Comparaison des versions

Légende

  • Ces lignes ont été ajoutées. Ce mot a été ajouté.
  • Ces lignes ont été supprimées. Ce mot a été supprimé.
  • La mise en forme a été modifiée.
Commentaire: Published by Scroll Versions from space DA and version BM-3.5
Sv translation
languagefr

Présentation

Ce document a pour but de décrire la mise en place de la reconnaissance par BlueMind de l'authentification Kerberos dans une infrastructure Windows.

Cette authentification est possible à partir de la version 3.0.12 de BlueMind.

Remarque

Dans la suite de ce document, nous considérerons l'url externe de BlueMind accessible par les utilisateurs bluemind.domain.tld et le serveur ActiveDirectory ad.domain.tld.

Le domaine dans lequel se trouve ces machines est DOMAIN.TLD.

Volet
borderWidth3

Sur cette page :

Sommaire
maxLevel2


Prérequis d'installation

Installer le paquet dédié sur le serveur :

Tabs group
borderall-sides
navcolornavy
Ubuntu/Debian

sudo install bm-plugin-hps-kerberos

RedHat/CentOS

yum install bm-plugin-hps-kerberos

Préparation des informations de connexion

  1. Créer dans l'ActiveDirectory un utilisateur de service pour l'authentification Kerberos. Par exemple bmkrb avec comme mot de passe "krbpwd"
  2. Lancer une console "cmd.exe" et lancer la commande suivante :

    Bloc de code
    setspn -A HTTP/bluemind.domain.tld bmkrb
  3. La commande devrait retourner un résultat équivalent aux lignes suivantes : 

    Bloc de code
    Registering ServicePrincipalNames for CN=bmkrb,CN=Users,DC=domain,DC=tld
    		HTTP/bluemind.domain.tld
    Updated object
  4. Lancer ensuite la commande suivante :

    Bloc de code
    ktpass /out C:\hps.keytab /mapuser bmkrb@DOMAIN.TLD /princ HTTP/bluemind.domain.tld@DOMAIN.TLD /pass krbpwd /kvno 0 /ptype KRB5_NT_PRINCIPAL
  5. Le résultat devrait ressembler aux lignes suivantes :

    Bloc de code
    Targeting domain controller: AD.domain.tld
    Using legacy password setting method
    Successfully mapped HTTP/bluemind.domain.tld to bmkrb.
    Output keytab to C:\hps.keytab

Depuis l'interface d'administration

  1. Naviguez en admin0 jusqu'à la page : Gestion du système -> Configuration système -> onglet Authentification.
  2. Sélectionnez le mode d'authentification Kerberos dans le menu déroulant et renseignez les champs associés (le fichier keytab demandé est : C:\hps.keytab exporté précédemment sur le serveur Kerberos)
  3. Sauvegardez les modifications. Vous serez amené à redémarrer le service bm-hps.
Info

Une fois l'authentification Kerberos activée, vous serez automatiquement authentifié si votre navigateur est bien configuré. Si vous voulez vous connecter en admin0 ou sur un autre domaine, allez sur la page : bm.domain.tld/native.

Les chapitres suivants permettent de configurer l'authentification Kerberos "à la main". Toutefois ce paragraphe peut vous intéresser si le nom de votre domaine Kerberos est différent de celui du domaine BlueMind.

Configuration de BlueMind à la main

  1. Copier le fichier C:\hps.keytab du serveur Kerberos sur le serveur BlueMind dans /etc/bm-hps/
  2. Copier le fichier /etc/bm/default/bm-hps.ini vers /etc/bm/local/bm-hps.ini
  3. Aller sur la page web http://git.blue-mind.net/bluemind/tree/release/3/conf/bm-hps/kerberos/ pour y télécharger les fichiers exemples mem_conf.ini, jaas.conf et krb5.ini
    1. Copier les fichiers jaas.conf et krb5.ini dans le répertoire/etc/bm-hps du serveur BlueMind
    2. Copier le contenu du fichier mem_conf.ini dans le fichier précédemment copié /etc/bm/local/bm-hps.ini

  4. Dans jaas.conf, modifier les informations suivantes :
    1. principal="HTTP/bluemind.domain.tld@DOMAIN.TLD"
  5. Dans krb5.ini, modifier les informations suivantes :
    1. default_realm = DOMAIN.TLD
    2. Dans [ realms ], DOMAIN.TLD = { kdc = <ip_ad_server>:88 }
    3. Dans [ domain_realm ], domain.tld = DOMAIN.TLD et .domain.tld = DOMAIN.TLD
Avertissement
titleIMPORTANT

Le nom du domaine ActiveDirectory doit impérativement être écrit en MAJUSCULES dans la configuration, sans quoi celle-ci ne fonctionnera pas.

