Comparaison des versions

Ancienne version 15

changes.mady.by.user Marie Piochon

Sauvegardée le

comparé à

Nouvelle version 16

changes.mady.by.user Marie Piochon

Sauvegardée le

Légende

  • Ces lignes ont été ajoutées. Ce mot a été ajouté.
  • Ces lignes ont été supprimées. Ce mot a été supprimé.
  • La mise en forme a été modifiée.
Commentaire: Content imported from a Scroll Translations translation file.

...

Sv translation
languageen

Bm_infotraduction

Introduction

This article describes how to enable BlueMind to recognize Kerberos authentication in a Windows infrastructure.

This authentication is possible for BlueMind v.3.0.12 and above.

Remarque

In this article, we look at the BlueMind external url which can be accessed by the users bluemind.domain.tld and the Active Directory server ad.domain.tld.

The domain name for all these servers is DOMAIN.TLD.

Volet
borderWidth3

On this page:

Sommaire
maxLevel2


Prerequisite

Install the dedicated package on the server:

Tabs group
borderall-sides
navcolornavy
Ubuntu/Debian

aptitude install bm-plugin-hps-kerberos

RedHat/CentOS

yum install bm-plugin-hps-kerberos

Setting up connection information

  1. Create a service user for Kerberos authentication in the Active Directory, e.g. bmkrb with the password "krbpwd".

  2. Open a "cmd.exe" console and run the following command:

    Bloc de code
    setspn -A HTTP/bluemind.domain.tld bmkrb

  3. This command should return a result similar to the following lines: 

    Bloc de code
    Registering ServicePrincipalNames for CN=bmkrb,CN=Users,DC=domain,DC=tld
		HTTP/bluemind.domain.tld
Updated object

  4. Run the following command:

    Bloc de code
    ktpass /out C:\hps.keytab /mapuser bmkrb@DOMAIN.TLD /princ HTTP/bluemind.domain.tld@DOMAIN.TLD /pass krbpwd /kvno 0 /ptype KRB5_NT_PRINCIPAL

  5. The result should look like this:

    Bloc de code
    Targeting domain controller: AD.domain.tld
Using legacy password setting method
Successfully mapped HTTP/bluemind.domain.tld to bmkrb.
Output keytab to C:\hps.keytab

Setting up Kerberos in the admin console

  1. As admin0 go to System  Management -> System Configuration  -> Authentication tab.
  2. Select Kerberos as authentication mode from the drop-down menu and fill in the related authentication settings (the keytab file requested is: C:\hps.keytab previously exported on the Kerberos server)
  3. Save. You will be required to restart the bm-hps service.
Info

Once Kerberos authentication is enabled, you will be automatically authenticated if your browser is configured correctly. If you want to connect as admin0 or on another domain, go to the page: bm.domain.tld/native.

Setting up Kerberos manually

This section describes how to configure Kerberos authentication manually. However, you might also find this paragraph useful if your Kerberos domain name is different from your BlueMind domain name.

  1. Copy the file C:\hps.keytab from the Kerberos server to the BlueMind server into /etc/bm-hps/
  2. Copy the file "/etc/bm/default/bm-hps.ini" to "/etc/bm/local/bm-hps.ini"
  3. Go to the web page https://github.com/bluemind-net/hps-kerberos-sample to download the sample files bm-hps.ini, jaas.conf and krb5.ini
    1. Copy the files jaas.conf and krb5.ini in the /etc/bm-hps directory of the BlueMind server

    2. Copy the contents of the file bm-hps.ini into the file copied previously /etc/bm/local/bm-hps.ini

  4. In jaas.conf, change the following information:
    1. principal="HTTP/bluemind.domain.tld@DOMAIN.TLD"
  5. In krb5.ini, change the following information:
    1. default_realm = DOMAIN.TLD
    2. In [ realms ], DOMAIN.TLD = { kdc = <ip_ad_server>:88 }
    3. In [ domain_realm ], domain.tld = DOMAIN.TLD and .domain.tld = DOMAIN.TLD
Avertissement
titleIMPORTANT

The Active Directory domain name must be written in CAPITAL LETTERS in the configuration file, failing that it will not work.

Setting up different domains for Kerberos and BlueMind

Since BlueMind v.3.0.7, you can set up authentication with different domains for Kerberos and BlueMind.

Server configuration 

Create a new configuration file /etc/bm-hps/mappings.ini with the following contents:

Bloc de code
[bm_mappings]
DOMAINEAD.LAN=domaineBM.vmw

In this instance, DOMAINEAD.LAN is your AD domain and domaineBM.vmw is your BlueMind domain.

When the file has been created, restart BlueMind:

Bloc de code
bmctl restart

Client configuration

When the AD domain is different from the BlueMind domain, the client web browser may not trust the BlueMind domain. The BlueMind url access must therefore be added as a trusted site in the web browser.

