La partie précédente a montré l'utilisation de Kerberos au sein de différentes applications, à partir de cas d'école. Néanmoins, les cas réels sont généralement plus complexes et certains détails viennent parfois compliquer la donne. Cette partie présente donc certains problèmes de mise en œuvre de Kerberos et la façon d'y remédier.
1. Identification de service
Nous avons vu précédemment que les noms de principaux à utiliser pour les services kerberisés étaient basés sur le nom de la machine qui les héberge. Cependant, il existe de nombreuses manières de désigner la même machine :
-son adresse IP,
-son nom pleinement qualifié,
-son nom non qualifié.
Bien entendu, une machine peut posséder plusieurs adresses et plusieurs noms, notamment dans le cas des hôtes virtuels HTTP, ce qui augmente encore le nombre de possibilités. Or, Kerberos fournit une authentification réciproque, c'est-à-dire qu'il garantit non seulement l'identité de l'utilisateur au service, mais également celle du service à l'utilisateur. Il faut donc pouvoir établir un lien entre l'identifiant utilisé par cet utilisateur, qui peut donc être variable, et la preuve de cette identité, qui elle correspond à un identifiant précis.
Pour rappeler un cas mieux connu, le problème se pose exactement de la même...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première