F5 APM – SSO et mot de passe dans l’AD

J’ai fini récemment un projet où le client voulait ajouter des applications web à les utilisateurs dans un site web unique alors les employés introduisent leurs identifiants d’accès seulement une fois pour accéder à toutes les applications. C’est-à-dire, ils ont besoin de configurer d’authentification unique ou SSO dans le site web. C’est facile de faire avec F5 APM et groupes d’Active Directory. Cependant, il y avait beaucoup d’applications, beaucoup de groupes et beaucoup d’utilisateurs où les employées avaient plusieurs noms d’utilisateur et mots de passe. C’est pourquoi une solution alternative devait être proposée.

Même si la configuration avec groupes du contrôleur de domaine est la plus facile, le client voulait le faire directement dans les attributs des objets utilisateur. Ils préfèrent ajouter toutes les applications d’une personne dans un attribut qui est lu par F5 APM pour en montrer dans le site web unique. Donc, il y a un attribut comme ça (app1&userapp1&passapp1; app2&userapp2&passapp2) dans le contrôleur de domaine où se trouve toutes les applications que l’employé peut utiliser. De plus, il était nécessaire de chiffrer les mots de passe dans l’attribut pour empêcher tout accès non autorisé en cas de vol de la base de données.

 

Bien que le vidéo ne soit pas très descriptif, je voulais le partager avec vous d’autant plus que c’est un exemple de configuration d’authentification unique et SSO où les applications autorisées pour les utilisateurs sont dans un attribut du contrôleur de domaine, et aussi, les mots de passe sont chiffrés. À mon avis, la configuration plus importante et plus ardue de faire est l’iRule où l’attribut est lu et traité pour démonter chaque application et nom d’utilisateur qui sont ensuite enregistrés dans les variables du F5 APM.

Vous avez fait quelque fois un projet d’authentification unique dans une entreprise ?

F5 APM – App Tunnel pour Win & Unix

J’ai déjà écrit il y a deux ans sur Portal Access dans F5 APM. À mon avis, c’est un bon outil pour accéder aux ressources internes à partir d’Internet. Or, bien que Portal Access soit facile à configurer, il n’est pas toujours la meilleure option parce qu’il y a des applications web qui ne fonctionnent pas bien à cause du JavaScript ou du code CSS. En effet, la plupart des applications web ne fonctionnent guère avec Portal Access d’autant plus qu’elles ont besoin du JavaScript pour travailler correctement.

Dès que je connais App Tunnel l’année dernière, je l’utilise de plus en plus. D’abord, je configurais App Tunnel pour Windows, ensuite je le configure aussi pour Unix. Donc, App Tunnel est une bonne caractéristique quand il y a des problèmes avec Portal Access car l’ordinateur créera un tunnel contre l’application directement. Il ressemble à une SSL VPN où il n’est pas nécessarie de réserver des adresses IP pour les clients parce qu’il aura des NAT entre F5 APM et les ressources.

Ci-dessous vous pouvez regarder une vidéo pour configurer App Tunnel pour les clients Windows et Unix.

 

 

Comment donnez-vous accès aux ressources internes à partir d’Internet aux clients Windows et Unix.

Migration de F5 BIG-IP

Vous vous rendez compte que j’écris de temps en temps des choses que j’ai fait ou que j’ai appris dans mon boulot. En effet, il y a beaucoup d’articles sur la cybersécurité et les réseaux dans ce blog, où je range mes idées, qu’ils sont très nécessaire plus tard pour moi quand je dois rappeler quelque chose ou je dois le faire encore. C’est-à-dire, ce sont mes remarques et ma mémoire pour les tâches au travail.

Aujourd’hui, j’aimerais vous raconter brièvement comment j’ai migré les paramètres d’un dispositif F5 à un autre sans modifier la configuration des équipements en production. Bien que ajouter le nouvel F5 au cluster soit la meilleure option pour la synchronisation de la configuration, ce n’était pas possible parce que le client ne voulait pas modifier les paramètres du dispositif en production alors qu’on doit copier peu à peu la configuration d’un dispositif à l’autre.