Firefox

To add a trusted site, you need to access the Firefox configuration settings. To do this:

  • in the web browser address bar, type:

    Bloc de code
    about:config
  • Dismiss the warning by clicking "I'll be careful, I promise!"

  • In the search box, type:

    Bloc de code
    trusted
  • Double-click "network.negotiate-auth.trusted-uris" or right-click > Modify
  • Enter the BlueMind domain address, bluemind.domain.tld in this instance, and validate.
    The preference is then shown in bold, which means it has been modified and no longer has its default value:
  • Restart Firefox to apply the changes.

Internet Explorer

Trusted sites are configured in the Internet Options window:

  • Go to the Tools menu > Internet Options 
  • In the Security tab, select Local Intranet and click "Sites"
  • In the dialog box that opens, click "Advanced" 
  • Fill in the "Add this website to the zone" box and click "Add". The site should be added to the list of websites underneath.
  • Click "Close" to quit, then "OK" in the second dialog box, and finally "OK" in the first one.
  • Restart the web browser to apply the change.

Chrome

Chrome is based on the Internet Explorer configuration. As a result, in Windows, simply follow the same process as above to add a new site to the trusted list.

For other operating systems, however, use the following command line to add a trusted website:

Bloc de code
google-chrome --auth-server-whitelist="*bluemind.domain.tld"

References

For more information, please look at the following pages:

http://sammoffatt.com.au/jauthtools/Kerberos/Browser_Support

http://support.microsoft.com/kb/303650

Sv translation
languagede

Präsentation

Dieses Dokument beschreibt die Implementierung von BlueMinds Erkennung der Kerberos-Authentifizierung in einer Windows-Infrastruktur.

Diese Authentifizierung ist ab Version 3.0.12 von BlueMind möglich.

Remarque

Im weiteren Verlauf dieses Dokuments betrachten wir die externe Url von BlueMind, auf welche die Benutzer der bluemind.domain.tld und der ActiveDirectory-Server ad.domain.tld zugreifen können.

Die Domäne, in der sich diese Rechner befinden, ist DOMAIN.TLD.

Volet
borderWidth3

Auf dieser Seite:

Sommaire
maxLevel2


Installationsvoraussetzungen

Installieren Sie das dedizierte Paket auf dem Server:

Tabs group
borderall-sides
navcolornavy
Ubuntu/Debian

aptitude install bm-plugin-hps-kerberos

RedHat/CentOS

yum install bm-plugin-hps-kerberos

Vorbereitung der Anmeldeinformationen

  1. Erstellen Sie einen Dienstbenutzer für die Kerberos Authentifizierung in ActiveDirectory. Zum Beispiel bmkrb mit dem Passwort „krbpwd“

  2. Starten Sie eine Konsole „cmd.exe“ und führen Sie den folgenden Befehl aus:

    Bloc de code
    setspn -A HTTP/bluemind.domain.tld bmkrb

  3. Der Befehl sollte ein Ergebnis liefern, das den folgenden Zeilen entspricht: 

    Bloc de code
    Registering ServicePrincipalNames for CN=bmkrb,CN=Users,DC=domain,DC=tld
		HTTP/bluemind.domain.tld
Updated object

  4. Führen Sie dann den folgenden Befehl aus:

    Bloc de code
    ktpass /out C:\hps.keytab /mapuser bmkrb@DOMAIN.TLD /princ HTTP/bluemind.domain.tld@DOMAIN.TLD /pass krbpwd /kvno 0 /ptype KRB5_NT_PRINCIPAL

  5. Das Ergebnis sollte wie die folgenden Zeilen aussehen:

    Bloc de code
    Targeting domain controller: AD.domain.tld
Using legacy password setting method
Successfully mapped HTTP/bluemind.domain.tld to bmkrb.
Output keytab to C:\hps.keytab

Von der Administrationsschnittstelle aus

  1. Navigieren Sie in admin0 auf die Seite: Systemverwaltung -> Systemkonfiguration -> Registerkarte Authentifizierung.
  2. Wählen Sie den Kerberos Authentifizierungsmodus im Dropdown-Menü und füllen Sie die zugehörigen Felder aus (die angeforderte keytab-Datei ist: C:\hps.keytab, die zuvor auf den Kerberos-Server exportiert wurde)
    Image Added
  3. Speichern Sie die Änderungen. Sie müssen den bm-hps-Dienst neu starten.
Info

Sobald die Kerberos-Authentifizierung aktiviert ist, werden Sie automatisch authentifiziert, wenn Ihr Browser richtig konfiguriert ist. Wenn Sie eine Verbindung in admin0 oder auf einer anderen Domäne herstellen möchten, gehen Sie auf die Seite: bm.domain.tld/native.

In den folgenden Kapiteln können Sie die Kerberos-Authentifizierung „von Hand“ konfigurieren. Dieser Abschnitt könnte jedoch für Sie von Interesse sein, wenn der Name Ihres Kerberos-Domäne nicht mit dem der BlueMind-Domäne übereinstimmt.

