Mise en place du SSO Kerberos

Ce document a pour but de décrire la mise en place de la reconnaissance par BlueMind de l'authentification Kerberos dans une infrastructure Windows.

info

Dans la suite de ce document, nous considérerons l'url externe de BlueMind accessible par les utilisateurs bluemind.domain.tld et le serveur ActiveDirectory ad.domain.tld.

Le domaine dans lequel se trouve ces machines est DOMAIN.TLD.

Préparation des informations de connexion

1. Créer dans l'ActiveDirectory un utilisateur de service pour l'authentification Kerberos. Par exemple bmkrb avec comme mot de passe krbpwd.

2. Ouvrir une console cmd.exe et lancer la commande suivante :

   setspn -A HTTP/bluemind.domain.tld bmkrb

3. La commande devrait retourner un résultat équivalent aux lignes suivantes :

   Registering ServicePrincipalNames for CN=bmkrb,CN=Users,DC=domain,DC=tld
   	    HTTP/bluemind.domain.tld
   Updated object

4. Lancer ensuite la commande suivante :

   Windows 2012R2

   ktpass /out C:\bluemind.keytab  /mapuser bmkrb@DOMAIN.TLD  /princ HTTP/bluemind.domain.tld@DOMAIN.TLD  /pass krbpwd /kvno 0 /ptype KRB5_NT_PRINCIPAL

   Windows 2016 & +

   ktpass /out C:\bluemind.keytab /crypto AES256-SHA1 /mapuser bmkrb@DOMAIN.TLD  /princ HTTP/bluemind.domain.tld@DOMAIN.TLD  /pass krbpwd /kvno 0 /ptype KRB5_NT_PRINCIPAL

5. Le résultat devrait ressembler aux lignes suivantes :

   Targeting domain controller: AD.domain.tld
   Using legacy password setting method
   Successfully mapped HTTP/bluemind.domain.tld to bmkrb.
   Output keytab to C:\bluemind.keytab

Activation dans l'interface d'administration

1. Dans la console d'administration, se rendre dans Gestion du système > Domaines supervisés > choisir le domaine > onglet Sécurité.
2. Sélectionner le mode d'authentification Kerberos et renseigner le formulaire associé :
   
   • Domaine Active Directory
   • Serveur Active Directory
   • Fichier keytab de Active Directory : cocher la case et choisir le fichier précedemment créé
3. Cliquer sur "Enregistrer" pour sauvegarder les modifications.

Une fois l'authentification Kerberos activée, vous serez automatiquement authentifié si votre navigateur est bien configuré.

Configuration client

Le navigateur client peut considérer que le domaine BlueMind n'est pas de confiance. Il faut alors ajouter l'URL d'accès à BlueMind comme site de confiance dans le navigateur.

Firefox

La configuration du site de confiance se fait dans la configuration des paramètres du navigateur :

• dans la barre d'adresse du navigateur, taper :

  about:config

• Valider l'avertissement en cliquant sur « Accepter le risque et poursuivre »

• Dans le champ de recherche, taper :

  trusted

• Double-cliquer sur le paramètre network.negotiate-auth.trusted-uris ou cliquer sur le crayon en fin de ligne pour l'éditer

• Saisir l'adresse du domaine BlueMind (ici bluemind.domain.tld) et valider.
  

  💡 Le paramètre apparaît en gras : cela signifie qu'il s'agit d'un paramètre modifié, qu'il n'a plus sa valeur par défaut

• Relancer Firefox pour que la modification soit prise en compte.

Microsoft Edge

Microsoft Edge se configure manuellement sur le poste de travail :

• Lancer Regedit en tant qu'administrateur
• Aller dans HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge et créer les clés de registre manquantes si besoin
• Créer la valeur de type "Valeur chaine (REG_SZ)", avec le nom AuthServerAllowlist et la valeur bluemind.domain.tld
• Redémarrer Edge pour que la modification soit prise en compte.

En cas de dysfonctionnement, s'assurer que la politique est bien prise en compte :

• Démarrer Edge
• Saisir edge://policy dans le champ de l'URL
• Vérifier que la stratégie AuthServerAllowlist apparait dans la section "Microsoft Edge Policies", avec la valeur renseignée précédemment. Dans le cas contraire, cliquer sur Recharger les stratégies. Si elle n'apparait toujours pas, vérifier d'avoir bien modifié le registre selon la procédure décrite ci-dessus.

Pour plus d'informations sur les stratégies de Edge, consulter la documentation Microsoft :

• https://learn.microsoft.com/en-us/deployedge/microsoft-edge-policies#windows-registry-settings-111

Pour la propagation de la configuration par GPO, voir les pages suivantes de la documentation Microsoft :

• https://admx.help/?Category=EdgeChromium&Policy=Microsoft.Policies.Edge::AuthServerAllowlist&Language=fr-fr
• https://admx.help/?Category=EdgeChromium&Policy=Microsoft.Policies.Edge::AuthNegotiateDelegateAllowlist&Language=fr-fr

Chrome

Google Chrome se configure manuellement sur le poste de travail :

• Lancer Regedit en tant qu'administrateur
• Aller dans HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome et créer les clés manquantes si besoin
• Créer la valeur de type "Valeur chaine (REG_SZ)", avec le nom AuthServerAllowlist et la valeur bluemind.domain.tld
• Redémarrer Chrome pour que la modification soit prise en compte.

En cas de dysfonctionnement, s'assurer que la politique est bien prise en compte :

• Démarrer Chrome
• Saisir chrome://policy dans le champ de l'URL
• Vérifier que la stratégie AuthServerAllowlist apparait dans la section "Chrome Policies", avec la valeur renseignée précédemment. Dans le cas contraire, cliquer sur Recharger les stratégies. Si elle n'apparait toujours pas, vérifier d'avoir bien modifié le registre selon la procédure décrite ci-dessus.

Pour plus d'informations sur les stratégies de Chrome, consulter la documentation Goole :

• https://chromeenterprise.google/policies/?policy=AuthServerAllowlist

Pour la propagation de la configuration par GPO, voir la page suivante de la documentation Google :

• https://admx.help/?Category=Chrome&Policy=Google.Policies.Chrome::AuthServerWhitelist&Language=fr-fr

Pour aller plus loin

Pour plus d'informations, consulter les pages suivantes :

• http://sammoffatt.com.au/jauthtools/Kerberos/Browser_Support
• https://learn.microsoft.com/fr-fr/troubleshoot/windows-client/networking/intranet-site-identified-as-an-internet-site