Partenaires

CNRS

Rechercher

Sur ce site

Sur le Web du CNRS


Accueil du site > Expériences > CREMI > Services kerbérisé : https et Apache

Services kerbérisé : https et Apache

par Christophe Delmon - 19 janvier 2012

Apache Ubuntu

Utiliser l’authenfication krb5 fournis par BX1, mais gérer les autorisations avec l’annuaire local.

L’idée de base et d’utiliser au mieux les modules par défauts.

- Ubuntu : les paquets

- Kerberos : Configuration Linux

  • Intégré le server + le service dans le domaine/royaume :
    • Utiliser la commande suivante pour joindre le domaine local :
    • Créer keytab pour le service HTTP :
    • avec ktutil extraire le donnée qui vont bien pour apache : ne garder que les lignes associées au service

-  Coté Annuaire : Active Directory  : Ajouter des informations supplémantires dans l’attribut : altSecurityIdentities pour chaque utilsateur

  • altSecurityIdentities : Kerberos:Login@BX1
  • altSecurityIdentities : Login@BX1
  • altSecurityIdentities : Login@CREMI.EMI.U-BORDEAUX1.FR

-  La configuration Apache

  • Activer les module ldap :
  • Le fichier de conf du service :

La documentation du Module ldap

  • (!(userAccountControl=66050))  : Signifie pour AD tous les comptes non vérrouillés.
  • ATTENTION  : Les groupes de groupes ne fonctionnent pas !
  • Le champ SERVER["USER"]de apache est de la forme : USER@REALM

-  Coté client

  • Firefox : a l’aide de about:config modifier la valeur suivante (astuce faire un recherche avec "trust") :
    • network.negotiate-auth.trusted-uris=https://

- Astuce : Lors de l’utilisation du mode proxy d’apache

  • Les 2 serveurs doivent t’être dans le Domaine/Royaume AD
  • Ajouter dans le serveur secondaire les clés/tickets HOST et HTTP kerberos du serveur qui fait office de proxy. /etc/apache2/http.krb5.keytab