les modules PAM et les services associés envoient des informations à /var/log/messages et /var/log/secure. Ces sorties peuvent être utilisées pour aider à résoudre des problèmes de configuration.

La procédure suivante est un exemple des étapes à suivre pour configurer l’authentification PAM pour Radius à l’aide de SecurID :

Remarque : Les exemples de ces tâches utilisent RSA Authentication Manager en tant que serveur Radius.

  1. Exécutez la commande suivante (en vérifiant d’abord que le package pam_radius_auth est installé dans votre environnement) :

    yum install pam_radius_auth

  2. Modifiez le fichier de configuration Radius, /etc/raddb/server puis mettez-le à jour avec le nom d’hôte de l’instance Authentication Manager, avec le code secret partagé et avec le délai d’expiration :

    # server[:port] shared_secret timeout (s)

    111.222.33.44 secret 1

    #other-server other-secret 3

    192.168.12.200:6369 securid 10

    Remarque : Vous devez commenter les lignes 127.0.0.1 et other-server puis ajouter l’adresse IP de l’instance Authentication Manager principale avec un numéro de port RADIUS (par exemple, 192.168.12.200:1812), un code secret partagé RADIUS et une valeur d’expiration du délai de 10.

  3. Modifiez le NetWitness Serverfichier de configuration PAM/etc/pam.d/securityanalytics pour ajouter la ligne suivante. Si le fichier n'existe pas, créez-le et ajoutez la ligne suivante :

    auth sufficient pam_radius_auth.so

    Remarque : Vous pouvez ajouter debug à la fin de la ligne ci-dessus dans le fichier /etc/pam.d/securityanalytics pour permettre le débogage PAM (par exemple, auth sufficient pam_radius_auth.so debug)

  4. Pour copier la bibliothèque RADIUS, exécutez la commande suivante :
    cp /usr/lib/security/pam_radius_auth.so /usr/lib64/security/

Les modules PAM et les services associés envoient des informations à /var/log/messages et /var/log/secure. Ces sorties peuvent être utilisées pour aider à résoudre des problèmes de configuration.

Ajouter un Client Radius et un Agent associé.

Remarque : Les exemples de ces tâches utilisent RSA Authentication Manager en tant que serveur Radius.
Vous devez utiliser les informations d’identification du compte d’administrateur pour vous connecter à la Console de sécurité de RSA Authentication Manager.

Pour ajouter un Client Radius et un Agent associé :

  1. Connectez-vous à RSA Authentication Manager.
    La Console de sécurité s’affiche.
  2. Dans la Console de sécurité, cliquez sur RADIUS > Clients RADIUS > Ajouter nouveau.
    La page Ajouter un Client RADIUS s’affiche.
    Image of RSA Security Console for Add RADIUS Client settings
  3. Dans les paramètres Client RADIUS, fournissez les informations suivantes :
    1. Dans le champ Nom du client, saisissez le nom du client, par exemple NetWitness Platform.
    2. Dans le champ Adresse IPv4, indiquez l'adresse IPv4 du client Radius, par exemple 192.168.12.108.
    3. Dans la liste déroulante Marque/Modèle, sélectionnez le type de client Radius, par exemple Fortinet.
    4. Dans le champ Code secret partagé, saisissez le code secret partagé d’authentification.
  4. Cliquez sur Enregistrer et créer un agent RSA associé.
    Image of Add New Authentication Agent page.
  5. Cliquez sur Enregistrer.

Si l’Instance Authentication Manager ne peut pas trouver l’agent d’authentification sur le réseau, une page d’avertissement s’affiche. Cliquez sur Oui, enregistrer l’Agent.

Pour plus d’informations, consultez la rubrique « Ajouter un client RADIUS » du Guide d’administrateur de RSA Authentication Manager 8.2.

Ceci termine la configuration de PAM Radius. Maintenant, passez à la section suivante, Configurer et tester le service NSS.

Agent PAM pour SecurID

Port de communication PAM - UDP 5500

Conditions préalables

Le module RSA SecurID PAM est pris en charge uniquement dans les conditions suivantes :

  • Les connexions approuvées doivent être activées et fonctionner entre NetWitness Platform et les services de base.

Vue d’ensemble du processus 

Voici les étapes générales de configuration du module SecurID PAM :

  1. Configurer Authentication Manager :
    a. Ajouter un agent d'authentification.
    b. Créer et télécharger un fichier de configuration.
  2. Configurer NetWitness Server :
    a. Copier le fichier de configuration à partir d'Authentication Manager et le personnaliser.
    b. Installer le module PAM SecurID.
  3. Tester la connectivité et l'authentification.

Suivez ensuite les procédures restantes dans les sections qui suivent :

Pour configurer Authentication Manager :

  1. Connectez-vous à RSA Authentication Manager.
    La Console de sécurité s'affiche.
    Image of the Authentication Manager Security Console
  2. Dans la Console de sécurité, ajoutez un nouvel Agent d'authentification.
    Cliquez sur Accès > Agents d'authentification > Ajouter nouveau.
    La page Ajouter un nouvel agent d'authentification s'affiche.
    Image of the Add New Authentication Agent page.
  3. Dans le champ Nom d'hôte, saisissez le nom d’hôte de NetWitness Server.
  4. Cliquez sur Résoudre l’adresse IP.
    L'adresse IP de NetWitness Server s'affiche automatiquement dans le champ Adresse IP.
  5. Conservez les paramètres par défaut et cliquez sur Enregistrer.
  6. Générer un fichier de configuration.
    Cliquez sur Accès > Agents d'authentification > Générer le fichier de configuration.
    La page Générer le fichier de configuration s'affiche.
    Image of the Generate Configuration File page.
  7. Conservez les valeurs par défaut et cliquez sur Générer le fichier de configuration.
    Cela crée AM_Config.zip, qui contient deux fichiers.
  8. Cliquez sur Téléchargez maintenant.

Pour installer et configurer le module SecurID PAM :

  1. Sur le NetWitness Server, créez le répertoire suivant :
    mkdir /var/ace
  2. Sur NetWitness Server, copiez sdconf.rec à partir du fichier .zip dans /var/ace.
  3. Créez un fichier texte sdopts.rec dans le répertoire /var/ace.
  4. Insérez la ligne suivante :
    CLIENT_IP=<IP address of NetWitness Server>
  5. Installez l'Agent d'autorisation SecurID pour PAM, qui est disponible dans le dépôt yum :
    yum install sid-pam-installer
  6. Exécutez le script d'installation :
    /opt/rsa/pam-agent-installer/install_pam.sh
  7. Suivez les instructions pour accepter ou modifier les valeurs par défaut. 
  8. Modifiez le NetWitness Serverfichier de configuration PAM/etc/pam.d/securityanalytics pour ajouter la ligne suivante. Si le fichier n'existe pas, créez-le et ajoutez la ligne suivante :
    auth sufficient pam_securid.so

Ceci termine l'installation du module PAM SecurID. Ensuite, testez la connectivité et l'authentification. Puis suivez les procédures de Configurer et tester le service NSS.

Remarque : Si la configuration de PAM SecurID n’est pas terminée, il est probable que le serveur Jetty se bloque et l’interface utilisateur NetWitness Platform ne s’affiche pas. Vous devez attendre que la configuration de l’authentification PAM soit terminée, puis redémarrer le serveur Jetty.

Pour tester la connectivité et l'authentification :

  1. Exécutez /opt/pam/bin/64bit/acetest, saisissez le nom d'utilisateur et le code secret
  2. (Facultatif) Si acetest échoue, activez le débogage :
    vi/etc/sd_pam.conf
    RSATRACELEVEL=15
  3. Exécutez /opt/pam/bin/64bit/acestatus. La sortie s'affiche comme illustré ci-dessous.

RSA ACE/Server Limits
---------------------
Configuration Version : 15 Client Retries : 5 
Client Timeout : 5 DES Enabled : Yes 

RSA ACE/Static Information
--------------------------
Service : securid Protocol : udp Port Number : 5500 

RSA ACE/Dynamic Information
---------------------------
Server Release : 8.1.0.0 Communication : 5

RSA ACE/Server List
-------------------
Server Name :           auth81.netwitness.local
Server Address :        192.168.100.10
Server Active Address : 192.168.100.10
Master : Yes Slave : No Primary : Yes 
Usage : Available for Authentications

  1. (Facultatif) Pour dépanner le serveur Authentication Manager,
    cliquez sur Reporting > Moniteurs d'activité en temps réel > Moniteur d'activité d'authentification.
    Ensuite, cliquez sur Démarrer le moniteur.
  2. Si vous avez modifié le paramètre, réinitialisez RSATRACELEVEL sur 0 :
    vi/etc/sd_pam.conf
    RSATRACELEVEL=0

Attention : Après l'installation, vérifiez que VAR_ACE dans le fichier /etc/sd_pam.conf pointe vers l'emplacement correct du fichier sdconf.rec. Il s'agit du chemin des fichiers de configuration. La commande nécessaire pour cela est : chown -R netwitness:netwitness /var/ace.

