Bonjour à tous. Je souhaite mettre en place dans l'entreprise ou je travaille un royaume kerberos (MIT) avec ldap en backend pour l'ensemble de nos utilisateurs internes/externes et services réseaux, enfin au moins les plus critique : mails, http (intranet/extranet sur apache/php), sshd, cifs et nfs, mysql. Le but est de fournir en interne et en externe un solution de sso, avoir un politique de gestion de mot de passe plus drastique, obtenir une sécurité accrue et une authentification centralisé. Je dispose d'une vingtaine de serveur centos (5 et 6) et de quelques synology. Un active directory qui s'appuie sur 4 controleurs de domaines répartis sur 4 agences est deja en place. Celui-ci fait bien son travail, mais il en gère deja beaucoup à mon gout : déploiement de logiciel (trés nombreux et trés fréquents). Environ 50 PC sous windows et une trentaine d'utilisateurs . Aussi, je ne souhaite pas utiliser l'utiliser pour authentifier des utilisateurs qui n'ont pas à avoir de droit sur l'espace bureautique. Je ne veux pas trop le toucher pour ne pas casser ce qui est deja en place.
Niveau applicatif : - outre les services réseaux déja cités, nous avons de multiples applicatifs installés sur notre parc. Certains sont developés par nos soins (intranet, extranet, applicatif métiers), d'autres sont des produits opensource (ex nagios/centreon, glpi, dotproject ...) Niveau population utilisateurs : - en interne : - certains disposent d'un compte active directory car ils doivent pouvoir accéder aux fichiers de bureautique : ex chefs d'agence, developpeur, exploitant, chef de projets, assistante administrative. Pour cette population d'utilisateur, je souhaite implementer la cross-realm authentification entre l'active directory et le nouveau royaume à créer. - d'autres utilisateurs (opérateur de saisie) ne disposent pas de compte active directory, il se loggue avec un utilisateur générique sur les stations Windows mais doivent pouvoir accéder à un intranet, à des sites clients et à un applicatif métiers developés en C# de manière nominative. Ils ont également un compte mail, un compte glpi,dotproject. Ces utilisateurs ne diposeraient d'un compte que sur le royaume à créer. - Constat: pour chacun des applicatifs, nous devons crée un compte utilisateur.C'est lourd, inefficace, chronophage. Pour que l'utilisateur n'est pas à se rapeller des dizaines de mot de passe nous avions l'habitude de mettre le même de partout. Ce n'est plus faisable, la politique de gestion de mot de passe s'alonge et n'est plus appliqué. - en externe : - il s'agit d'utilisateur faisant généralement partie de grand groupe français. Ils disposent donc d'un compte utilisateur sur leur réseau . Ils doivent pouvoir accéder à un extranet chez nous. De plus en plus, nos clients nous demande si l'on dispose d'une solution de sso, cela serait donc un avantage concurentiel indéniable pour l'entreprise. La aussi la cross realm-authentification serait certainement une solution, de ce que j'ai pu en lire.
Voila donc pour le constat. Cela fait maintenant 50 heures que je passe rien que sur la création d'un royaume de test afin de poser les premières briques et de designer la base LDAP. J'arrive à faire fonctionner Kerberos et LDAP independament l'un de l'autre. Sur kerberos, j'arrive à obtenir un tgt et à un moment j'arrivais à obtenir un tgs (pour ssh). Comme j'ai repris plusieurs fois du tout départ, j'ai finis par casser cette partie. J'arrive à me connecter au service LDAP et à l'interroger avec ldapsearch. Il n'est pour l'instant pas passer en tls. Je pense que cela est obligatoire pour faire communiquer Kerberos et LDAP. Mais impossible de les faire fonctionner de concert. En gros, ils arrivent pas à communiquer. N'ayant pas trouver en googlisant une procédure, un tut pour centos, j'ai du mixé ce que j'ai pu trouver pour Ubuntu, Debian. Certains tuts commencent par kerberos, d'autre par ldap. Je m'y perds. J'ai également fait acheter un petit peu de literature sur le sujet: Kerberos the definitive Guide(O'reilly), Annuaire LDAP 2° edition(Eyrolles), LDAP sytem administration (O'reilly) et enfin Understanding and Deploying LDAP directory Services second edition. Chacun est trés bien dans sa partie mais aucun n'explique comment implementé ces deux services.
Désolé c'est un peu long, mais je crois que cela méritais au moins ça pour illustrer le contexte. Merci donc à ceux qui ont eu la patience de lire jusqu'ici. Passons donc aux questions, parce qu'il faut bien qu'il y en est. - Est ce que quelqu'un connait une bonne référence sur internet, en bouquin, un tut, de mise en place de LDAP+Kerberos sur CentOS? - j'ai beaucoup de mal à planifier et obtenir une estimation de la mise en place d'un tel système. Quelqu'un aurait il un retour d'experience? - apres avoir suivi point par point chacun des tutos, j'arrive trés souvent sur les mêmes erreurs. ex : dans la log : krb5kdc: Error reading password from stash: Aucun fichier ou dossier de ce type - while initializing database for realm .... Lors du service krb5kdc start, j'ai souvent ceci krb5kdc: cannot initialize realm .... - see log file for details; sauf qu'il n'y a pas plus d'explication dans le fichier de log. Y'aurait il un loglevel caché dans kerberos?
Marsh Posté le 16-07-2013 à 16:25:52
Bonjour à tous.
