Séminaire Linagora sécurite et identité en Open Source, novembre 2009

Matinée Pour Comprendre
O u tils d e s é c u r ité e t d 'id e n tité e n O p e n
S o u rc e !Ç a m a rc h e !

Identité et sécurité Open
Source : une réalité
Sébastien BAHLOUL
Responsable offre Identité & Sécurité
Groupe LINAGORA
sbahloul@linagora.com

LINAGORA

Mission : Logiciels et service Open
Source pour réussir les grands
projets du libre
Création : Mai 2000
Capital : Privé
Effectif: 150 employés

Notre positionnement

F r e e m iu m F r e e -F r e e S e r v ic e s
P r o p r ié ta ir e
= 5 0 à 8 0 % L ib r e = 1 0 0 % L ib r e = + o u - L ib r e
= 0 % L ib r e
= P r o p r ié ta ir e
• M o d è le c la s s iq u e . • F a v o r is e la d if f u s io n • B u s in e s s a s U s u a l !
• M o d è le d is r u p tif d e
• O n p a y e a c h a q u e f o is M a s s iv e •D é m a rc h e s
c o m m e r c ia lis a tio n e t d e • U tilis a te u r s p lu s
q u 'o n v e u t u tilis e r la d is tr ib u tio n d e l'in n o v a tio n o p p o r t u n is te s
s o lu tio n . • F a v o r is e la d if f u s io n d if f ic ile m e n t • O f f r e e n c o n s tr u c t io n
• E v a p o r t a io n f is c a le • U tilis a te u r s f a c ile m e n t « m o n é tis a b le s » • E n je u x d e s r e s s o u r c e s
• I n n o v a t io n à l'é t r a n g e r • L e s é d ite u r s F r e e -f r e e h u m a in e s
« m o n é tis a b le s » : q u a n d
• B a la n c e d e s e x p o r ta tio n s f o n t le p a r i d e v e n d r e a u • P e r m e t d 'in je c t e r u n e
o n v e u t u n e s o lu tio n p o u r
d if f ic it a ir e s m a r c h é « s o lv a b le » g r a n d e p a r t ie d e s f o n d s
e n tr e p r is e o n p a y e , s in o n
u n iq u e m e n t e t a c c e p te d a n s l'e m p lo i a u n iv e a u
o n u tilis e la v e r s io n lib r e
q u e le m a r c h é « n o n lo c a l
s o lv a b le »
• M o in s d e L o c k e d -In p o u r
le s c lie n ts
• P lu s g r a n d r e s p e c t d e la
p h ilis o p h ie O p e n S o u r c e
• M o d è le s d e s s o lu tio n s
L ib r e s e u r o p é e n n e s :
• D if f ic u lté d e f in a n c e m e n t
d e c e s m o d è le s

www.LinID.org
www.linagora.com

Notre offre

Directory Sync Access Tracking
Manager Manager Manager Manager

OpenLDAP Federation
Manager Manager

Applications Bases de
Partenaire
(web) l’entreprise
authentifié

Federation
Manager

Utilisateur

Access Directory
Sync Manager
Manager Manager

Administrateur Annuaire

OpenLDAP Tracking
Manager Manager

Ils nous font confiance !
L’offre produit LinID vous
apporte le meilleur des
fonctions d’une suite de gestion
d’identité et l’interopérabilité
d’une solution Open Source.

Nos briques d’infrastructure

E n je u x
A lim e n ta tio n , e x tr a c tio n e t s y n c h r o n is a tio n
d e s r é fé r e n tie ls e x is ta n ts a v e c l’a n n u a ir e ,
r é fé r e n tie l p r in c ip a l d e s id e n tité s
Sync
Manager
Q u e lq u e s c o n c u r r e n ts

C o m p o s a n ts te c h n o lo g iq u e s
– L in S y n c


E n je u x
W e b S S O c o n s t r u it s u r A p a c h e , p r o fita n t d e
l’e n s e m b le d e la m o d u la r ité d e s m o d u le s
d ’a u t h e n t if ic a tio n e t d e la s c a la b ilité d ’A p a c h e
e n R e v e r s e P r o x y, in té g r a tio n n o n -in tr u s iv e d e s
Access
a p p lic a t io n s v ia e n tê te H T T P e t n o n A P I,
Manager c o m p lé tio n a u to m a tiq u e d e fo r m u la ir e s ,
c o m b in a is o n d e s m é t h o d e s d ’a u th e n tific a tio n .


