IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

centos ldap kerberos


Sujet :

Sécurité

  1. #1
    Membre confirmé
    Profil pro
    Inscrit en
    Février 2005
    Messages
    390
    Détails du profil
    Informations personnelles :
    Localisation : France, Vaucluse (Provence Alpes Côte d'Azur)

    Informations forums :
    Inscription : Février 2005
    Messages : 390
    Points : 465
    Points
    465
    Par défaut centos ldap kerberos
    Bonjour à tous.
    Je souhaite mettre en place dans l'entreprise ou je travaille un royaume kerberos (MIT) avec ldap en backend pour l'ensemble de nos utilisateurs internes/externes et services réseaux, enfin au moins les plus critique : mails, http (intranet/extranet sur apache/php), sshd, cifs et nfs, mysql.
    Le but est de fournir en interne et en externe un solution de sso, avoir un politique de gestion de mot de passe plus drastique, obtenir une sécurité accrue et une authentification centralisé.
    Je dispose d'une vingtaine de serveur centos (5 et 6) et de quelques synology.
    Un active directory qui s'appuie sur 4 controleurs de domaines répartis sur 4 agences est deja en place. Celui-ci fait bien son travail, mais il en gère deja beaucoup à mon gout : déploiement de logiciel (trés nombreux et trés fréquents). Environ 50 PC sous windows et une trentaine d'utilisateurs . Aussi, je ne souhaite pas utiliser l'utiliser pour authentifier des utilisateurs qui n'ont pas à avoir de droit sur l'espace bureautique. Je ne veux pas trop le toucher pour ne pas casser ce qui est deja en place.

    Niveau applicatif :
    - outre les services réseaux déja cités, nous avons de multiples applicatifs installés sur notre parc. Certains sont developés par nos soins (intranet, extranet, applicatif métiers), d'autres sont des produits opensource (ex nagios/centreon, glpi, dotproject ...)
    Niveau population utilisateurs :
    - en interne :
    - certains disposent d'un compte active directory car ils doivent pouvoir accéder aux fichiers de bureautique : ex chefs d'agence, developpeur, exploitant, chef de projets, assistante administrative. Pour cette population d'utilisateur, je souhaite implementer la cross-realm authentification entre l'active directory et le nouveau royaume à créer.
    - d'autres utilisateurs (opérateur de saisie) ne disposent pas de compte active directory, il se loggue avec un utilisateur générique sur les stations Windows mais doivent pouvoir accéder à un intranet, à des sites clients et à un applicatif métiers developés en C# de manière nominative. Ils ont également un compte mail, un compte glpi,dotproject. Ces utilisateurs ne diposeraient d'un compte que sur le royaume à créer.
    - Constat: pour chacun des applicatifs, nous devons crée un compte utilisateur.C'est lourd, inefficace, chronophage. Pour que l'utilisateur n'est pas à se rapeller des dizaines de mot de passe nous avions l'habitude de mettre le même de partout. Ce n'est plus faisable, la politique de gestion de mot de passe s'alonge et n'est plus appliqué.
    - en externe :
    - il s'agit d'utilisateur faisant généralement partie de grand groupe français. Ils disposent donc d'un compte utilisateur sur leur réseau . Ils doivent pouvoir accéder à un extranet chez nous. De plus en plus, nos clients nous demande si l'on dispose d'une solution de sso, cela serait donc un avantage concurentiel indéniable pour l'entreprise. La aussi la cross realm-authentification serait certainement une solution, de ce que j'ai pu en lire.

    Voila donc pour le constat.
    Cela fait maintenant 50 heures que je passe rien que sur la création d'un royaume de test afin de poser les premières briques et de designer la base LDAP.
    J'arrive à faire fonctionner Kerberos et LDAP independament l'un de l'autre.
    Sur kerberos, j'arrive à obtenir un tgt et à un moment j'arrivais à obtenir un tgs (pour ssh). Comme j'ai repris plusieurs fois du tout départ, j'ai finis par casser cette partie.
    J'arrive à me connecter au service LDAP et à l'interroger avec ldapsearch. Il n'est pour l'instant pas passer en tls. Je pense que cela est obligatoire pour faire communiquer Kerberos et LDAP.
    Mais impossible de les faire fonctionner de concert. En gros, ils arrivent pas à communiquer.
    N'ayant pas trouver en googlisant une procédure, un tut pour centos, j'ai du mixé ce que j'ai pu trouver pour Ubuntu, Debian. Certains tuts commencent par kerberos, d'autre par ldap. Je m'y perds. J'ai également fait acheter un petit peu de literature sur le sujet: Kerberos the definitive Guide(O'reilly), Annuaire LDAP 2° edition(Eyrolles), LDAP sytem administration (O'reilly) et enfin Understanding and Deploying LDAP directory Services second edition. Chacun est trés bien dans sa partie mais aucun n'explique comment implementé ces deux services.


