SSO Tournai : quelques modifications de rendu graphique (export html)
This commit is contained in:
parent
0d24bdbe2b
commit
b78c0f105c
|
|
@ -1,4 +1,4 @@
|
|||
Notes d'installation Single Sign-On (SSO) avec authentic2-auth-kerberos
|
||||
Note de déploiement pour Single Sign-On (SSO) Kerberos à l'aide du fournisseur d'identité Authentic2
|
||||
|
||||
# Avant-propos
|
||||
Cette note d'installation se focalise sur le déploiement d'un SSO Kerberos depuis un poste client vers un fournisseur d'identité Authentic2.
|
||||
|
|
@ -16,7 +16,9 @@ Les paquets Debian de ces deux briques logicielles sont aussi téléchargeables
|
|||
# Remarques concernant la typographie
|
||||
Ce document contient plusieurs *listings* de commandes shell. Certaines de ces commandes sont effectuées sur le serveur Windows, et sont donc exécutées par PowerShell, tandis que d'autres sont exécutées par Bash, côté client ou côté fournisseur d'identités.
|
||||
Par besoin de distinction entre ces deux types de commandes, ces dernières sont préfixées comme ci-dessous :
|
||||
|
||||
- les commandes préfixées par `> ` sont exécutées dans PowerShell
|
||||
|
||||
- les commandes préfixées par `$ ` sont exécutées dans Bash
|
||||
|
||||
# Descriptif de l'architecture
|
||||
|
|
@ -58,8 +60,8 @@ Toujours dans l'interface *Server Manager*, ici dans le cas du déploiement en l
|
|||
## Configuration du client
|
||||
Côté client, la configuration pour le SSO consiste en la déclaration de l'IP du serveur DNS. Cette configuration est réalisable soit à l'aide de l'outil `nm-connexion-editor` (outil de gestion des connexions intégré dans NetworkManager) -- onglet *IPv4 settings* -> *DNS servers* ; soit directement dans `/etc/resolv.conf` par ajout d'une entrée `nameserver 192.168.56.101`.
|
||||
|
||||
# Configuration Kerberos
|
||||
## Côté serveur
|
||||
# Configuration du KDC Kerberos
|
||||
|
||||
Dans l'invite de commande PowerShell, il faut définir un *service principal name* à l'aide de la commande `setspn` :
|
||||
```
|
||||
setspn -S HTTP/phyhost.entrouvert.local a2idp
|
||||
|
|
@ -75,10 +77,15 @@ La création de la *keytab* est réalisée à l'aide de la commandei `ktpass` :
|
|||
```
|
||||
|
||||
Explication des options :
|
||||
|
||||
* `princ` : nom du service principal Kerberos
|
||||
|
||||
* `user ` : nom du compte de service dans la base AD
|
||||
|
||||
* `crypto` : algos de chiffrements utilisés. L'option `ALL` autorise le chiffrement pour toutes les algos supportés par le serveur (DES-CBC-CRC, DES-CBC-MD5, RC4-HMAC-NT, AES256-SHA1 et AES128-SHA1)
|
||||
|
||||
* `ptype` : type de principal Kerberos pour lequel la *keytab* est générée.
|
||||
|
||||
* `out` : emplacement de la `keytab`
|
||||
|
||||
La keytab est alors générée pour les cinq méthodes de chiffrement supportées :
|
||||
|
|
|
|||
Reference in New Issue