D’abord, il est nécessaire que les deux appareils aient la même version du micrologiciel. Ensuite, on doit télécharger une sauvegarde de chaque appareil. Le dispositif en production et le nouveau dispositif. La sauvegarde sera un fichier avec l’extension .ucs qu’on peut décompresser pour analyser et copier les paramètres. Donc, il faut ajouter dans les fichiers bigip.conf et bigip_base.conf les paramètres qu’on veut migrer d’un appareil à l’autre. Le fichier bigip.conf contient la plupart de la configuration comme les serveurs virtuels, pools et noeuds tandis que le fichier bigip_base.conf conf sert à enregistrer la configuration des cartes réseau. Or, c’est un peu difficile de localiser le dossier filestore dans la sauvegarde parce qu’il se trouve dans le dossier /var/tmp où on a les iFiles ou moniteurs externes.

Sauvegarde de F5 BIG-IP

Par exemple, s’il y a des iApps, on trouvera la section « sys folder » dans bigip_base.conf et la section « sys application service » dans bigip.conf. Les deux sections doivent être copiées pour migrer les iApps vers le nouvel appareil. Ce sont les premiers objets à migrer puis on peut continuer avec les certificats numériques, profils, nœuds, pools, etc. Il est important de signaler qu’il est préférable d’exporter et d’importer les sections sur les certificats numériques, les profils APM et les politiques de sécurité plutôt que de copier les paramètres d’un fichier à un autre.

Configuration d'iApp

En dernier lieu, il faut exécuter « tmsh load sys config verify » pour savoir si le fichier de configuration a été copié correctement et « tmsh load sys config » pour charger la configuration dans le système. Ma recommandation est de charger peu à peu la configuration au lieu d'importer tous les paramètres en une seule étape.

tmsh load sys verify

Comment migrez-vous la configuration d’un appareil à l’autre ?

Conférences de hacking en France

Vous savez déjà que je suis en train d’étudier Français et c’est la raison pour laquelle j’ai commencé à écrire en français dans ce blog. Je suis désolé s’il y a des erreurs dans le texte mais l’apprentissage d’une langue a besoin d’incorporer la langue dans la vie d’étudiant. C’est pourquoi, en tant qu’ingénieur informatique, j’ai cherché des ressources sur l’IT et la cybersécurité pour maîtriser le français dans le domaine où je travaille. À mon avis, c’est le meilleur moyen d’apprendre une langue d’autant plus qu’on peut profiter du chemin de l’apprentissage. Il est non seulement nécessaire d’étudier le vocabulaire et les verbes mais aussi de voir la langue dans le monde réel.

Grâce à la recherche de ressources en français dans le domaine de la cybersécurité, j’ai trouvé des conférences sur le hacking à Paris. Ils sont très loin d’ici d’où j’écris mais il y a déjà beaucoup de vidéos des années précédentes sur YouTube qu’on peut regarder. D’abord, les conférences de leHack qui a été initiée en 2003 par l’équipe HZV et a été inspirée par la célèbre DEF CON de Las Vegas, leHack est l’une des plus anciennes conférence de hacking underground francophone. Ensuite, Hack in Paris est un autre événement qui est en pleine croissance, rassemblant chaque année des experts et passionnés de la sécurité informatique dans la capitale française. Tous les deux sont très intéressant pour apprendre sur la cybersécurité et aussi le français.

Je n’ai guère le temps de regarder toutes les vidéos alors que je regarderai seulement les vidéos qui sont en français pendant l’été. Or, je pense que la chaîne YouTube de leHack est plus intéresante que la chaîne de Hack in Paris parce qu’ils sont des conférences de hacking underground vraiment francophone. En effet, il y a plus de vidéos en français dans leHack que dans Hack in Paris. On verra quand je les regarde cet été. Bien que je ne réussisse pas mes examens de français, je sais que le temps consacré à les regarder en valait la peine.

Qu’est-ce que vous faites pour apprendre une langue ?