6. Compatibilité avec des services d'annuaire non-Microsoft à l'aide de Kerberos
v5
6.1 Présentation
Avec l'apparition d'Active Directory, Kerberos V5 est
devenu le principal protocole d'authentification des réseaux Windows. Il est
désormais possible grâce à ce nouveau protocole de mettre en
interaction des domaines Windows et des services d'annuaire de type Linux ou Mac.
Concrètement, il s'agira de relier Active Directory avec par exemple Open LDAP
sous Linux ou Open Directory sous Mac Os X, ce que nous étudierons par la suite.
Tout d'abord nous allons détailler brièvement le
fonctionnement du protocole Kerberos V5
Le protocole Kerberos est un protocole d'authentification
sur un réseau non sécurisé , grâce auquel il est possible de faire
partager des clefs de cryptage entre un utilisateur et un service.
Ce protocole repose sur l'échange de blocs de données nommés
tickets. Un ticket est un ensemble d'informations,
délivrées par une autorité de
(KDC), pour un client donné, à
destination d'un service donné.
Ceci est un gros avantage car du coup les mots de passes des
utilisateurs ne circulent pas sur le réseau, ou bien dans certains cas
particuliers, comme le changement de mot de passe mais dans ce cas le
transport se fait de façon sécurisée.
Si un pirate arrivait à se procurer un ticket et tentait de le
décrypter, cela ne lui servirai a rien, car Kerberos utilise une
notion de péremption de ticket ce qui les rend inutilisable au bout
d'une durée fixé par l'autorité de confiance.
Voici les étapes de fonctionnement du protocole Kerberos
Voici les étapes de fonctionnement du protocole Kerberos
- Un client s'authentifie une fois par session auprès d'une
autorité de confiance :
celle-ci lui délivre un ticket nommé TGT (Ticket-Granting
Ticket). C'est la seule fois ou l'utilisateur aura à s'authentifier durant
sa session de travail, tous services confondus.
- Le client ainsi authentifié souhaite maintenant utiliser un
service distant (telnet, ftp, partage de fichiers, imprimante. . . )
pour la première fois de sa session. Il s'adresse alors à l'autorité de
confiance en lui présentant son TGT: celle-ci lui délivre un nouveau ticket,
dédié au service.
- Le client s'adresse alors au service, en lui présentant ce nouveau
ticket
: il est maintenant authentifié auprès de celui-ci. Ce ticket pourra
être réutilisé jusqu'à sa péremption.
|
Voici plus en détail le principe d'attribution d'un TGT
|
- Confiance unilatérale: Cette solution consiste à paramétrer un
domaine Kerberos pour qu'il accepte les TGT émis par un autre (en qui il a
confiance). Par exemple, des utilisateurs s'authentifient sur un domaine
Windows, et utilisent des services Linux ou Mac d'un autre domaine qui fait
confiance au premier. Ce deuxième domaine est un domaine de ressources.
Voici le principe de mis en place:
- Un domaine Kerberos doit donc être mis en place
- Puis il faut modifier le fichier /etc/krb5.conf sur les
serveurs et stations Linux et Mac pour utiliser le nouveau KDC
- Il faut par la suite indiquer le KDC du domaine Linux ou Mac aux
stations et serveurs Windows en utilisant la commande ksetup /addkdc
nomdomaine nomkdc
- Puis il faut ouvrir la console MMC Domaines et approbations
Active Directory , sélectionner les propriétés du domaine Linux ou
Mac puis l'onglet Approbations. Ajouter le nouveau domaine à la
liste des Domaines qui approuvent ce domaine en entrant un mot
de passe secret.
- Enfin il faut que le KDC du nouveau domaine connaisse aussi ce mot
de passe. Il faut donc exécuter la commande suivante : kadmin.local
(voir les options pour plus de détails)
- Confiance bilatérale: Semblable à la confiance unilatérale, cette
configuration permet à des utilisateurs d'un domaine Windows
d'utiliser des ressources Linuxe t Mac, et aux utilisateurs Linux/Mac
d'utiliser les ressources Windows (ou deux domaines Kerberos, Windows
et Linux/Mac, sont en confiance).
- Pour l'installation il faut suivre la même procédure que
précédemment sauf qu'il faut choisir Domaines approuvés par ce domaine
dans la console MMC
Domaines et approbations Active Directory
- Configuration du client : Cela correspond à la seule
configuration d'un client pour utiliser les ressources de domaine Kerberos
Nous allons utiliser cette dernière situation pour relier un
domaine Active Directory et un environnement Open Directory sous Mac Os X
6.3 Mise en relation d'un environnement Windows et Apple
Cette étude consiste à relier deux architecture bien
distincte, un domaine Windows 2003 et un domaine Open Directory sous Mac Os
10.3.
Cette solution permettra à Active Directory de considérer les
machines clientes Mac comme des clients natifs. Aucune modification ne sera
apporté à Active Directory à part la création d'une Unité d'Organisation pour
stocker les comptes d'ordinateurs des Mac. Ainsi toutes les stratégies
utilisant Kerberos, à savoir tout ce qui attrait au mot de passe... seront
honorés. Par exemple si vous spécifiez qu'un utilisateur doit changer son
mot de passe à la prochaine connexion, peut importe si la machine est sous
Windows ou Mac il sera invité à changer sont mot de passe.
Open directory sera également utilisé pour affiner
l'administration des Mac à l'aide de groupes et de stratégies diverses
complétant ainsi les stratégies déjà mis en place avec Active Directory et
Kerberos. Les groupes créés dans Open Directory stockeront des utilisateurs
créés dans Active Directory, ce qui permettra de leur appliquer de nouvelles
stratégies. Open Directory permettra également de spécifier quelle groupe aura
le droit de se loger sur tel Mac.
Les clients sous Mac Os 10.3 ou 10.4 seront configurés pour
utiliser à la fois l'authentification d'Active Directory avec le plugin AD mais
aussi d'Open Directory avec le plugin LDAP
- Configuration d'Active Directory
Dans un premier temps nous allons créer une Unité
d'organisation dans Active Directory. Si Active Directory n'est pas installé
utiliser la commande
DCPROMO
En utilisant la console MMC Utilisateurs et
Ordinateurs Active Directory, faire un click droit sur le domaine, puis
nouveau et enfin Unité d'organisation. Dans notre exemple nous utiliserons le
nom Maccomputers. Pour faciliter les tests nous créeront également un nouvel
utilisateur nommé Mac_user ( click droit sur l'OU Maccomputers, puis nouveau et
enfin utilisateur)
- Configuration d'Open Directory
Si vous ne voulez pas utiliser de stratégie Mac
complémentaire à celle de Kerberos gérées par Active Directory, cette partie est
optionnelle.
Vous pouvez utiliser une architecture Open Directory déjà
existante, sinon vous pouvez promouvoir votre serveur en Maître d'opération
principal Open Directory à l'aide de l'outils Admin Server. Après
cette étape vous pourrez gérer les utilisateurs et groupes de ce nouveau service
d'annuaire LDAP à l'aide de l'outils Workgroup Manager.
Il vous faudra créer des groupes qui permettront d'héberger
des utilisateurs Windows. Utilisez le Workgroup Manager puis créez
un nouveau groupe qui contiendra ces utilisateurs.
Il faut par la suite lier ces utilisateurs au groupe, deux
possibilités existent, en ligne de commande ou avec l'outils Workgroup
Manager. Mais auparavant il vous faudra un poste Mac capable de communiquer,
donc de s'authentifier avec l'active Directory. Vous pourrez soit utiliser votre
serveur Mac ou un client ayant les outils d'administration installés.
