https://smtp.nain-t.net/ 2026-05-06T11:38:47+00:00 https://smtp.nain-t.net/ https://smtp.nain-t.net/lib/exe/fetch.php/wiki:dokuwiki.svg text/html 2018-06-30T15:56:58+00:00 Anonymous (anonymous@undisclosed.example.com) https://smtp.nain-t.net/doku.php/320kerberos:05_le_but?rev=1530374218&do=diff Principe général Dans le schéma qui suit, nous avons : * un utilisateur qui a ouvert une session sur une station de travail ; * un serveur kerberos, qui abrite deux services distincts : * un service d'authentification ; * un service d'attribution de tickets d'accès à divers services ; text/html 2018-06-30T15:57:11+00:00 Anonymous (anonymous@undisclosed.example.com) https://smtp.nain-t.net/doku.php/320kerberos:10_manip_simple?rev=1530374231&do=diff Démonstration simple Voyons tout d'abord comment ça se présente du côté de l'utilisateur à peine averti, sur une plateforme de tests très rudimentaire. Le décor de la scène Grâce aux avantages de KVM nous pouvons disposer d'autant de machines que nous le souhaitons, profitons-en. text/html 2018-06-30T15:58:05+00:00 Anonymous (anonymous@undisclosed.example.com) https://smtp.nain-t.net/doku.php/320kerberos:20_installation?rev=1530374285&do=diff Installation de la plateforme Kerberos nous l'avons vu, est un protocole complexe, qui fait intervenir pas mal de concepts. Les mettre en œuvre dans une démarche plus pragmatique, n'est pas superflu. L'architecture Nous disposons d'un réseau IP 192.168.0.0/24, dans lequel un domaine text/html 2018-06-30T15:58:19+00:00 Anonymous (anonymous@undisclosed.example.com) https://smtp.nain-t.net/doku.php/320kerberos:30_kdc?rev=1530374299&do=diff Configuration du KDC Le Key Distribution Center est la pièce maitresse de l'usine. Il assure deux fonctions: * l'authentification des utilisateur (AS comme Authentication Server) ; * la distribution de tickets d'autorisation pour les services que souhaite obtenir l'utilisateur (TGS comme Ticket Granting Server). text/html 2018-06-30T15:58:30+00:00 Anonymous (anonymous@undisclosed.example.com) https://smtp.nain-t.net/doku.php/320kerberos:40_workstation?rev=1530374310&do=diff La station de travail Nous l'avons vu, il suffit d'y installer le paquet krb5-user. Ensuite, nous copions dessus le fichier /etc/krb5.conf que nous avons créé sur le KDC, sans rien y modifier, du moins pour l'instant. Vérifications diverses Enfin, il nous suffit de vérifier que tout ça fait le boulot : text/html 2018-06-30T15:58:44+00:00 Anonymous (anonymous@undisclosed.example.com) https://smtp.nain-t.net/doku.php/320kerberos:50_apache?rev=1530374324&do=diff Configuration d'apache-krb Le serveur apache-krb.maison.mrs va fournir un service http nécessitant une authentification kerberos. Nous allons donc installer ce qui est nécessaire : * un système de synchronisation de l'horloge (NTP) ; * un serveur apache classique ; text/html 2018-06-30T15:59:00+00:00 Anonymous (anonymous@undisclosed.example.com) https://smtp.nain-t.net/doku.php/320kerberos:60_plus?rev=1530374340&do=diff Compléments Un serveur http kerbérisé, c'est bien pour la démo, mais dans ce cas, kerberos ne prend en charge que l'authentification, tout le reste du dialogue http sera en clair. Dans la pratique, https sera sans doute plus indiqué pour un site sensible. Il suffit juste de transformer son serveur http en https, ce n'est pas très compliqué et ce n'est pas l'objet de ce chapitre. text/html 2018-06-30T15:56:46+00:00 Anonymous (anonymous@undisclosed.example.com) https://smtp.nain-t.net/doku.php/320kerberos:start?rev=1530374206&do=diff Kerberos Cerbère (Κέρβερος en grec ancien), animal mythique représenté par un chien à plusieurs têtes (traditionnellement trois), a pour principale fonction d'empêcher ceux que Charon a menés de l'autre côté du Styx de faire le voyage dans l'autre sens. Éventuellement, il peut même servir à empêcher les touristes qui voudraient traverser le Styx sans passer par les services de Charon.