Aller au contenu principal

Mise en place du SSO Kerberos

Ce document a pour but de décrire la mise en place de la reconnaissance par BlueMind de l'authentification Kerberos dans une infrastructure Windows.

info

Dans la suite de ce document, nous considérerons l'url externe de BlueMind accessible par les utilisateurs bluemind.domain.tld et le serveur ActiveDirectory ad.domain.tld.

Le domaine dans lequel se trouve ces machines est DOMAIN.TLD.

Préparation des informations de connexion

  1. Créer dans l'ActiveDirectory un utilisateur de service pour l'authentification Kerberos. Par exemple bmkrb avec comme mot de passe krbpwd.

  2. Ouvrir une console cmd.exe et lancer la commande suivante :

    setspn -A HTTP/bluemind.domain.tld bmkrb

  3. La commande devrait retourner un résultat équivalent aux lignes suivantes :

    Registering ServicePrincipalNames for CN=bmkrb,CN=Users,DC=domain,DC=tld
    	    HTTP/bluemind.domain.tld
    Updated object

  4. Lancer ensuite la commande suivante :

    ktpass /out C:luemind.keytab  /mapuser bmkrb@DOMAIN.TLD  /princ HTTP/bluemind.domain.tld@DOMAIN.TLD  /pass krbpwd /kvno 0 /ptype KRB5_NT_PRINCIPAL

  5. Le résultat devrait ressembler aux lignes suivantes :

    Targeting domain controller: AD.domain.tld
    Using legacy password setting method
    Successfully mapped HTTP/bluemind.domain.tld to bmkrb.
    Output keytab to C:\hps.keytab

Depuis l'interface d'administration

  1. Dans la console d'administration, se rendre dans Gestion du système > Domaines supervisés > choisir le domaine > onglet Sécurité.
  2. Sélectionner le mode d'authentification Kerberos et renseigner le formulaire associé :
    • Domaine Active Directory
    • Serveur Active Directory
    • Fichier keytab de Active Directory : cocher la case et choisir le fichier précedemment créé
  3. Cliquer sur "Enregistrer" pour sauvegarder les modifications.

Une fois l'authentification Kerberos activée, vous serez automatiquement authentifié si votre navigateur est bien configuré.

Configuration client

Le navigateur client peut considérer que le domaine BlueMind n'est pas de confiance. Il faut alors ajouter l'URL d'accès à BlueMind comme site de confiance dans le navigateur.

Firefox

La configuration du site de confiance se fait dans la configuration des paramètres du navigateur :

  • dans la barre d'adresse du navigateur, taper :

    about:config

  • Valider l'avertissement en cliquant sur « Accepter le risque et poursuivre »

  • Dans le champ de recherche, taper :

    trusted

  • Double-cliquer sur le paramètre network.negotiate-auth.trusted-uris ou cliquer sur le crayon en fin de ligne pour l'éditer

  • Saisir l'adresse du domaine BlueMind (ici bluemind.domain.tld) et valider.

    💡 Le paramètre apparaît en gras : cela signifie qu'il s'agit d'un paramètre modifié, qu'il n'a plus sa valeur par défaut

  • Relancer Firefox pour que la modification soit prise en compte.

Microsoft Edge

Microsoft Edge se configure à l'aide de la commande suivante dans une invite cmd.exe :

msedge.exe --auth-server-whitelid="bluemind.domain.tld" --auth-negotiate-delefatewhitelist="bluemind.domain.tld"

Pour la propagation de la configuration par GPO, voir les pages suivantes de la documentation Microsoft :

Chrome

Google Chrome se configure à l'aide de la commande suivante :

google-chrome --auth-server-whitelist="\bluemind.domain.tld"

Pour la propagation de la configuration par GPO, voir la page suivante de la documentation Microsoft :

Pour aller plus loin

Pour plus d'informations, consulter les pages suivantes :

Dernière mise à jour le