– L in ID A c c e s s M a n a g e r

Nos services

E n je u x
P la te fo r m e p o u r le s u tilis a te u r s d e g e s tio n d u
c o n te n u d ’a n n u a ir e , a v e c m o d u le s d e
p u b lic a tio n , r e c h e r c h e s e t o r g a n ig r a m m e s
Directory
Manager

– In te r L D A P

Nos services

E n je u x
P la te fo r m e d e g e s tio n d e c o n te n u e t
d ’a d m in is tr a tio n d ’a n n u a ir e , in té g r a n t d e s
m o d u le s d e d é lé g a tio n e t d e r e c h e r c h e
OpenLDAP
Manager Q u e lq u e s c o n c u r r e n ts

– L in ID O p e n L D A P M a n a g e r

Nos services

E n je u x
O u v e r tu r e d e s a p p lic a tio n s in te r n e s a u x
p a r te n a ir e s e x té r ie u r s p a r le s p r o to c o le s
s ta n d a r d s d e fé d é r a tio n d ’id e n tité s (ID -F F,
Federation ID -W S F, S A M L 2 ), fo u r n is s e u r d ’id e n tité s
Manager e t d ’a ttr ib u ts e n W e b -S e r v ic e .

- F e d e r ID & L e m o n S A M L

www.LinPKI.org
www.linagora.com

Coffre-fort Messagerie Transferts Authentificatio
électronique sécurisée sécurisés n forte

SignServer
Signature et horodatage
électronique

Usine à certificats Autorité de
(support physiques / logiciel) certification

La PKI (Public Key Infrastructure)

Autorité de
Clef publique Certificat
certification

Autorité
d’enregistrement

Clef privée

Stockage du
certificat

Utilisateur

Ils nous font confiance !
De par le positionnement unique
de son offre, la progression de
sa part de marché et la solidité
du Groupe LINAGORA, LinPKI a
aujourd’hui les moyens de ses
ambitions : s’imposer au niveau
mondial !


E n je u x
L e c œ u r d 'u n e in fr a s tr u c tu r e d e c o n fia n c e
q u i m a n a g e l'in té g r a lité d e s id e n tité s
n u m é r iq u e s .
Autorité de
certification

– A u to r ité d e c e r tific a tio n : lin R A


E n je u x
G è r e le c y c le d e v ie c o m p le t d e s c e r tific a ts
d a n s le S I, c a p a b le d e g é n é r e r d e s
c e r tific a ts s u r to u t ty p e d e s u p p o r t
Usine à
certificats Q u e lq u e s c o n c u r r e n ts

Com

– U s in e à c e r tific a ts : E J B C A


E n je u x
P e r m e t la s ig n a tu r e a u n o m d 'u n s e r v e u r o u
d e to u te l'o r g a n is a tio n e t p r e n d e n c h a r g e
le s fo n c tio n s d 'h o r o d a ta g e e n a p p o s a n t
SignServer u n e h e u r e fia b le s u r le s d o n n é e s
et horodatage

– L in S ig n S e r v e r

Nos services

E n je u x
C o m b in é e à n o tr e o ffr e d e g e s tio n d e s
id e n tité s (L in ID ), c e tte s o lu tio n p e r m e t la
g e s tio n d 'u n a c c è s p a r fa ite m e n t s é c u r is é
Authentification p o u r v o s s e r v ic e s c r itiq u e s o u v e r s
forte
l'e x té r ie u r.

– G e s tio n d e s id e n tité s : L in ID

Nos services

E n je u x
R é p o n d r e à v o s b e s o in s p o u r g a r a n tir
l'id e n tité e t la q u a lité d u s ig n a ta ir e a in s i
q u e l'in a lté r a b ilité e t la c o n fid e n tia lité d u
Messagerie m essage
sécurisée


– P K I: L in P K I
– M e s s a g e r ie : O B M

Nos services
E n je u x
P e r m e t à u n u tilis a te u r d e s ig n e r to u s ty p e s d e
données.
N o tr e s o lu t io n e s t en cours de certification d e
p r e m ie r n iv e a u p a r la Ag ence Nationale de la
Signature S écurité des S ys tèmes d'Information, e t s e r a
électronique a in s i la première vraie alternative c e r tifié e a u x
s o lu tio n s p r o p r ié t a ir e s .

