Jusqu'ici, les exemples présentés concernaient l'accès à des ressources appartenant au même royaume Kerberos que l'utilisateur. Or, ceci n'est pas toujours le cas dans la réalité, lorsqu'il existe plusieurs royaumes Kerberos différents au sein d'une même entité. Cette situation peut être volontaire, les différents royaumes jouant une fonction de cloisonnement, ou non, typiquement lorsqu'un domaine Active Directory est mis en place pour gérer un parc de machines Windows et qu'il vient avec son propre royaume Kerberos.
Comme vu précédemment, le principe de base de l'authentification Kerberos consiste à présenter un ticket d'accès à une ressource. Ce ticket s'obtient auprès du KDC du royaume Kerberos auquel appartient cette ressource, à condition de pouvoir s'y authentifier. Le mécanisme de SSO consiste à s'authentifier une fois auprès du service d'authentification (AS) via un secret partagé entre l'utilisateur et le KDC, le mot de passe, lors du dialogue AS-REQ/AS-REP, puis à s'authentifier ensuite autant de fois que nécessaire auprès du service de tickets (TS) via le ticket récupéré à l'étape précédente, lors du dialogue AS-REQ/AS-REP (figure 1).
Figure 1 : Accès à une ressource du royaume de l'utilisateur
Dans le cas où cette ressource appartient à un autre royaume, il n'y a plus de secret partagé entre l'utilisateur et le KDC susceptible de délivrer le ticket souhaité et donc, aucune possibilité d'initier le mécanisme (figure 2).
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
Par le(s) même(s) auteur(s)
Les derniers articles Premiums
Les derniers articles Premium
Utilisation avancée de SQLPage
Poursuivons notre découverte de SQLPage en explorant certaines de ses fonctionnalités avancées qui sont généralement indispensables à tous sites ou applications. Dans cet article, nous allons parler de PostgreSQL, d’authentification et de gestion des droits.
Déployer un cluster AMQ Streams avec Ansible
Automatiser entièrement le déploiement d’un cluster Red Hat AMQ Streams est possible… en utilisant Ansible et sa collection dédiée au produit. Démonstration par l’exemple.
Bénéficiez de statistiques de fréquentations web légères et respectueuses avec Plausible Analytics
Pour être visible sur le Web, un site est indispensable, cela va de soi. Mais il est impossible d’en évaluer le succès, ni celui de ses améliorations, sans établir de statistiques de fréquentation : combien de visiteurs ? Combien de pages consultées ? Quel temps passé ? Comment savoir si le nouveau design plaît réellement ? Autant de questions auxquelles Plausible se propose de répondre.
Quarkus : applications Java pour conteneurs
Initié par Red Hat, il y a quelques années le projet Quarkus a pris son envol et en est désormais à sa troisième version majeure. Il propose un cadre d’exécution pour une application de Java radicalement différente, où son exécution ultra optimisée en fait un parfait candidat pour le déploiement sur des conteneurs tels que ceux de Docker ou Podman. Quarkus va même encore plus loin, en permettant de transformer l’application Java en un exécutable natif ! Voici une rapide introduction, par la pratique, à cet incroyable framework, qui nous offrira l’opportunité d’illustrer également sa facilité de prise en main.