ANF Mathrice 2014

Accueil | Contact

Test de fonctionnement coté client

A partir de la machine virtuelle clinux, nous allons configurer un navigateur de façon à ce qu’il propage l’authentification Kerberos jusqu’au service web, pour mettre en avant la fonctionnalité de SSO.

Installation du navigateur web

1. Démarrer la machine clinux, sur laquelle seront effectuées toutes les manipulations de cette page.

   vagrant up clinux
   

2. En premier lieu, la machine doit être équipée des outils kerberos.

   • Paquets krb5-config, krb5-user
   • Fichier /etc/krb5.conf
   • Principal host/clinux.vbox.tp@VBOX.TP créé sur le KDC
   • Principal host/clinux.vbox.tp@VBOX.TP exporté dans la keytab /etc/krb5.keytab.

3. Installer un navigateur web Iceweasel (équivalent Firefox chez Debian)

   root@clinux$ apt-get install iceweasel libcanberra-gtk-module
   

Accès au site intranet avec saisie de mot de passe

Maintenant, ouvrir une session SSH (avec redirection du canal X11) de façon à pouvoir utiliser le navigateur web.

Afin de pouvoir valider, par la suite, la fonctionnalité de SSO, il est recommandé de se connecter avec un utilisateur de l’annuaire LDAP. Ici nous prendrons M. Aterre Vac (identifiant = vaterre). La commande SSH ci-dessous, tient compte de la redirection de port mise en place par Vagrant pour atteindre les machines, ici il s’agit de 2201.

ssh -X -p 2201 vaterre@localhost

A l’ouverture de session, vérifiez que vous avez bien des tickets Kerberos en place.

vaterre@clinux$ klist

Lancer le navigateur web en le faisant pointer vers l’URL de l’intranet. Le certificat présenté est auto-signé. Il faut donc ajouter une exception de sécurité pour celui-ci.

vaterre@clinux$ iceweasel https://intranet.vbox.tp

Le navigateur vous demande de saisir un identifiant et un mot de passe pour accéder au site. Vérifier que vous pouvez passer cette authentification. Ici, le serveur a recours à Kerberos pour vous authentifier mais sans utiliser les tickets déjà en votre possession.

Accès au site intranet sans saisie du mot de passe

Afin que Firefox utilise les tickets Kerberos présent dans le crédential cache, il faut modifier sa configuration. Ces paramètres ne sont pas accessibles depuis les boites de dialogue des options. Il est nécessaire de passer par l’éditeur de configuration intégré.

Ouvrir l’éditeur de préférences de Firefox

vaterre@clinux$ iceweasel about:config

En premier lieu, le navigateur met en garde sur la manipulation de ses préférences à travers l’éditeur de configuration. Passer ce message avec le bouton I’ll be careful, I promise.

L’éditeur de configuration se présente sous la forme d’une liste de propriétés auxquelles des valeurs sont affectées.

Dans la liste, seulement deux nous intéressent. Elle sont listées dans le tableau ci-dessous avec la valeur à spécifier.

Nom de la préférence	Valeur à y associer
network.negotiate-auth.delegation-uris	https://,vbox.tp
network.negotiate-auth.trusted-uris	https://,vbox.tp

Voici ce que cela donne après la saisie des valeurs.

Maintenant l’accès à https://intranet.vbox.tp ne doit plus demander de mot de passe. Vérifer alors les tickets présents dans le credential cache.

© 2014 CNRS - Centre National de la Recherche Scientifique      Le contenu est géré avec WebGen

Ce site utilise la maquette graphique Outdoor fournit par styleshout | Valid XHTML | CSS