de
co u rs
En i o nQ u e lq u e s c o n c u r r e n ts
t i fi cat
c er
! C o m p o s a n ts te c h n o lo g iq u e s
– S ig n a tu r e : L in S ig n

Nos services

E n je u x
P e r m e t a u x u tilis a te u r s d 'o r g a n is e r, g é r e r e t
a r c h iv e r le s d o c u m e n ts s e n s ib le s d e
l'o r g a n is a tio n
Coffre-fort
électronique

– P K I: L in P K i
– S to c k a g e s é c u r is é : L in S h a r e

Nos services

E n je u x
U n e s o lu tio n s im p le e t c o m p lè te p o u r
s é c u r is é le s é c h a n g e s a u s e in d e
l'e n tr e p r is e a in s i q u 'a v e c l'e x té r ie u r.
Transferts
sécurisés

– P K I: L in P K I
– P a r ta g e s d e fic h ie r s : L in S h a r e

« O u tils d e S é c u r ité e t d 'Id e n tité e n O p e n
S o u rc e !Ç a m a rc h e »

SSO et authentification forte

Clément OUDOT
Architecte
Groupe LINAGORA
coudot@linagora.com

Sommaire 28

●
Concepts et définition du WebSSO

●
LinID Access Manager / LemonLDAP::NG

●
Authentification forte appliquée au WebSSO

Définition du WebSSO 30

●
SSO signifie « Single Sign On », qui peut
se traduire en français par
« authentification unique ».
●
Le SSO regroupe plusieurs
fonctionnalités :
– Couple identifiant/mot de passe unique
– Transmission transparente des informations
de session aux applications
– Gestion des profils applicatifs, c'est-à-dire
qui accède à quoi

SSO par mandataire inverse 33

Le protocole HTTP 34

G E T h ttp ://w w w .lin a g o r a .c o m H T T P /1 .1
A c c e p t: te x t/h tm l
U s e r -A g e n t: M o z illa /5 .0 (X 1 1 ; U ; L in u x i6 8 6 ; f r ; r v :1 .7 .6 )

H T T P /1 .1 2 0 0 O K
D a te : T h u , 1 3 M a r 2 0 0 8 1 5 :0 5 :2 9 G M T
S e rv e r: A p a c h e
C o n te n t-L e n g th : 2 6 4
C o n te n t-T y p e : te x t/h t m l; c h a r s e t= is o -8 8 5 9 -1

<?x m l v e r s io n = "1 .0 " e n c o d in g = "is o -8 8 5 9 -1 " ?>
<!D O C T Y P E h tm l P U B L IC "-//W 3 C //D T D X H T M L 1 .0
T r a n s itio n a l//E N " "h ttp ://w w w .w 3 .o r g /T R /x h tm l1 /D T D /x h tm l1 -tr a n s itio n a l.d t d ">
<h tm l x m ln s = "h ttp ://w w w .w 3 .o r g /1 9 9 9 /x h tm l" la n g = "f r " x m l:la n g = "f r " d ir = "ltr ">
<h e a d >
<title >L in a g o r a , in te g r a te u r d e r e f e r e n c e s u r le m a r c h e d e s lo g ic ie ls lib r e s </t it le >

....
</h tm l>

35

LinID Access Manager / LemonLDAP::NG

Positionnement LinID Access Manager 36

LinID Access Manager 37

Principe
– Reverse proxy en rupture de flux
– ou Agent local

Support
– Des fonctions de SSO sur n'importe quelle application
HTTP
– Sécurisation des flux Web Services inter-applicatifs
– Méthode ou combinaison de méthodes
d'authentification

Intégration des applications
– Intégration non-intrusive (entête HTTP)

– Support de la complétion automatique de formulaires

Caractéristiques détaillées 38

●
SSO sur les applications Web (support du protocole HTTP)
●
Disponibilité :
– Linux (Debian, Ubuntu, Redhat, Fedora, ...)