Cas du domaine Kerberos différent du domaine BlueMind

Depuis la version 3.0.7 de BlueMind, il est possible de mettre en place la reconnaissance de l'identification avec un domaine Kerberos différent du domaine BlueMind.

Pour cela, créer un nouveau fichier de configuration /etc/bm-hps/mappings.ini sur le serveur avec le contenu suivant :

Bloc de code
[bm_mappings]
DOMAINEAD.LAN=domaineBM.vmw

DOMAINEAD.LAN est mon domaine AD, domaineBM.vmw mon domaine BlueMind.

Une fois le fichier créé, redémarrer BlueMind :

Bloc de code
# bmctl restart

Configuration client

Le navigateur client peut considérer que le domaine BlueMind n'est pas de confiance. Il faut alors ajouter l'URL d'accès à BlueMind comme site de confiance dans le navigateur.

Firefox

La configuration du site de confiance se fait dans la configuration des paramètres du navigateur. Pour cela :

  • dans la barre d'adresse du navigateur, taper :

    Bloc de code
    about:config
  • Valider l'avertissement en cliquant sur «Je ferai attention»
  • Dans le champs de recherche, taper :

    Bloc de code
    trusted
  • Faire un double-clic sur le paramètres «network.negotiate-auth.trusted-uris» ou faire clic-droit > Modifier
  • Saisir l'adresse du domaine BlueMind, ici bluemind.domain.tld et valider.
    Le paramètre apparaît alors en gras, cela signifie qu'il s'agit d'un paramètre modifié, qui n'a plus sa valeur par défaut :
  • Relancer Firefox pour que la modification soit prise en compte.

Internet Explorer

La configuration du site de confiance se fait dans la configuration des options Internet :

  • Aller dans le menu Outils > Options internet
  • Se placer sur Intranet Local et cliquer sur le bouton «Sites»
  • Cliquer sur le bouton «Avancé» de la nouvelle boite de dialogue
  • Remplir le champs «Ajouter ce site Web à la zone» puis cliquer sur «Ajouter». Le site devrait être ajouté à la liste des sites web au dessous.
  • Cliquer sur «Fermer» pour quitter puis sur «OK» dans la 2ème boite de dialogue et enfin «OK» dans la première.
  • Relancer le navigateur pour que la modification soit prise en compte.

Chrome

Chrome est basé sur la configuration d'Internet Explorer, il suffit donc sous Windows de faire la manipulation précédente afin que le site soit pris en compte.

Cependant, et sur les autres systèmes d'exploitation, il est possible de faire prendre en compte le site par la ligne de commande suivante :

Bloc de code
google-chrome --auth-server-whitelist="*bluemind.domain.tld"

Références

Pour plus d'informations, vous pouvez consulter les pages suivantes :

http://sammoffatt.com.au/jauthtools/Kerberos/Browser_Support

http://support.microsoft.com/kb/303650

Sv translation
languageen

Bm_infotraduction

Introduction

This article describes how to enable BlueMind to recognize Kerberos authentication in a Windows infrastructure.

This authentication is possible for BlueMind v.3.0.12 and above.

Remarque

In this article, we look at the BlueMind external url which can be accessed by the users bluemind.domain.tld and the Active Directory server ad.domain.tld.

The domain name for all these servers is DOMAIN.TLD.

Volet
borderWidth3

On this page:

Sommaire
maxLevel2


Prerequisite

Install the dedicated package on the server:

Tabs group
borderall-sides
navcolornavy
Ubuntu/Debian

sudo install bm-plugin-hps-kerberos

RedHat/CentOS

yum install bm-plugin-hps-kerberos

Setting up connection information

  1. Create a service user for Kerberos authentication in the Active Directory, e.g. bmkrb with the password "krbpwd".
  2. Open a "cmd.exe" console and run the following command:

    Bloc de code
    setspn -A HTTP/bluemind.domain.tld bmkrb
  3. This command should return a result similar to the following lines: 

    Bloc de code
    Registering ServicePrincipalNames for CN=bmkrb,CN=Users,DC=domain,DC=tld
    		HTTP/bluemind.domain.tld
    Updated object
  4. Run the following command:

