Lancer une console "cmd.exe" et lancer la commande suivante :
setspn -A HTTP/bluemind.domain.tld bmkrb |
La commande devrait retourner un résultat équivalent aux lignes suivantes :
Registering ServicePrincipalNames for CN=bmkrb,CN=Users,DC=domain,DC=tld HTTP/bluemind.domain.tld Updated object |
Lancer ensuite la commande suivante :
ktpass /out C:\hps.keytab /mapuser bmkrb@DOMAIN.TLD /princ HTTP/bluemind.domain.tld@DOMAIN.TLD /pass krbpwd /kvno 0 /ptype KRB5_NT_PRINCIPAL |
Le résultat devrait ressembler aux lignes suivantes :
Targeting domain controller: AD.domain.tld Using legacy password setting method Successfully mapped HTTP/bluemind.domain.tld to bmkrb. Output keytab to C:\hps.keytab |
Une fois l'authentification Kerberos activée, vous serez automatiquement authentifié si votre navigateur est bien configuré. Si vous voulez vous connecter en admin0 ou sur un autre domaine, allez sur la page : bm.domain.tld/native. |
Les chapitres suivants permettent de configurer l'authentification Kerberos "à la main". Toutefois ce paragraphe peut vous intéresser si le nom de votre domaine Kerberos est différent de celui du domaine BlueMind.
/etc/bm/default/bm-hps.ini
vers /etc/bm/local/bm-hps.ini
/etc/bm-hps
du serveur BlueMindCopier le contenu du fichier mem_conf.ini dans le fichier précédemment copié /etc/bm/local/bm-hps.ini
Le nom du domaine ActiveDirectory doit impérativement être écrit en MAJUSCULES dans la configuration, sans quoi celle-ci ne fonctionnera pas. |
Depuis la version 3.0.7 de BlueMind, il est possible de mettre en place la reconnaissance de l'identification avec un domaine Kerberos différent du domaine BlueMind.
Pour cela, créer un nouveau fichier de configuration /etc/bm-hps/mappings.ini sur le serveur avec le contenu suivant :
[bm_mappings] DOMAINEAD.LAN=domaineBM.vmw |
Où DOMAINEAD.LAN est mon domaine AD, domaineBM.vmw mon domaine BlueMind.
Une fois le fichier créé, redémarrer BlueMind :
# bmctl restart |
Le navigateur client peut considérer que le domaine BlueMind n'est pas de confiance. Il faut alors ajouter l'URL d'accès à BlueMind comme site de confiance dans le navigateur.
La configuration du site de confiance se fait dans la configuration des paramètres du navigateur. Pour cela :
dans la barre d'adresse du navigateur, taper :
about:config |
Dans le champs de recherche, taper :
trusted |
La configuration du site de confiance se fait dans la configuration des options Internet :
Chrome est basé sur la configuration d'Internet Explorer, il suffit donc sous Windows de faire la manipulation précédente afin que le site soit pris en compte.
Cependant, et sur les autres systèmes d'exploitation, il est possible de faire prendre en compte le site par la ligne de commande suivante :
google-chrome --auth-server-whitelist="*bluemind.domain.tld" |
Pour plus d'informations, vous pouvez consulter les pages suivantes :
http://sammoffatt.com.au/jauthtools/Kerberos/Browser_Support