– Indépendant de l'architecture (x86 32/64, PPC, ...)
●
Support du module d'authentification de tout système supportant
Apache et notamment :
– SSO avec l'authentification des postes intégrés dans un
domaine NT/AD
– LDAP, X509v3, Radius, Kerberos, CPS
– Compatibilité avec d'autres solutions de SSO (CAS,
SiteMinder via Apache)
●
Compatibilité du module d'autorisation :
– Annuaires LDAP

– Bases SQL
– Web Services
●
Stockage des informations : backend fichier, LDAP

LinID AM et LemonLDAP::NG 40

●
LemonLDAP::NG est un logiciel libre,
disponible chez OW2
http://lemonldap.ow2.org
●
La version ::NG a été écrite par Xavier
Guimard, de la Gendarmerie Nationale
●
LINAGORA est contributeur officiel de la
solution et possède des développeurs
actifs
●
LINAGORA distribue LemonLDAP::NG sous
le nom LinID Access Manager, sans ajout
de modules propriétaires : tout est libre !

Principes 41

●
Le principe général est d'utiliser un
annuaire LDAP pour :
– authentifier l'utilisateur (vérification du mot
de passe)
– effectuer un contrôle d'accès (selon les
attributs LDAP de l'utilisateur)
– approvisionner les applications (par
transmissions des attributs LDAP dans les
en-têtes HTTP)
●
Les dernières versions permettent de
s'affranchir totalement de l'annuaire si
besoin (par exemple pour une gestion SSL
uniquement)

Portail d'authentification 43

Réinitialisation du mot de passe 44

Gestion des sessions 46

●
Utilisation de n'importe quel module
Apache::Session pour le stockage (File,
DBI, LDAP, Memcached, ...)
●
Inscription du numéro de session dans un
cookie temporaire (non écrit sur disque)
avec le choix :
– Cookie non-sécurisé
– Cookie sécurisé (HTTPS uniquement)
– Double cookie
●
Durée de vie des sessions configurable

Règles d'accès 47

●
Les règles d'accès sont des expressions
Perl
●
Elles peuvent être appliquées sur tout ou
partie d'une application protégée
(utilisation d'expressions régulières sur les
URL)
●
Tous les attributs exportés lors de
l'authentification sont disponibles dans les
règles
●
Un système de macros permet de stocker
des valeurs calculées en session

Règles d'accès 48

●
Accès pour tous les utilisateurs
authentifiés :
– Default => accept
●
Accès pour le groupe « admin » :
– Default => $groups =~ /admin/
●
Interception du logout de l'application
– ^/logout.php => logout_sso

Hôtes virtuels 49

●
La distinction des applications est basée
sur la notion d'hôtes virtuels
●
Les hôtes virtuels peuvent être répartis sur
plusieurs serveurs Apache
●
Chaque hôte virtuel possède :
– Des règles d'accès
– Des en-têtes HTTP
●
Les en-têtes HTTP contiennent également
des expressions Perl

Applications nativement 50
compatibles

Autres applications compatibles 51

●
Applications reposant sur la sécurité
Apache (.htaccess) : Nagios, ...
●
Applications reposant sur la sécurité
Tomcat (users.xml) : Lutece, Probe, ...
●
Applications utilisant HTTP Basic : Domino
Web Access, Outlook Web Access, ...
●
Applications compatibles SiteMinder

Utilisation de LDAP possible pour le
stockage de la configuration et des
Nouveautés de la version 0.9.4 5 2
sessions
●
Réécriture complète des fonctions SOAP :
le portail est directement un point d'accès
SOAP
●
Système de notifications
●
Nouvelles fonctions disponibles dans les
règles d'accès pour vérifier les dates, les
jours et les heures de connexion autorisés
●
L'adresse du portail peut être dynamique
●
Séparation des modules d'authentification,
de données utilisateur et de mots de passe
●
Gestion complète de la politique des mots
de passe LDAP
●
Configuration simplifiée du cross-domain

Feuille de route 53

●
Refonte de l'interface d'administration
●
Validation du formulaire d'authentification
pour les applications fermées
●
Portefeuille de comptes pour les
applications fermées
●
Support SAML2 complet (fournisseur
d'identités et fournisseur de service)

Authentification forte 55

●
LemonLDAP::NG sait exploiter le module
SSL d'Apache
●
Ce module assure la vérification du
certificat client (révocation, clés, etc.)
●
Un composant du certificat est utilisé
comme clé de recherche sur l'annuaire
LDAP
●
Il est aussi possible de désactiver la
recherche LDAP pour obtenir un SSO basé
uniquement sur les certificats SSL

LinS ig n

La signature électronique en Open
Source. C'est possible !
LinSign
Sébastien LEVESQUE
Architecte logiciel Java
Groupe LINAGORA
slevesque@linagora.com

Sommaire 57

●
L'offre de sécurité LinPki.
●
LinSign.
– Caractéristiques fonctionnelles.
– Caractéristiques techniques.
– CSPN.
●
Démonstration (édition standalone).

