openOSI project

Fournisseur d'identités libres (services de certificats X509) pour SOA, ESB et GRID

  

Identification et Authentification

Demander une clé numérique (certificat)

HTTPS - SSL configuration
Politique de certification (CP)

Vérifier la validité d'une clé numérique (certificat)

Services configuration
  Récuperer une clé numérique (certificat) Clients configuration
in english

Révoquer une clé numérique (certificat)

SSO configuration
   
 

 

Standards
 

Ce projet offre un service de clés numériques (certificats) libres, de niveau d'assurance: classe 1 et classe 2. Nous offrons des profils de certificats pour personnes, et personnes virtuelles(pseudos). Bientôt des profils pour machines et services seront proposés.

   

Notre environment d'execution est J2EE, une technologie JAVA. Des services de support automatiques sont fournis (vérification de clé publique sur LDAP, répondeur OCSP, Publication de CRL, authentification SSO...).

  

 

Il y a eu un manque d'implémentation d'infrastructures à clés publiques à cause du coût de mise en place. Grace à PRIMEKEY la communauté du logiciel libre a maintenant une implémentation JAVA performante. Nous envisageons aussi une intégration de X500-LDAP avec les certificats X509.

     Notre environnement PKI (Public Key Infrastructure) est EJBCA. Pour nos autorités de certification les certificats publics  sont disponibles ici, comme ceux de nos administrateurs (identifications basées sur des rôles). Des CRLs sont aussi fournies ici (mise à jour quotidienne).  

EJBCA
 

Les certificats (clé publique) peuvent être vérifiés auprès de notre annuaire LDAP. En tant qu'élément de systèmes d'authentification unique (SSO) et de fédération d'identités cet annuaire est une ressource publique. L'adresse courriel est un identifiant global. Il est dans notre plan de travail de tirer parti d'une d'une intégration native étroite de systémes de messagerie X400, basée sur les RFC 2294 - 2164.  Il s'agit de supporter les implémentations ESB,

   

Notre environnement d'annuaire est LDAP (une implémentation allégée de X500), utilisant openLDAP, interopérable  with Microsoft active directory. Notre carnet d'adresse universel et notre schéma d'identité sont ici, avec un exemple d'entrée LDIF

  

 
 

Les clés numériques basées sur des certificats X509 sont au coeur de la gestion d'identité et de l'authentification unique (SSO) en utilisant un serveur CAS et un client java avec SHIBBOLETH.

     CAS est un systéme d'authentification central développé d'abord par l'université de Yale (USA. C'est maintenant un projet JA-SIG. Shibboleth est un logiciel libre qui fournit une authentification unique des services de navigation internet. Il est conforme avec les spécifications OASIS SAML.  

 

La technologie GRID et spécifiquement le GRID sémantique est un domaine d'intérêt pour openOSI. Nous voyons le GRID comme une grande infrastructure SOA (architecture orientée services), où plusieurs ESB (Enterprise service bus) peuvent être interconnectés. La sécurité GRID est un service clé pour sa faisabilité où les certificats x509 avec des valeurs OID sont des éléments clés. LDAP avec un support UDDI est également une technologie clé (RFC 4403).  

   

Notre environnement de déploiement est JAVA JBI: Nous évaluons actuellement l'environnement PETALS. Nous regardons aussi l'effort GRIDSHIB

  

JBI environment

SOA-ESB GRID
 

Pour l'ESB et les services GRID la sécurité est améliorée quand on associe des attributs X400/X500 au contrôle d'accès "mandatory access control" (MAC), "multi level security" (MLS) and "multi categories security" (MCS), géré par le noyau du systéme d'exploitation.

     Notre environement de sécurité est SELinux, tel qu'implémenté par Redhat in Fedora. Notez que cela conduit à une conformité EAL3+ et EAL4 common criteria. Pour l'administration à distance nous utilisons openSSH avec l'option certificats X.509 de Roumen PETROV  

SELinux