Je souhaite mettre en place dans l'entreprise ou je travaille un royaume kerberos (MIT) avec ldap en backend pour l'ensemble de nos utilisateurs internes/externes et services réseaux, enfin au moins les plus critique : mails, http (intranet/extranet sur apache/php), sshd, cifs et nfs, mysql.
Le but est de fournir en interne et en externe un solution de sso, avoir un politique de gestion de mot de passe plus drastique, obtenir une sécurité accrue et une authentification centralisé.
Je dispose d'une vingtaine de serveur centos (5 et 6) et de quelques synology.
Un active directory qui s'appuie sur 4 controleurs de domaines répartis sur 4 agences est deja en place. Celui-ci fait bien son travail, mais il en gère deja beaucoup à mon gout : déploiement de logiciel (trés nombreux et trés fréquents). Environ 50 PC sous windows et une trentaine d'utilisateurs . Aussi, je ne souhaite pas utiliser l'utiliser pour authentifier des utilisateurs qui n'ont pas à avoir de droit sur l'espace bureautique. Je ne veux pas trop le toucher pour ne pas casser ce qui est deja en place.
Niveau applicatif :
- outre les services réseaux déja cités, nous avons de multiples applicatifs installés sur notre parc. Certains sont developés par nos soins (intranet, extranet, applicatif métiers), d'autres sont des produits opensource (ex nagios/centreon, glpi, dotproject ...)
Niveau population utilisateurs :
- en interne :
- certains disposent d'un compte active directory car ils doivent pouvoir accéder aux fichiers de bureautique : ex chefs d'agence, developpeur, exploitant, chef de projets, assistante administrative. Pour cette population d'utilisateur, je souhaite implementer la cross-realm authentification entre l'active directory et le nouveau royaume à créer.
- d'autres utilisateurs (opérateur de saisie) ne disposent pas de compte active directory, il se loggue avec un utilisateur générique sur les stations Windows mais doivent pouvoir accéder à un intranet, à des sites clients et à un applicatif métiers developés en C# de manière nominative. Ils ont également un compte mail, un compte glpi,dotproject. Ces utilisateurs ne diposeraient d'un compte que sur le royaume à créer.
- Constat: pour chacun des applicatifs, nous devons crée un compte utilisateur.C'est lourd, inefficace, chronophage. Pour que l'utilisateur n'est pas à se rapeller des dizaines de mot de passe nous avions l'habitude de mettre le même de partout. Ce n'est plus faisable, la politique de gestion de mot de passe s'alonge et n'est plus appliqué.
- en externe :
- il s'agit d'utilisateur faisant généralement partie de grand groupe français. Ils disposent donc d'un compte utilisateur sur leur réseau . Ils doivent pouvoir accéder à un extranet chez nous. De plus en plus, nos clients nous demande si l'on dispose d'une solution de sso, cela serait donc un avantage concurentiel indéniable pour l'entreprise. La aussi la cross realm-authentification serait certainement une solution, de ce que j'ai pu en lire.
Voila donc pour le constat.
Cela fait maintenant 50 heures que je passe rien que sur la création d'un royaume de test afin de poser les premières briques et de designer la base LDAP.
J'arrive à faire fonctionner Kerberos et LDAP independament l'un de l'autre.
Sur kerberos, j'arrive à obtenir un tgt et à un moment j'arrivais à obtenir un tgs (pour ssh). Comme j'ai repris plusieurs fois du tout départ, j'ai finis par casser cette partie.
J'arrive à me connecter au service LDAP et à l'interroger avec ldapsearch. Il n'est pour l'instant pas passer en tls. Je pense que cela est obligatoire pour faire communiquer Kerberos et LDAP.
Mais impossible de les faire fonctionner de concert. En gros, ils arrivent pas à communiquer.
N'ayant pas trouver en googlisant une procédure, un tut pour centos, j'ai du mixé ce que j'ai pu trouver pour Ubuntu, Debian. Certains tuts commencent par kerberos, d'autre par ldap. Je m'y perds. J'ai également fait acheter un petit peu de literature sur le sujet: Kerberos the definitive Guide(O'reilly), Annuaire LDAP 2° edition(Eyrolles), LDAP sytem administration (O'reilly) et enfin Understanding and Deploying LDAP directory Services second edition. Chacun est trés bien dans sa partie mais aucun n'explique comment implementé ces deux services.
Désolé c'est un peu long, mais je crois que cela méritais au moins ça pour illustrer le contexte. Merci donc à ceux qui ont eu la patience de lire jusqu'ici.
Passons donc aux questions, parce qu'il faut bien qu'il y en est.
- Est ce que quelqu'un connait une bonne référence sur internet, en bouquin, un tut, de mise en place de LDAP+Kerberos sur CentOS?
- j'ai beaucoup de mal à planifier et obtenir une estimation de la mise en place d'un tel système. Quelqu'un aurait il un retour d'experience?
- apres avoir suivi point par point chacun des tutos, j'arrive trés souvent sur les mêmes erreurs. ex : dans la log : krb5kdc: Error reading password from stash: Aucun fichier ou dossier de ce type - while initializing database for realm ....
Lors du service krb5kdc start, j'ai souvent ceci krb5kdc: cannot initialize realm .... - see log file for details; sauf qu'il n'y a pas plus d'explication dans le fichier de log. Y'aurait il un loglevel caché dans kerberos?
Merci pour vos retours.