Himmelblau 2.0 : Azure Entra ID débarque sur Linux, mais pas signé Microsoft

Le projet Himmelblau frappe fort : sa version 2.0 apporte l’authentification Azure Entra ID aux postes Linux sans toucher une ligne de code signée Microsoft.

Une aubaine pour les équipes qui jonglent entre serveurs pingouins, M365 et exigences de sécurité informatique toujours plus strictes !

Voici ce qu’il faut retenir avant même de lancer un sudo pacman -Syu.

Azure Entra ID enfin natif sur Linux grâce à Himmelblau 2.0

Depuis 2025, l’identité numérique d’entreprise vit souvent dans le cloud computing. Les admins réclamaient donc un pont fiable entre Entra et le bureau Linux. Himmelblau répond en GPLv3 : un paquet, une commande, les jetons SSO tombent dans ~/.config comme s’ils avaient toujours été là.

Breakglass : l’accès d’urgence quand la cloud fatigue

Le coup de génie se nomme Breakglass. En cas de panne Azure — oui, ça arrive — les clés de session chiffrées restent locales. L’utilisateur MFA se connecte, le serveur respire, la production tourne. Pas de VPN bricolé, pas de policy désactivée à l’arrache.

Compatibilité élargie : des desktops jusqu’aux clusters

Fedora 43, Debian 13, SLE 16 rejoignent la fête. L’équipe a même poussé des binaires ARM64 pour ces Raspberry coincés derrière un routeur 4G. Résultat : une gestion des accès cohérente du laptop au micro-datacenter.

SELinux et systemd, le duo qui rassure les RSSI

Plus besoin de passer SELinux en permissive. Himmelblau fournit des policies prêtes à l’emploi, validées par OpenSSF Scorecard. Côté systemd, les units se génèrent automagiquement et exploitent systemd-creds pour chiffrer la PIN HSM.

Intégration bureau : M365 et Edge sans juron

Au login, le daemon crée des lanceurs .desktop pour Word Online, Outlook, Teams. Le menu Gnome affiche ces icônes comme si elles venaient du dépôt officiel. Même Microsoft Edge se connecte via Entra ID, donc pas d’auth manuelle à chaque onglet.

Chaîne d’approvisionnement surveillée

Les releases 2.0 génèrent un SBOM et passent un audit de licence. Les dépendances se buildent dans des containers reproductibles. Un fuzzing continu tourne déjà sur GitHub Actions : on parle d’open source responsable, pas d’un side-project du week-end.

Que change Himmelblau pour l’admin de terrain ?

Moins de scripts maison pour mapper les UID. Une réduction nette des points d’échec : la même source d’authentification gouverne Windows, Android et désormais Linux. Et le mode offline évite la nuit blanche quand Azure titube.

Migrer ou rester sur la solution Microsoft officielle ?

Intune pour Linux est encore en preview, restreint à quelques distros, sans Breakglass. Himmelblau propose déjà un support complet, sous licence libre, et garde la porte ouverte aux forks. Les DSI qui ont juré par l’open source feront vite leur calcul de coût.

Déploiement express : dix minutes chrono

Un simple dnf install himmelblau, un az login, et le script enroll.sh range la machine dans le tenant. Les profils MFA se répliquent, les logs se centralisent dans journald, et Grafana peut taper directement l’API Prometheus exposée par le service.

Roadmap : ce qui arrive après la 2.0

David Mulder parle déjà d’un agent Wayland pour Hello PIN, d’un plugin PAM FIDO2 maison et d’une UI Qt pour ceux qui fuient le terminal. Bref, l’écosystème Linux reprend la main sur son identité numérique sans attendre Redmond.

En résumé, pourquoi surveiller Himmelblau ?

Parce qu’il colle à la philosophie du libre tout en domptant l’infrastructure cloud computing de Microsoft. Parce qu’il apporte une couche de sécurité informatique tangible, là où les solutions officielles restent partielles. Et surtout parce qu’il prouve qu’un projet communautaire peut imposer ses règles dans l’univers Azure.

Source: www.heise.de