    Désolé c'est un peu long, mais je crois que cela méritais au moins ça pour illustrer le contexte. Merci donc à ceux qui ont eu la patience de lire jusqu'ici.
    Passons donc aux questions, parce qu'il faut bien qu'il y en est.
    - Est ce que quelqu'un connait une bonne référence sur internet, en bouquin, un tut, de mise en place de LDAP+Kerberos sur CentOS?
    - j'ai beaucoup de mal à planifier et obtenir une estimation de la mise en place d'un tel système. Quelqu'un aurait il un retour d'experience?
    - apres avoir suivi point par point chacun des tutos, j'arrive trés souvent sur les mêmes erreurs. ex : dans la log : krb5kdc: Error reading password from stash: Aucun fichier ou dossier de ce type - while initializing database for realm ....
    Lors du service krb5kdc start, j'ai souvent ceci krb5kdc: cannot initialize realm .... - see log file for details; sauf qu'il n'y a pas plus d'explication dans le fichier de log. Y'aurait il un loglevel caché dans kerberos?

    Merci pour vos retours.

  2. #2
    Membre éclairé Avatar de messinese
    Homme Profil pro
    IT Security Consultant
    Inscrit en
    Septembre 2007
    Messages
    429
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : IT Security Consultant
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Septembre 2007
    Messages : 429
    Points : 877
    Points
    877
    Par défaut
    Salut,

    j'avoue avoir manqué de courage et donc ne pas avoir tout lu mais d'aprés la premeire question et pour avoir mis en place une telle procédure l'an passé je ne peux que te recommander:

    http://www.centrify.com/products/act...ntos-linux.asp

    http://www.centrify.com/express/free...-linux-mac.asp

    Une version free de Centrify suite existe et permet d'automatiser la chose en 2 minutes.

    Honnetement c'est un gain de temps énorme car a la mano tu en as pour un moment, aprés si tu y tiens...

    Si tu as d'autre question et si j'ai un peu de temps je serai ravis d'en parler.

    Cordialement.

  3. #3
    Membre confirmé
    Profil pro
    Inscrit en
    Février 2005
    Messages
    390
    Détails du profil
    Informations personnelles :
    Localisation : France, Vaucluse (Provence Alpes Côte d'Azur)

    Informations forums :
    Inscription : Février 2005
    Messages : 390
    Points : 465
    Points
    465
    Par défaut
    merci pour ta réponse.

    Je vais m’intéresser à ce produit.

    Et n'hésiterais pas à revenir vers toi si j'ai des questions.

    Merci encore

  4. #4
    Membre habitué
    Profil pro
    Inscrit en
    Novembre 2009
    Messages
    75
    Détails du profil
    Informations personnelles :
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations forums :
    Inscription : Novembre 2009
    Messages : 75
    Points : 159
    Points
    159
    Par défaut
    Salut,

    J'ai utilisé Linux Magazine #143 comme référence pour un projet SSO mais je l'ai utilisé avec AD (kerberos + ldap).
    http://numerique.ed-diamond.com/prod...erence=lmag143

    Cdt

Discussions similaires

  1. Réponses: 0
    Dernier message: 26/05/2014, 16h00
  2. CentOs Windwind Kerberos Samba
    Par Hurin dans le forum Réseau
    Réponses: 1
    Dernier message: 01/05/2012, 13h59
  3. Synchroniser Open-Xchange 6 avec un LDAP sous CentOS 5
    Par nero1981 dans le forum Applications et environnements graphiques
    Réponses: 0
    Dernier message: 17/12/2008, 14h42
  4. config kerberos ldap
    Par nsm_a dans le forum Sécurité
    Réponses: 0
    Dernier message: 20/05/2008, 01h25
  5. MS-Sql - Kerberos/LDAP - Question Authentification
    Par MailOut dans le forum MS SQL Server
    Réponses: 3
    Dernier message: 10/01/2007, 11h44

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo