openOSI project

Fournisseur d'identités libres (services de certificats X509) pour SOA, ESB et GRID

 

Identification et Authentification

 

HTTPS - SSL configuration

Politique de certification (CP)

Services configuration

    Clients configuration
in english

 

SSO configuration

   
 

 

Standards

 

Ce projet offre un service de clés numériques (certificats) libres, de niveau d'assurance: classe 1 et classe 2. Nous offrons des profils de certificats pour personnes, et personnes virtuelles(pseudos). Bientôt des profils pour machines et services seront proposés.

   

Notre environment d'execution est J2EE, une technologie JAVA. Des services de support automatiques sont fournis (vérification de clé publique sur LDAP, répondeur OCSP, Publication de CRL, authentification SSO...).

 

 

Il y a eu un manque d'implémentation d'infrastructures à clés publiques à cause du coût de mise en place. Grace à PRIMEKEY la communauté du logiciel libre a maintenant une implémentation JAVA performante. Nous envisageons aussi une intégration de X500-LDAP avec les certificats X509.

    Notre environnement PKI (Public Key Infrastructure) est EJBCA. Pour nos autorités de certification les certificats publics  sont disponibles ici, comme ceux de nos administrateurs (identifications basées sur des rôles). Des CRLs sont aussi fournies ici (mise à jour quotidienne).  

EJBCA

 

Les certificats (clé publique) peuvent être vérifiés auprès de notre annuaire LDAP. En tant qu'élément de systèmes d'authentification unique (SSO) et de fédération d'identités cet annuaire est une ressource publique. L'adresse courriel est un identifiant global. Il est dans notre plan de travail de tirer parti d'une d'une intégration native étroite de systémes de messagerie X400, basée sur les RFC 2294 - 2164.  Il s'agit de supporter les implémentations ESB,

   

Notre environnement d'annuaire est LDAP (une implémentation allégée de X500), utilisant openLDAP, interopérable  with Microsoft active directory. Notre carnet d'adresse universel et notre schéma d'identité sont ici, avec un exemple d'entrée LDIF

 

 
 

Les clés numériques basées sur des certificats X509 sont au coeur de la gestion d'identité et de l'authentification unique (SSO) en utilisant un serveur CAS et un client java avec SHIBBOLETH.

    CAS est un systéme d'authentification central développé d'abord par l'université de Yale (USA. C'est maintenant un projet JA-SIG. Shibboleth est un logiciel libre qui fournit une authentification unique des services de navigation internet. Il est conforme avec les spécifications OASIS SAML.  

 

La technologie GRID et spécifiquement le GRID sémantique est un domaine d'intérêt pour openOSI. Nous voyons le GRID comme une grande infrastructure SOA (architecture orientée services), où plusieurs ESB (Enterprise service bus) peuvent être interconnectés. La sécurité GRID est un service clé pour sa faisabilité où les certificats x509 avec des valeurs OID sont des éléments clés. LDAP avec un support UDDI est également une technologie clé (RFC 4403).  

   

Notre environnement de déploiement est JAVA JBI: Nous évaluons actuellement l'environnement PETALS. Nous regardons aussi l'effort GRIDSHIB

 

JBI environment

SOA-ESB GRID

 

Pour l'ESB et les services GRID la sécurité est améliorée quand on associe des attributs X400/X500 au contrôle d'accès "mandatory access control" (MAC), "multi level security" (MLS) and "multi categories security" (MCS), géré par le noyau du systéme d'exploitation.

    Notre environement de sécurité est SELinux, tel qu'implémenté par Redhat in Fedora. Notez que cela conduit à une conformité EAL3+ et EAL4 common criteria. Pour l'administration à distance nous utilisons openSSH avec l'option certificats X.509 de Roumen PETROV  

SELinux