Partager
Affiche les résultats de 1 à 6 sur 6

Sujet : Kerberos Apache, SSH ou Squid impossible - Serveurs Linux

  1. #1
    Inscrit
    juillet 2012
    Messages
    4
    Remerciements
    0
    Remercié(e) 0 fois dans 0 messages
    Pouvoir de réputation
    0

    Kerberos Apache, SSH ou Squid impossible - Serveurs Linux

    Bien le bonjour,

    Le projet que je tente de mettre en place n'est pas franchement simple. J'ai suivi à la lettre bon nombre de tutos et documentations anglaises sur le SSO, mais rien n'y fait.

    Concrètement, voilà ce que j'ai mis en place.

    - Machine Debian : DNS, KDC, Apache et Contrôleur de domaine Samba (utilisant Kerberos).
    - Client XP : ouverture de session sur le domaine en récupérant un TGT (ticket Kerberos), afin qu'il puisse accéder au site Apache sans rentrer de mot de passe supplémentaire.



    Mon contrôleur de domaine est OK, samba utilise bien kerberos, et l'utilisateur reçoit bien un ticket TGT dès l'ouverture de session. Mais lorsque je contacte le site Apache, celui-ci me répond toujours Authorization Required
    et j'ai un gss_accept_sec_context () : failed An unsupported mechanism was requested dans /var/log/apache2/error.log

    Auparavant, j'ai essayé (toujours en lisant beaucoup de documentation) avec Squid, mais pareil Access Denied et avec de jolis TCP_DENIED dans les logs..


    Je me suis dit que c'était peut-être un peu difficile, donc j'ai commencé petit avec SSH (pas trop compliqué), donc là l'utilisateur connecté sur sa session windows et lançant PuTTY ne devrait pas avoir à taper son mot de passe.. Malgré mes recherches, le mot de passe est finalement demandé...


    Donc là, je me dis que je dois mal m'y prendre pour mettre en place le serveur Kerberos.
    Ca fait 6 ou 7 fois que je recommence, mais toujours pas de résultat concluant.

    Voilà, bon si il y a des experts Linux dans le coin, merci d'avance du coup de main

    Merci.

    PS : Liens des tutos utilisés :

    http://www.morot.fr/2004/10/21/insta...n-kdc-kerberos

    http://www.kerberos.org/software/adminkerberos.pdf

    http://pix-mania.dyndns.org/mediawik...entification_2

    http://acksyn.org/diary/?p=475
    Dernière édition par isador999; 13/07/2012 à 10h15

  2. # ADS
    Inscrit
    Toujours
    Messages
    Plusieurs






     
  3. #2
    Inscrit
    juin 2011
    Messages
    345
    Remerciements
    1
    Remercié(e) 251 fois dans 150 messages
    Pouvoir de réputation
    9

    Re : Kerberos Apache, SSH ou Squid impossible - Serveurs Linux

    Bonjour,

    Tu as bien installé le mod d'Apache permettant l'authentification Kerberos ? :
    libapache2-mod-auth-kerb

    Voici une doc concernant la configuration de Windows 2000 mais j'imagine que c'est valable pour Windows XP:
    http://www.grolmsnet.de/kerbtut/
    Site personnel : www.blueicefield.com

  4. #3
    Inscrit
    juillet 2012
    Messages
    4
    Remerciements
    0
    Remercié(e) 0 fois dans 0 messages
    Pouvoir de réputation
    0

    Re : Kerberos Apache, SSH ou Squid impossible - Serveurs Linux

    Salut, Merci de t'intéresser à mon sujet.

    Oui le module auth-kerb est installé et actif.
    En gros pour apache :

    apt-get install apache2 libapache2-mod-auth-kerb
    a2enmod auth-kerb
    /etc/init.d/apache2 restart

    J'ai créé le principal HTTP et le keytab dans Kadmin, enfin bon je pense avoir fait tout ce qu'il fallait..

    Puis j'ai rajouté les paramètres Kerberos dans /etc/apache2/sites-available/default, ce qui donne ça :

    Code:
    <VirtualHost *:80>
            ServerAdmin [email protected]
    
            DocumentRoot /var/www
            <Directory />
                    Options FollowSymLinks
                    AllowOverride None
            </Directory>
            <Directory /var/www/>
                    KrbAuthRealm ITFORCE.FR
                    KrbServiceName HTTP/[email protected]
                    AuthName "Secure Access"
                    AuthType Kerberos
                    Krb5Keytab /etc/apache2/krb5-http.keytab
                    KrbMethodK5Passwd off
                    KrbSaveCredentials on
                    require valid-user
    
    
                    Options Indexes FollowSymLinks MultiViews
                    AllowOverride None
                    Order allow,deny
                    allow from all
            </Directory>
    
            ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
            <Directory "/usr/lib/cgi-bin">
                    AllowOverride None
                    Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
                    Order allow,deny
                    Allow from all
            </Directory>
    
            ErrorLog ${APACHE_LOG_DIR}/error.log
    
            # Possible values include: debug, info, notice, warn, error, crit,
            # alert, emerg.
            LogLevel warn
    
            CustomLog ${APACHE_LOG_DIR}/access.log combined
    
    </VirtualHost>


    D'autre part, pour XP, en effet, c'est pareil, à l'exception prêt que j'utilise NetworkIdentityManager, pour vérifier que je récupère bien un ticket TGT dès l'ouverture de session du user (les anciens programmes kerbtray.exe et klist for windows plantaient).

    http://www.secure-endpoints.com/netidmgr/roadmap.html

    La manip pour IE et Firefox, pour qu'ils utilisent bien la négotiation Kerberos est la même pour XP et 2000, cependant cela ne change pas grand-chose.
    Dernière édition par isador999; 13/07/2012 à 11h37

