Cette page n'est plus actualisée. À partir de BlueMind 4.8, veuillez consulter la nouvelle documentation BlueMind |
Installer le paquet dédié sur le serveur :
|
Lancer une console "cmd.exe" et lancer la commande suivante :
setspn -A HTTP/bluemind.domain.tld bmkrb |
La commande devrait retourner un résultat équivalent aux lignes suivantes :
Registering ServicePrincipalNames for CN=bmkrb,CN=Users,DC=domain,DC=tld HTTP/bluemind.domain.tld Updated object |
Lancer ensuite la commande suivante :
ktpass /out C:\hps.keytab /mapuser bmkrb@DOMAIN.TLD /princ HTTP/bluemind.domain.tld@DOMAIN.TLD /pass krbpwd /kvno 0 /ptype KRB5_NT_PRINCIPAL |
Le résultat devrait ressembler aux lignes suivantes :
Targeting domain controller: AD.domain.tld Using legacy password setting method Successfully mapped HTTP/bluemind.domain.tld to bmkrb. Output keytab to C:\hps.keytab |
Une fois l'authentification Kerberos activée, vous serez automatiquement authentifié si votre navigateur est bien configuré. Si vous voulez vous connecter en admin0 ou sur un autre domaine, allez sur la page : bm.domain.tld/native. |
Les chapitres suivants permettent de configurer l'authentification Kerberos "à la main". Toutefois ce paragraphe peut vous intéresser si le nom de votre domaine Kerberos est différent de celui du domaine BlueMind.
C:\hps.keytab
du serveur Kerberos sur le serveur BlueMind dans /etc/bm-hps/
/etc/bm/default/bm-hps.ini
vers /etc/bm/local/bm-hps.ini
bm-hps.ini
, jaas.conf
et krb5.ini
jaas.conf
et krb5.ini
dans le répertoire /etc/bm-hps
du serveur BlueMindCopier le contenu du fichier bm-hps.ini
dans le fichier précédemment copié /etc/bm/local/bm-hps.ini
jaas.conf
, modifier les informations suivantes :principal="HTTP/bluemind.domain.tld@DOMAIN.TLD"
krb5.ini
, modifier les informations suivantes :default_realm = DOMAIN.TLD
[ realms ]
, DOMAIN.TLD = { kdc = <ip_ad_server>:88 }
[ domain_realm ]
, domain.tld = DOMAIN.TLD
et .domain.tld = DOMAIN.TLD
Le nom du domaine ActiveDirectory doit impérativement être écrit en MAJUSCULES dans la configuration, sans quoi celle-ci ne fonctionnera pas. |
Depuis la version 3.0.7 de BlueMind, il est possible de mettre en place la reconnaissance de l'identification avec un domaine Kerberos différent du domaine BlueMind.
Pour cela, créer un nouveau fichier de configuration /etc/bm-hps/mappings.ini
sur le serveur avec le contenu suivant :
[bm_mappings] DOMAINEAD.LAN=domaineBM.vmw |
Où DOMAINEAD.LAN
est mon domaine AD, domaineBM.vmw
mon domaine BlueMind.
Une fois le fichier créé, redémarrer BlueMind :
# bmctl restart |
Le navigateur client peut considérer que le domaine BlueMind n'est pas de confiance. Il faut alors ajouter l'URL d'accès à BlueMind comme site de confiance dans le navigateur.
La configuration du site de confiance se fait dans la configuration des paramètres du navigateur. Pour cela :
dans la barre d'adresse du navigateur, taper :
about:config |
Dans le champs de recherche, taper :
trusted |
La configuration du site de confiance se fait dans la configuration des options Internet :
Chrome est basé sur la configuration d'Internet Explorer, il suffit donc sous Windows de faire la manipulation précédente afin que le site soit pris en compte.
Cependant, et sur les autres systèmes d'exploitation, il est possible de faire prendre en compte le site par la ligne de commande suivante :
google-chrome --auth-server-whitelist="*bluemind.domain.tld" |
Pour plus d'informations, vous pouvez consulter les pages suivantes :
http://sammoffatt.com.au/jauthtools/Kerberos/Browser_Support