Ceci termine la configuration de l'agent PAM pour SecurID. Maintenant, passez à la section suivante, Configurer et tester le service NSS.

Configurer et tester le service NSS

NSS UNIX

Aucune configuration n'est nécessaire pour activer le module NSS UNIX ; il est activé dans le système d'exploitation hôte par défaut. Pour autoriser un utilisateur pour un groupe spécifique, il suffit de l'ajouter au système d'exploitation et de l'ajouter à un groupe :

  1. Créez un groupe de systèmes d'exploitation à ajouter à votre utilisateur externe avec cette commande :
    groupadd <groupname>
  2. Ajoutez l'utilisateur externe au système d'exploitation avec cette commande :
    adduser -G <groupname> -M -N <externalusername>

Remarque : Notez que cette opération ne permet PAS ni n’autorise l'accès à la console NetWitness Server.

Ceci termine la configuration de NSS UNIX. Ensuite, passez à la section Tester la fonctionnalité NSS.

Tester la fonctionnalité NSS

Pour tester si NSS fonctionne avec l'un des services NSS précédents, utilisez les commandes suivantes :

getent passwd <pamUser>
getent group <groupOfPamUser>

La sortie doit être similaire à :

[root@~]# getent passwd myuser
myuser:*:10000:10000::/home/myuser:/bin/sh

[root@~]# getent group mygroup
mygroup:*:10000:myuser3

  • Si aucune commande ne produit de sortie, l'autorisation externe ne fonctionne pas correctement sur NSS. Reportez-vous aux conseils de dépannage de votre module NSS fournis dans ce document.
  • Si les commandes getent fonctionnent et que la réussite de l'authentification est confirmée dans /var/log/secure mais que NetWitness Platform ne parvient toujours pas à autoriser les utilisateurs externes à se connecter :
    • Est-ce que le nom de groupe correct a été spécifié pour le groupe NSS dans le mappage de groupe externe NW ? Voir les sections ci-dessous Activer PAM et Créer des mappages de groupe.
    • Il se peut que la configuration NSS ait changé et que NetWitness Platform n'ait pas relevé le changement.  Un redémarrage de l'hôte NetWitness Platform entraînera l'application des modifications de configuration NSS par NetWitness Platform. Un redémarrage du serveur Jetty n'est pas suffisant.

Accédez à la section suivante Activer PAM dans le serveur NetWitness.

Activer PAM dans le serveur NetWitness

  1. Dans NetWitness Platform, accédez à ADMIN >Sécurité.
    La vue Administrateur > Sécurité s'ouvre avec l'onglet Utilisateurs ouvert.
  2. Cliquez sur l'onglet Paramètres.
  3. Sous Authentification PAM, sélectionnez Activer l’authentification PAM , puis cliquez sur Appliquer.
    This is an example of the PAM Authentication section.

Tester l'authentification externe de PAM

  1. Accédez à ADMIN > Sécurité.
    La vue Sécurité s'affiche avec l'onglet Utilisateurs ouvert.
  2. Cliquez sur l'onglet Paramètres.
  3. Sous Authentification PAM, sélectionnez Activer l’authentification PAM.
    Image of PAM Authentication and Active Directory Configurations portions of the Settings Tab
  4. Sous les options Authentification PAM, cliquez sur Tester.
    La boîte de dialogue Test d'authentification PAM s'affiche.
    Image of the PAM Authentication Test dialog, requesting a Username and Password
  5. Saisissez un nom d'utilisateur et un mot de passe que vous voulez tester pour l'authentification avec la configuration PAM actuelle.
  6. Cliquez sur Tester.
    La méthode d'authentification externe est testée pour assurer la connectivité.
  7. Si le test n’aboutit pas, passez en revue et modifiez la configuration.

L’authentification PAM est activée, et les configurations Active Directory restent également activées. Les configurations PAM sont automatiquement renseignées dans l’onglet Mappage de groupe externe pour vous permettre de mapper des rôles de sécurité pour chaque groupe.

Créer des mappages de groupes dans le serveur NetWitness

Pour configurer les rôles de sécurité utilisés pour accéder à PAM, reportez-vous à l’Étape 5. (Facultatif) Mapper des rôles d'utilisateur aux groupes externes.

You are here
Table of Contents > Configurer la sécurité du système > Étape 4.  (Facultatif) Configurer l'authentification externe > Configurer la fonctionnalité de connexion PAM

Attachments

    Outcomes