L’offre sécurité LinPKI 58

L’offre de signature électronique LinSign s’inscrit dans une offre
globale de sécurité, appelée Offre sécurité LinPKI.
LinPKI est une plate-forme applicative qui permet l’établissement
d’éléments de preuve ayant une valeur probante reconnue et pérenne,
en conformité avec la règlementation européenne et française relative
à la signature électronique.

Projet de recherche et développement financé par :
L’OSEO
LINAGORA
L’ANSSI (DCSSI)

L’offre sécurité LinPKI 59

L inP K I e s t u n e s u ite a p p lic a t iv e d e
S e r v e u r d e s ig n a tu r e m u lt i-u s a g e
s é c u r it é p o u r m e tt r e e n œ u v r e la
d ’h o r o d a t a g e in d u s t r ie l
s ig n a tu r e e t le c h iff r e m e n t à b a s e
d e c e r t ific a t n u m é r iq u e
S ig n S e r v e r

C o ff r e -fo r t e t p a r t a g e d e A p p lic a t io n c lie n t d e
f ic h ie r s s é c u r is é
LinShare LinPKI LinPKI s ig n a t u r e é le c t r o n iq u e

LinSign
LinCheck A p p lic a t io n c lie n t d e s ig n a tu r e
S e r v ic e d e v a lid a tio n d e c e r t if ic a ts é le c tr o n iq u e
e n te m p s ré e l
(c e r t if ic a t io n C S P N e n c o u r s )

LinPKI : Exemple de fonctionnalité 60

LinPKI LinPKI LinPKI LinPKI A r c h iv a g e
Signature Validation Signature Horodatage des
d o c u m e n ts

U n U tilis a te u r L ’u tilis a te u r L e s e r v ic e d e L e s e rv e u r d e H o r o d a ta g e d e s
dépose un s ig n e le v a lid a tio n v é r if ie le s ig n a tu r e a jo u te d e s s ig n a tu r e s
docum ent docum ent avec c e r tif ic a t n u m é r iq u e é lé m e n ts d e
é le c tr o n iq u e s o n c e r tif ic a t v ia d u c lie n t q u i a s ig n é s ig n a tu r e : é lé m e n ts
le c o m p o s a n t d e le d o c u m e n t d e v a lid a tio n ,
s ig n a tu r e d e h o r o d a ta g e , c o n tr e
L in S ig n o u c o -s ig n a tu r e .

LinPKI : Architecture fonctionnelle 61

LinSign : Présentation 62

L’application LinSign fournit un service de signature électronique de
documents depuis le poste client

LinSign est conçu dans un esprit de généricité et de modularité vis-à-
vis des applications. Elle peut être mise en œuvre de plusieurs façons.

Produit : LinSign est utilisée comme un produit prêt à être installé
(sorte de « boîte noire »).
Boîte à outils : Il s’agit pour un projet applicatif de pouvoir
s’approprier LinSign en intégrant le composant, voire en les adaptant
à ses propres besoins dans le cadre du développement d’une
l’application (e.g. LinShare).

LinSign : Présentation 63

LinSign, l’application de signature existe selon plusieurs éditions:

– édition client-serveur (Portal) : en mode distant et connecté sur
les navigateurs standards du marché. Intégration avec les frameworks
web Tapestry, JSF, Seam, JSP.

– édition client seul (Client) : en mode autonome sur un système
d’exploitation, mais mise à disposition via un réseau,

– édition client autonome (Standalone) : en mode autonome sur
un système d’exploitation ou des clients lourds,

– édition librairie/boîte à outils (API) : en mode service
embarqué dans des applications métiers.

LinSign : Certification de sécurité 64

LinSign est réalisée selon sa cible de sécurité conformément au profil
de protection « Application de création de signature électronique »
des Critères Communs.

Certification CSPN (Certification de Sécurité de Premier Niveau)
Dans un premier temps, LinSign sera évaluée et certifiée dans le
cadre de la CSPN (reconnue au niveau national, en France).
Cette certification est en cours 04/11/2009.
Contraintes sur SHA-256 et édition client autonome
(standalone).