  5. #4
    Inscrit
    juin 2011
    Messages
    345
    Remerciements
    1
    Remercié(e) 251 fois dans 150 messages
    Pouvoir de réputation
    9

    Re : Kerberos Apache, SSH ou Squid impossible - Serveurs Linux

    Bonjour,

    Je pense qu'il peut y avoir 2 sources possible à ton problème :
    1/ le nom de ton principal doit être HTTP. Vérifie bien que ton keytab a été correctement généré.
    2/ Tu as peut être un problème avec les domaines, il faut que le client et le serveur soit du même domaine.
    Site personnel : www.blueicefield.com

  6. #5
    Inscrit
    juillet 2012
    Messages
    4
    Remerciements
    0
    Remercié(e) 0 fois dans 0 messages
    Pouvoir de réputation
    0

    Re : Kerberos Apache, SSH ou Squid impossible - Serveurs Linux

    Voici la commande utilisée pour générer le principal HTTP :

    Code:
    kadmin : add_principal -randkey HTTP/apache.ITFORCE.FR

    Il me dit que le principal a bien été créé, ensuite je crée le fichier keytab :

    Code:
    kadmin : ktadd -k /etc/apache2/krb5-http.keytab HTTP/apache.ITFORCE.FR
    J'ai mis les droits sur le fichier keytab avec :
    chown www-data:www-data /etc/apache2/krb5-http.keytab
    chmod 640 /etc/apache2/krb5-http.keytab

    Mon client XP fait bien partie du domaine, je ne vois pas ce qui pourrait manquer..

    Cependant, une petite réflexion sur un paramètre dans Apache, qui permet de demander l'authentification NTLM ou Kerberos (le fait d'avoir à taper son mot de passe une 2ème fois ou pas).

    La valeur KrbMethodK5Passwd off, j'ai lu que si cette valeur est à ON, on demande le nom et mot de passe d'un user du domaine.

    Quand je la passe à ON, cela demande bien via une pop-up du navigateur les identifiants, par contre impossible de faire accepter le user TEST, la pop-up se réaffiche sans arrêt, jusqu'au message Authorization Required
    Puis-je en conclure que le service ne trouve pas le compte du domaine, en fin de compte ?


    En tous les cas, je te remercie vraiment pour tes idées et suggestions (t'es le premier de tous les forums où j'ai posté qui m'ait répondu, ce genre de projet Full Linux n'étant pas courant). Je ne pourrai retester que lundi maintenant, où demain après-midi si je suis motivé.
    Dernière édition par isador999; 14/07/2012 à 14h26

  7. #6
    Inscrit
    juillet 2012
    Messages
    4
    Remerciements
    0
    Remercié(e) 0 fois dans 0 messages
    Pouvoir de réputation
    0

    Re : Kerberos Apache, SSH ou Squid impossible - Serveurs Linux

    Bonjour, bon j'ai du nouveau.

    Grâce au Linux Magazine N°143 qui explique toute l'implémentation Kerberos Heimdal, j'ai finalement réussi à faire fonctionner le SSO pour SSH et Apache.
    J'ai encore bloqué un peu sur Squid3, mais les efforts ont fini par payer


    Par contre, le truc qui me chiffonne, c'est que seul Mozilla Firefox sous mon client XP SP3 arrive à activer GSSAPI pour Kerberos (et obtenir un TGS lorsqu'il passe par Squid).
    Safari est censé le gérer, mais il a apparemment besoin d'un nom de principal précis..
    IE 7, j'ai beau activé l'authentification intégrée, et rentrer le nom du site Apache (ou même de la machine Squid) dans la zone de confiance Intranet, mais rien toujours Authorization Required et Cache Access Denied



    [Sous Debian avec serveur X, Iceweasel ne possède pas tout à fait les mêmes paramètres dans about:config que Firefox, bizarre d'ailleurs c'est censé être la même chose je crois..]
    EDIT : En mettant le paramètre "network.negotiate-auth.gsslib" de about:config à "/usr/lib/libgssapi_krb5.so.2", tout fonctionne dans Iceweasel !


    Voilà, si vous avez la moindre idée, merci beaucoup
    Dernière édition par isador999; 24/08/2012 à 01h36

Sujets similaires

  1. Serveurs CSS
    Par Mojo8 dans le forum PC
    Réponses: 3
    Dernier message: 09/12/2012, 17h29
  2. DNS Jumper – Changez rapidement de serveurs DNS
    Par Milax dans le forum Logiciels
    Réponses: 0
    Dernier message: 16/10/2011, 11h41
  3. Réponses: 4
    Dernier message: 03/09/2011, 15h33
  4. Algérie Télécom Serveurs DNS anti-malwares
    Par ButterflyOfFire dans le forum Fournisseurs d'accès à Internet
    Réponses: 4
    Dernier message: 18/06/2011, 16h23
  5. [Guide] Optimiser son site Web automatiquement avec mod_pagespeed pour Apache
    Par Geekman dans le forum Astuces & Tutoriaux
    Réponses: 1
    Dernier message: 16/11/2010, 19h31

Règles des messages

  • Vous ne pouvez pas créer de sujets
  • Vous ne pouvez pas répondre aux sujets
  • Vous ne pouvez pas importer de fichiers joints
  • Vous ne pouvez pas modifier vos messages
  •  
  • Les BB codes sont Activés
  • Les Smileys sont Activés
  • Le BB code [IMG] est Activé
  • Le code [VIDEO] est Activé
  • Le code HTML est Désactivé



Liens annexes