Pour avoir accès aux informations stockés dans Active
Directory à partir de votre serveur ou de votre client, il faut régler le
plugin AD. ( Voir procédure dans la partie configuration des clients Mac Os
X)
Puis utiliser la commande suivante à partir du serveur afin
de lier l'utilisateur Mac_user au groupe Windows_user:
dscl -u <adminuser> -p <adminpass>
/LDAPv3/127.0.0.1 merge /Groups/Windows_user GroupMembership Mac_user
Nous pouvons donc passer à la configuration des clients Mac
Os X
- configuration des clients Mac Os X
Tout d'abord il faut configurer le plugin AD pour joindre le
client au domaine Windows.
Sur le poste client ouvrez application, puis
utilitaires puis
format de répertoire.
Sélectionner Active Directory puis configurer
Entrez alors le nom du domaine a rejoindre puis cliquez sur
relier
Entrez alors un nom d'utilisateur capable de joindre un
ordinateur au domaine, puis indiquer l'emplacement où sera stocker le compte
d'ordinateur du Mac (dans notre cas dans l'OU Maccomputers du domaine
hornet899.com)
Le compte d'ordinateur apparaît alors dans l'OU
A partir de cette étape votre utilisateur Windows est
capable de se loguer sur votre ordinateur client Mac, il lui sera même
possible d'atteindre son home folder qui apparaîtra directement sur le bureau.
Vous pouvez donc maintenant gérer les stratégies Kerberos à
partir de votre Active Directory.
Si vous avez mis en place Open Directory pour
gérer plus de stratégies vous allez devoir configurer le plugin LDAP.
Sur le poste client ouvrez application puis
utilitaires puis
format de répertoire.
Sélectionner LDAPv3 puis configurer, créez une nouvelle
configuration, entrez l'adresse de votre serveur puis laisser vous guider. Vous
allez alors intégrer le domaine gérer par Open Directory.
Il va maintenant falloir dédésactiver l'auto configuration de
Kerberos sur le serveur Open Directory. Nous utiliserons l'authentification
Kerberos d'Active Directory.
| Ouvrez le Workgroup Manager en tant
qu'administrateur, allez dans les préférences et sélectionner "Show all
records tab and inspector" puis cliquez sur |
 |
Dans la fenêtre qui vient de s'ouvrir sélectionnez le conteneur
Config, sélectionner l'attribut KerberosClient cliquez sur
RecordName puis sur le bouton Edit , éditez la valeur
KerberosClient vers KerberosClient_DONOTUSE
puis validez et sauvegardez.
En plus des stratégies Kerberos d'Active Directory vous êtes
désormais capable d'utiliser les stratégies Mac pour compléter votre
administration. Vous pourrez par exemple définir quel tel machine machine sera
accessible à tel groupe, limiter l'utilisation de logiciels...
 Introduction
1. Définition des termes utilisés
1.1 Domaines
1.2 Arborescences
1.3 Forêts
1.4 Relations d'approbation
2. Relations d'approbation prédéfinies
2.1 Parents/Enfants
2.2 Racine d'arborescence
3. Approbations raccourcies
4. Approbations externes
4.1 Présentation
4.2 Relation d'approbation externe entre deux forêts
4.3 Relation d'approbation externe entre entre un domaine Windows 2000/2003 et un domaine Windows NT4
4.4 Création de relations d'approbations externes
4.5 Vérification et rappel des relations d'approbations externes
5. Approbations de forêt
5.1 Présentation
5.2 Création d'une approbation de forêt
5.3 Routage de suffixe UPN
5.4 Authentification sélective
5.5 Filtrage SID
6. Compatibilité avec des services d'annuaire non-Microsoft à l'aide de Kerberos v5
6.1 Présentation
6.2 Principe de compatibilité entre un environnement Windows, Linux et Mac avec Kerberos v5
6.3 Mise en relation d'un environnement Windows et Apple
Conclusion
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
Tout sur les relations d'approbations (Trust Relationship)