Certification Critères Communs (futur)
Dans un second temps, LinSign sera évaluée et certifié dans le cadre
des Critères Communs, au niveau EAL3+ (reconnus au niveau
international).

LinSign : Licence 65

La Licence libre de l’application LinSign

LINAGORA a opté pour une licence OSL (Open Software
License) 3.0
Écrite par un avocat américain, Lawrence Rosen, la licence est
labellisée open source par l’OSI depuis 2002 et est l'une des licences
libres les mieux rédigées ;
Une licence copyleft qui assure la pérennité de son évolution ;
Une licence modulaire qui permet les interactions étroites avec
d'autres briques logicielles ;
Une licence encadrant les utilisations classiques comme pour les
fournisseurs de services (ASP, etc.).

LinSign : Caractéristiques fonctionnelles 66

Gestion des politiques de signature :
– type de certificat X.509v3 (qualifié ou pas, usage de la clé, etc.)
– chaîne de certification : AC acceptées
– politique acceptée (identifiant OID)
– formats des éléments à signer : PDF, ODT, XML, HTML, etc.
– formats de la signature : PDF/A, XAdES, XML-DSign, PKCS #7 ...
– types de token (PKCS #11, PKCS #12, JKS, navigateurs web)
– référence au document de signature
– algorithmes de signature : RSA (PKCS #1)
– algorithmes du condensé : SHA-1, SHA-256

LinSign est configurable via un système de gestion de politiques de signature.

LinSign : Caractéristiques fonctionnelles 67

LinSign : Caractéristiques techniques 68

LinSign s’adapte à l’hétérogénéité des contextes applicatifs et des
environnements clients :
Windows, Macintosh, GNU/Linux, Unix
Navigateurs web : IE 6 et supérieurs, Mozilla Firefox et Safari
Java JEE (serveurs de servlets…)

Utilisation de certificats X.509 v3
Validation du certificat : AC de confiance, date de validité, usage de clé,
etc.

Utilisation de différents formats de signature :
PDF/A, ODF Text, XAdES 1.3.2, XML-DSig, CMS/PKCS #7, S/MIME ;
Utilise différents supports pour la signature :
Les cartes à puce et tokens USB : Gemalto, Oberthur, Sagem, Aladin ;
Les magasins des navigateurs web : Mozilla NSS (Firefox), Microsoft
CryptoAPI (Internet Explorer), Mac OS Keychain (Safari) ;
Fichiers PKCS #12 ;
Fichiers Java KeyStore (JKS).

LinSign : édition standalone CSPN 69

Signature XML DSIG détachée

<s ig n a tu r e >
<r e fe r e n c e > a .p d f
<r e fe r e n c e >

</s ig n a tu r e >

z ip
Signature au format Xades ETSI TS 101 903 V1.3.2 (2006-03)

S ig na ture X a des
X a des pro priétés s ig nées :
S ig na ture X M L D S I G
(S ig ning T im e)
S ig n e d
S ig n a tu r e K e y in fo
S ig n e d U n s ig n e d (S ig ning C ertific a te)
in f o p r o p e r tie s p r o p e r tie s
(S ig na tureP o lic yI dentifier)
(S ig na tureP roduc tio nP la c e)?
(S ig nerR o le)?

LinSign : édition standalone CSPN 0
7

JRE/JDK 6
– par défaut, ne supporte pas la signature XML SHA-256

– avec Microsoft Windows Le JDK [SunMSCapi] n'implémente
pas:
●
la signature au format brut.
●
la signature pour le SHA-256.
– le swing ne gère que l'environnement de bureau Gnome.
PKCS11
– entièrement configurable : oberthur ID-one IAS ECC
(compatible avec la carte européenne du Citoyen et des
standards de signature électronique. La carte est en fin de
certification EAL4+ pour la signature électronique).
Firefox
– Accès au magasin sur toutes les plateformes (windows,
linux, mac...) via NSS.

LinSign : Démonstration édition standalone 1
7

6 étapes pour signer des documents:

 Politiques de signature disponibles.
 Sélection des fichiers.
 Liste des magasins disponibles.
 Sélection d'une clef de signature.
 « lu et approuvé », signer.
 Fichiers signés.

