Ajouter à une liste de lectureL'intégration des applications à une infrastructure Kerberos, ou kerberisation, peut se faire de deux manières différentes. La première, l'authentification Kerberos à proprement parler, consiste à utiliser le mécanisme décrit précédemment, à base de tickets, entre le client et le serveur (figure 1). Il faut bien évidemment un support explicite pour ce mécanisme au niveau du client et du serveur, mais également dans le protocole utilisé.
Il s'agit donc d'une contrainte forte, nécessitant souvent de pouvoir revenir à un mécanisme plus classique comme solution de repli pour être utilisable dans un contexte hétérogène.
La seconde, la validation des mots de passe via Kerberos, ne fait que remplacer la façon dont le serveur vérifie le mot de passe que lui transmet le client de manière tout à fait classique, en se servant de celui-ci pour obtenir un ticket depuis le KDC (figure 2). Cette solution ne nécessite donc aucun support particulier au niveau du client et du protocole, mais elle n'apporte aucun des avantages liés à Kerberos. En particulier, ni le confort du SSO, ni la sécurité associée. Il est donc important de bien faire la distinction entre les deux.
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
Par le(s) même(s) auteur(s)
Kerberos, le SSO universel : 3- Subtilités diverses et mise en œuvre avancée
La partie précédente a montré l'utilisation de Kerberos au sein de différentes applications, à partir de cas d'école. Néanmoins, les cas réels sont généralement plus complexes et certains détails viennent parfois compliquer la donne. Cette partie présente donc certains problèmes de mise en œuvre de Kerberos et la façon d'y remédier.
Kerberos, le SSO universel : 4- Relation de confiance entre royaumes
Jusqu'ici, les exemples présentés concernaient l'accès à des ressources appartenant au même royaume Kerberos que l'utilisateur. Or, ceci n'est pas toujours le cas dans la réalité, lorsqu'il existe plusieurs royaumes Kerberos différents au sein d'une même entité. Cette situation peut être volontaire, les différents royaumes jouant une fonction de cloisonnement, ou non, typiquement lorsqu'un domaine Active Directory est mis en place pour gérer un parc de machines Windows et qu'il vient avec son propre royaume Kerberos.