Sécurité et contrôle des accès. Plus sûr, par conception.

Mac OS X Server repose sur une architecture évoluée, conçue pour allier les fonctionnalités désirées avec le niveau de sécurité indispensable. Cette architecture a pour obectif de protéger votre serveur, votre réseau et vos données grâce à une pléiade de fonctionnalités, notamment un pare-feu intégré avec analyse des paquets avec état, de puissants services de cryptage et d'authentification, des architectures de sécurité des données et la gestion des listes de contrôle d'accès (ACL).

Normes de sécurité.

Approuvés par des experts en sécurité du monde entier, les protocoles de sécurité standard prennent en charge tous les aspects de la sécurité des systèmes, des données et des réseaux requis par les applications actuelles.

Kerberos
  • Kerberos pour la signature unique. Mac OS X Server intègre la technologie Kerberos du MIT afin de permettre l'usage d'une signature unique pour les environnements sous Open Directory d'Apple comme pour ceux sous Active Directory de Microsoft.
  • SSH (Secure Shell). Mac OS X Server utilise OpenSSH comme protocole par défaut pour la configuration et l'administration sécurisées des serveurs distants. Le protocole SSH crypte le trafic distant par ligne de commande, y compris les mots de passe, pour éliminer de façon efficace les indiscrétions, le piratage des connexions et autres attaques au niveau du réseau qui sont la plaie des connexions rlogin et telnet. Mac OS X Server intègre la suite complète des fonctionnalités client et serveur, dont SSH pour l'exécution des commandes, SFTP pour le transfert de fichiers et SCP pour la copie de fichiers.
  • SSL/TLS. Mac OS X Server intègre SSL (Secure Sockets Layer), le mécanisme de transport le plus couramment utilisé aujourd'hui, et TLS (Transport Layer Security), la norme de sécurité de nouvelle génération pour Internet. Le cœur du système d'exploitation serveur ainsi que de nombreux services réseau, tels que Apache, OpenLDAP, Postfix et Cyrus, utilisent ces mécanismes de couche de transport pour établir entre deux systèmes un canal sécurisé, avec cryptage 128 bits, et protéger de toute indiscrétion les informations qui y transitent. Pour des communications authentifiées parfaitement sûres, Mac OS X Server peut utiliser les certificats numériques X.509 afin de vérifier l'authenticité d'un serveur sur Internet ou sur un réseau local.
  • CDSA (Common Data Security Architecture). Mac OS X Server utilise le standard ouvert CDSA d'Open Group. CDSA fournit un ensemble de services de sécurité par couches ainsi qu'un framework de cryptographie pour la création d'applications à sécurité active, avec prise en charge des versions 2 et 3 du protocole SSL et de la version 1 du protocole TLS. L'architecture CDSA d'Apple intègre également OpenSSL, bibliothèque de sécurité à usage des applications open source existantes, ainsi que les modules PAM (Pluggable Authentication Modules) Linux, qui permettent aux applications UNIX d'accéder à des services CDSA par le biais d'une API de PAM.

Listes de contrôle d'accès (ACL).

Mac OS X Server gère les autorisations de fichiers riches natives de Mac OS X et Windows. Les listes de contrôle d'accès permettent aux administrateurs de maîtriser précisément les autorisations et les réglages de serveurs, et protègent ainsi les applications et les données de toute utilisation ou modification non autorisée.

Accès au système de fichiers.

Mac OS X Server gère à la fois les autorisations de fichiers UNIX classiques et les listes de contrôle d'accès, et offre ainsi aux administrateurs un niveau de contrôle sans précédent sur les autorisations de fichiers et de dossiers. La plupart des systèmes d'exploitation basés sur UNIX et Linux sont contraints par le modèle des autorisations de fichiers UNIX, également appelées autorisations POSIX (Standard Portable Operating System Interface). Les autorisations de fichiers UNIX standard vous permettent d'attribuer un privilège d'accès au propriétaire du fichier, un second à un groupe donné et un autre à tout utilisateur du réseau. Les utilisateurs et groupes multiples ne sont pas autorisés, pas plus que la propriété par un groupe.

Le modèle UNIX classique manque également d'autres fonctions importantes d'accès aux fichiers : il ne gère que trois types d'autorisation (en lecture, en écriture et en exécution) et ne prend pas en charge l'héritage d'autorisations, qui permet à des fichiers nouveaux ou copiés d'hériter les contrôles d'accès de leur répertoire parent.

Pour gagner en souplesse dans les environnements informatiques complexes, Apple a doté Mac OS X Server de la prise en charge des listes de contrôle d'accès. N'importe quel objet fichier peut ainsi se voir attribuer de multiples utilisateurs et groupes, y compris des groupes au sein de groupes. On peut également attribuer à chaque objet fichier des autorisations d'acceptation et de rejet, ainsi qu'un ensemble modulé d'autorisations pour le contrôle administratif et les opérations de lecture, d'écriture et de suppression. Pour plus de sécurité, Mac OS X Server prend en charge un modèle d'héritage d'autorisations de fichiers qui garantit que les autorisations des utilisateurs sont héritées lors du déplacement des fichiers sur le serveur et réécrites en cas de copie des fichiers sur le serveur.

Accès aux services.

Les listes de contrôle d'accès système (SACL) offrent aux administrateurs serveur un moyen simple de préciser quels sont les utilisateurs et les groupes pouvant accéder aux différents services. Par exemple, un administrateur pourra configurer un serveur de fichiers de groupe de travail lié à un immense annuaire centralisé de telle sorte qu'il n'accepte que les connexions issues d'utilisateurs appartenant au groupe de travail. Cette possibilité revêt une importance de plus en plus stratégique, au moment où un nombre croissant de sites adoptent un système d'annuaire centralisé. Tous les services Mac OS X Server basés sur les utilisateurs, dont AFP, SMB/CIFS, FTP, Web, Mail, SSH, iCal Server, iChat Server et VPN, prennent en charge les listes SACL.

Pare-feu

Pare-feu.

Tout comme on érige un mur pour restreindre les accès, un pare-feu logiciel protège les applications du réseau s'exécutant sous Mac OS X Server. À l'aide du logiciel IPFW open source parfaitement fiable de FreeBSD, le pare-feu de Mac OS X Server analyse les paquets IP entrants et les rejette ou les accepte en fonction des filtres que vous avez préalablement définis. Vous pouvez restreindre l'accès à n'importe quel service IP s'exécutant sur le serveur et adapter les filtres pour tous les clients entrants ou pour une plage d'adresses IP clientes. Pour éviter l'usurpation d'adresse IP, le pare-feu procède à une inspection des paquets avec états et détermine si un paquet entrant est une réponse légitime à un paquet sortant ou s'il fait partie d'une session en cours.