BlueMind von Hand konfigurieren

  1. Kopieren Sie die Datei C:\hps.keytab vom Kerberos-Server auf den BlueMind-Server in /etc/bm-hps/
  2. Kopieren Sie die Datei /etc/bm/default/bm-hps.ini nach /etc/bm/local/bm-hps.ini
  3. Rufen Sie die Webseite http://git.blue-mind.net/bluemind/tree/release/3/conf/bm-hps/kerberos/ auf, um die Beispieldateien mem_conf.ini, jaas.conf und krb5.ini herunterzuladen
    1. Kopieren Sie die Dateien jaas.conf und krb5.ini in das Verzeichnis /etc/bm-hps des BlueMind-Servers

    2. Kopieren Sie den Inhalt der Datei mem_conf.ini in die zuvor kopierte Datei /etc/bm/local/bm-hps.ini"

  5. Ändern Sie in der Datei jaas.conf die folgenden Informationen:
    1. principal="HTTP/bluemind.domain.tld@DOMAIN.TLD"
  6. Ändern Sie in der Datei krb5.inidie folgenden Informationen:
    1. default_realm = DOMAIN.TLD
    2. In [ realms ], DOMAIN.TLD = { kdc = <ip_ad_server>:88 }
    3. In [ domain_realm ], domain.tld = DOMAIN.TLD und .domain.tld = DOMAIN.TLD
Avertissement
titleWICHTIG

Der ActiveDirectory-Domänenname muss in der Konfiguration in GROSSBUCHSTABEN geschrieben werden, sonst funktioniert sie nicht.

Die Kerberos-Domäne, die sich von der BlueMind-Domäne unterscheidet

Seit der Version 3.0.7 von BlueMind ist es möglich, die Identifikationserkennung mit einer anderen Kerberos-Domäne als der BlueMind-Domäne einzurichten.

Legen Sie dazu auf dem Server eine neue Konfigurationsdatei /etc/bm-hps/mappings.ini mit folgendem Inhalt an:

Bloc de code
[bm_mappings]
DOMAINEAD.LAN=domaineBM.vmw

Dabei ist DOMAINEAD.LAN meine AD-Domäne und domainBM.vmw meine BlueMind-Domäne.

Sobald die Datei erstellt ist, BlueMind neu starten:

Bloc de code
# bmctl restart

Client-Konfiguration

Der Client-Browser betrachtet möglicherweise die BlueMind-Domäne als nicht vertrauenswürdig. Sie müssen die URL für den Zugriff auf BlueMind als vertrauenswürdige Website im Browser hinzufügen.

Firefox

Die Konfiguration der vertrauenswürdigen Website erfolgt in der Konfiguration der Browser-Einstellungen. Vorgehensweise:

  • in der Adressleiste des Browsers eingeben:

    Bloc de code
    about:config
  • Bestätigen Sie die Warnung, indem Sie auf „Ich werde vorsichtig sein“ klicken

  • Geben Sie in das Suchfeld ein:

    Bloc de code
    trusted
  • Doppelklicken Sie auf den Parameter „network.negotiate-auth.trusted-uris“ oder klicken Sie mit der rechten Maustaste auf > Ändern
  • Geben Sie die Adresse der BlueMind-Domäne ein, hier bluemind.domain.tld und bestätigen Sie.
    Der Parameter erscheint dann fett, d.h. dass es sich um einen geänderten Parameter handelt, der nicht mehr seinen Standardwert hat:
    Image Added
  • Firefox neu starten, um die Änderung zu berücksichtigen.

Internet Explorer

Die Konfiguration der vertrauenswürdigen Website erfolgt in der Konfiguration der Internetoptionen:

  • Gehen Sie in das Menü Tool > Internetoptionen
  • Gehen Sie zum lokalen Intranet und klicken Sie auf die Schaltfläche „Sites“
  • Klicken Sie im neuen Dialogfeld auf die Schaltfläche „Erweitert“
  • Füllen Sie das Feld „Diese Website zur Zone hinzufügen“ aus und klicken Sie auf „Hinzufügen“. Die Website sollte in die untere Websiteliste aufgenommen werden.
    Image Added
  • Klicken Sie zum Beenden auf „Schließen“, dann auf „OK“ im 2. Dialogfeld und zum Schluss auf „OK“ im ersten Dialogfeld.
  • Den Browser neu starten, damit die Änderung wirksam wird.

Chrome

Chrome basiert auf der Konfiguration des Internet Explorers, so dass Sie unter Windows den gleichen Vorgang durchführen müssen, damit die Seite berücksichtigt wird.

Zudem kann - und dies auch auf anderen Betriebssystemen - die Website mit der folgenden Befehlszeile berücksichtigt werden:

Bloc de code
google-chrome --auth-server-whitelist="*bluemind.domain.tld"

Referenzen

Weitere Informationen finden Sie auf den folgenden Seiten:

http://sammoffatt.com.au/jauthtools/Kerberos/Browser_Support

http://support.microsoft.com/kb/303650