LinSign : Démonstration édition standalone 2
7

LinS hare

LinShare
Offre de partage de fichiers
sécurisé
Sébastien LEVESQUE
Architecte logiciel Java
Groupe LINAGORA
slevesque@linagora.com

Agenda 74

●
Genèse de LinShare

●
Présentation de LinShare

●
Démonstration de LinShare

●
Présentation du plugin pour Microsoft Outlook

Genèse de LinShare 75

A n c ie n o u til d e p a r ta g e d e L in a g o r a

●
Outil de partage simple développé en PHP en
2004
●
Demande de la part de l'INSERM en 2008 d'un
outil de transfert de fichiers en mode sécurisé
●
1ère version disponible en juin 2009
●
Octobre 2009 : publication sous licence libre

Présentation de LinShare 76

LinShare permet de :

●
Déposer des fichiers dans son coffre fort
électronique
●
Partager des fichiers avec des collaborateurs
internes ou externes
●
Gérer les partages
●
Sécuriser les échanges
●
La traçabilité des échanges
●
Historique et reporting des actions
●
Intégration et communication avec des applications
externes (Outlook, Thunderbird)

Dépôt de fichiers 77

Dépôt/suppression et mise à jour de fichiers.
Fonction de coffre-fort électronique
Ajout d’information sur un fichier : commentaires, tags

Partage de fichiers/dossiers 78

Mise en place de partage vers des collaborateurs internes ou
externes
Partage par fichiers ou par dossiers
Association de groupes ou d’utilisateurs à un partage
Partage simple ou sécurisé

Gestion des utilisateurs 79

Création de compte invité pour des dépôts temporaires
Gestion des comptes (création, suppression, recherche...)
Gestion des groupes
Import d’utilisateurs et de groupes depuis un annuaire, base de données, Active
Directory

Cryptographie 80

●
Disponible dans la version Open Source dès publication
de LinSign début 2010
●
Signature électronique de documents (format XAdES,
standard européen)
●
Chiffrement par certificat ou par mot de passe
●
Authentification : SSO, Certificats, Active Directory,
OpenLDAP
●
Partage sécurisé par mot de passe temporaire
●
Gestion de la politique des mots de passe (longueur,
renouvellement, droit de modification, etc.)

Historique 81

Traçabilité :
– Utilisateurs (historique des actions)
– Administrateurs
(audit/reporting/statistique)

Utilisation et partage 82

API Rest et Web Service pour communiquer avec des
composants externes. Plugin pour Outlook et Thunderbird.

Autres fonctionnalités 83

●
Accusé de téléchargement
– Simple par courriel

– Signé au format PDF
●
Filtre MIME de fichiers
●
Gestion des quotas utilisateurs
●
Temps de dépôt de données en relation avec la taille des
fichiers
●
Compression de données lors de partages multiples

Administration de LinShare 84

Technique et licence 85

●
Techniques :
– Application développée en Java JEE

– Indépendant des bases de données (PostgreSQL,
MySQL, Oracle, etc.)
– Indépendant des systèmes d’exploitation (Windows,
GNU/Linux, Sun, etc.)
– Nécessite au minimum Tomcat ou un serveur
d’applications (JBoss, GlashFish, etc.)
– Intègre le module linSign pour la signature (édition
portail).
●
Licence libre (open source) : GNU Affero General Public License,
version 3
●
Version communautaire disponible :
http://forge.linpki.org/projects/show/linshare

LinShare en action ! 86

Essayer vous même via
http://demo.linpki.org/linShare/

Plugin outlook : accéder aux options 87

L a b a r r e d 'o u tils lin S h a r e d a n s M ic r o s o ft O u tlo o k 2 0 0 3 : é c r itu r e d u m e s s a g e

Plugin outlook : configuration 88

Plugin outlook : authentification 89

Plugin outlook : sélection des fichiers 90

Plugin outlook : upload vers le serveur 91

Plugin outlook : le mail sans les pièces jointes 92

Plugin outlook : le mail du serveur LinShare 93

Séminaire Linagora sécurite et identité en Open Source, novembre 2009

Recomendados

Recomendados

Mais conteúdo relacionado

Semelhante a Séminaire Linagora sécurite et identité en Open Source, novembre 2009

Semelhante a Séminaire Linagora sécurite et identité en Open Source, novembre 2009 (20)

Mais de LINAGORA

Mais de LINAGORA (20)

Séminaire Linagora sécurite et identité en Open Source, novembre 2009