    Bloc de code
    ktpass /out C:\hps.keytab /mapuser bmkrb@DOMAIN.TLD /princ HTTP/bluemind.domain.tld@DOMAIN.TLD /pass krbpwd /kvno 0 /ptype KRB5_NT_PRINCIPAL
  5. The result should look like this:

    Bloc de code
    Targeting domain controller: AD.domain.tld
    Using legacy password setting method
    Successfully mapped HTTP/bluemind.domain.tld to bmkrb.
    Output keytab to C:\hps.keytab

Setting up Kerberos in the admin console

  1. As admin0 go to System  Management -> System Configuration  -> Authentication tab.
  2. Select Kerberos as authentication mode from the drop-down menu and fill in the related authentication settings (the keytab file requested is: C:\hps.keytab previously exported on the Kerberos server)
  3. Save. You will be required to restart the bm-hps service.
Info

Once Kerberos authentication is enabled, you will be automatically authenticated if your browser is configured correctly. If you want to connect as admin0 or on another domain, go to the page: bm.domain.tld/native.

Setting up Kerberos manually

This section describes how to configure Kerberos authentication manually. However, you might also find this paragraph useful if your Kerberos domain name is different from your BlueMind domain name.

  1. Copy the file "C:\hps.keytab" from the Kerberos server to the BlueMind server into "/etc/bm-hps/"
  2. Copy the file "/etc/bm/default/bm-hps.ini" to "/etc/bm/local/bm-hps.ini"
  3. Go to the web page http://git.blue-mind.net/bluemind/tree/release/3/conf/bm-hps/kerberos/ to download the sample files mem_conf.ini, jaas.conf and krb5.ini
    1. Copy the files "jaas.con"f and "krb5.ini" in the "/etc/bm-hps" directory of the BlueMind server
    2. Copy the contents of the file "mem_conf.ini" into the file copied previously "/etc/bm/local/bm-hps.ini"

  4. In "jaas.conf", change the following information:
    1. principal="HTTP/bluemind.domain.tld@DOMAIN.TLD"
  5. In krb5.ini, change the following information:
    1. default_realm = DOMAIN.TLD
    2. In [ realms ], DOMAIN.TLD = { kdc = <ip_ad_server>:88 }
    3. In [ domain_realm ], domain.tld = DOMAIN.TLD and .domain.tld = DOMAIN.TLD
Avertissement
titleIMPORTANT

The Active Directory domain name must be written in CAPITAL LETTERS in the configuration file, failing that it will not work.

Setting up different domains for Kerberos and BlueMind

Since BlueMind v.3.0.7, you can set up authentication with different domains for Kerberos and BlueMind.

Server configuration 

Create a new configuration file /etc/bm-hps/mappings.ini with the following contents:

Bloc de code
[bm_mappings]
DOMAINEAD.LAN=domaineBM.vmw

In this instance, DOMAINEAD.LAN is your AD domain and domaineBM.vmw is your BlueMind domain.

When the file has been created, restart BlueMind:

Bloc de code
bmctl restart

Client configuration

When the AD domain is different from the BlueMind domain, the client web browser may not trust the BlueMind domain. The BlueMind url access must therefore be added as a trusted site in the web browser.

Firefox

To add a trusted site, you need to access the Firefox configuration settings. To do this:

  • in the web browser address bar, type:

    Bloc de code
    about:config
  • Dismiss the warning by clicking "I'll be careful, I promise!"
  • In the search box, type:

    Bloc de code
    trusted
  • Double-click "network.negotiate-auth.trusted-uris" or right-click > Modify
  • Enter the BlueMind domain address, bluemind.domain.tld in this instance, and validate.
    The preference is then shown in bold, which means it has been modified and no longer has its default value:
  • Restart Firefox to apply the changes.

Internet Explorer

Trusted sites are configured in the Internet Options window:

  • Go to the Tools menu > Internet Options 
  • In the Security tab, select Local Intranet and click "Sites"
  • In the dialog box that opens, click "Advanced" 
  • Fill in the "Add this website to the zone" box and click "Add". The site should be added to the list of websites underneath.
  • Click "Close" to quit, then "OK" in the second dialog box, and finally "OK" in the first one.
  • Restart the web browser to apply the change.

Chrome

Chrome is based on the Internet Explorer configuration. As a result, in Windows, simply follow the same process as above to add a new site to the trusted list.

For other operating systems, however, use the following command line to add a trusted website:

Bloc de code
google-chrome --auth-server-whitelist="*bluemind.domain.tld"

References

For more information, please look at the following pages:

http://sammoffatt.com.au/jauthtools/Kerberos/Browser_Support

http://support.microsoft.com/kb/303650