http://irp.nain-t.net/ 2010-03-10T09:26:26+01:00 http://irp.nain-t.net/ http://irp.nain-t.net/lib/images/favicon.ico text/html 2010-03-06T10:12:37+01:00 Christian Caleca http://irp.nain-t.net/doku.php/320kerberos:70_kerberos-ad?rev=1267866757&do=diff Puisque nous avons, bon gré, mal gré, un domaine Microsoft avec des contrôleurs de domaine Active Directory (Windows 2008), voyons un peu comment profiter du cerbère Microsoft. Nous allons voir ceci au travers de deux exemples : * le proxy squid, nous le savons maintenant, peut utiliser kerberos. Nous allons ici utiliser notre base de comptes Active Directory ; * ssh sait utiliser GSSAPI, il est donc possible de permettre à certains utilisateurs d'ouvrir une session ssh sur des hôtes GNU/Li… text/html 2010-03-06T10:12:02+01:00 Christian Caleca http://irp.nain-t.net/doku.php/320kerberos:60_plus?rev=1267866722&do=diff Un serveur http kerbérisé, c'est bien pour la démo, mais dans ce cas, kerberos ne prend en charge que l'authentification, tout le reste du dialogue http sera en clair. Dans la pratique, https sera sans doute plus indiqué pour un site sensible. Il suffit juste de transformer son serveur http en https, ce n'est pas très compliqué et ce n'est pas l'objet de ce chapitre. text/html 2010-03-06T10:11:30+01:00 Christian Caleca http://irp.nain-t.net/doku.php/320kerberos:50_apache?rev=1267866690&do=diff Le serveur apache-krb.maison.mrs va fournir un service http nécessitant une authentification kerberos. Nous allons donc installer ce qui est nécessaire : * un système de synchronisation de l'horloge (NTP) ; * un serveur apache classique ; * les composants kerberos nécessaires. text/html 2010-03-06T10:10:50+01:00 Christian Caleca http://irp.nain-t.net/doku.php/320kerberos:40_workstation?rev=1267866650&do=diff Nous l'avons vu, il suffit d'y installer le paquet krb5-user. Ensuite, nous copions dessus le fichier /etc/krb5.conf que nous avons créé sur le KDC, sans rien y modifier, du moins pour l'instant. Vérifications diverses Enfin, il nous suffit de vérifier que tout ça fait le boulot : text/html 2010-03-06T10:10:33+01:00 Christian Caleca http://irp.nain-t.net/doku.php/320kerberos:30_kdc?rev=1267866633&do=diff Le Key Distribution Center est la pièce maitresse de l'usine. Il assure deux fonctions: * l'authentification des utilisateur (AS comme Authentication Server) ; * la distribution de tickets d'autorisation pour les services que souhaite obtenir l'utilisateur (TGS comme Ticket Granting Server). text/html 2010-03-06T10:10:09+01:00 Christian Caleca http://irp.nain-t.net/doku.php/320kerberos:20_installation?rev=1267866609&do=diff Kerberos nous l'avons vu, est un protocole complexe, qui fait intervenir pas mal de concepts. Les mettre en œuvre dans une démarche plus pragmatique, n'est pas superflu. L'architecture Nous disposons d'un réseau IP 192.168.0.0/24, dans lequel un domaine DNS « en bois » a été créé : maison.mrs. Un serveur DNS est donc en mesure d'effectuer toutes les recherches directes dans ce domaine ainsi que les recherches inverses associées. Kerberos aime bien que les DNS soient propres. text/html 2010-03-06T10:09:43+01:00 Christian Caleca http://irp.nain-t.net/doku.php/320kerberos:10_manip_simple?rev=1267866583&do=diff Voyons tout d'abord comment ça se présente du côté de l'utilisateur à peine averti, sur une plateforme de tests très rudimentaire. Le décor de la scène Grâce aux avantages de KVM nous pouvons disposer d'autant de machines que nous le souhaitons, profitons-en. text/html 2010-03-06T10:09:25+01:00 Christian Caleca http://irp.nain-t.net/doku.php/320kerberos:05_le_but?rev=1267866565&do=diff Dans le schéma qui suit, nous avons : * un utilisateur qui a ouvert une session sur une station de travail ; * un serveur kerberos, qui abrite deux services distincts : * un service d'authentification ; * un service d'attribution de tickets d'accès à divers services ; text/html 2010-03-06T10:08:59+01:00 Christian Caleca http://irp.nain-t.net/doku.php/320kerberos:start?rev=1267866539&do=diff Cerbère (Κέρβερος en grec ancien), animal mythique représenté par un chien à plusieurs têtes (traditionnellement trois), a pour principale fonction d'empêcher ceux que Charon a menés de l'autre côté du Styx de faire le voyage dans l'autre sens. Éventuellement, il peut même servir à empêcher les touristes qui voudraient traverser le Styx sans passer par les services de Charon. text/html 2010-03-06T10:07:45+01:00 Christian Caleca http://irp.nain-t.net/doku.php/165dhcp:40-analyse_protocole?rev=1267866465&do=diff Premier démarrage de la station Résumé de la capture No. Time Source Destination Protocol Info 1 66.901361 0.0.0.0 255.255.255.255 DHCP DHCP Discover - Transaction ID 0xc0b5592f 2 66.901867 192.168.0.252 192.168.0.67 ICMP Echo (ping) request 3 67.902846 192.168.0.252 192.168.0.67 DHCP DHCP Offer - Transaction ID 0xc0b5592f 4 67.904780 0.0.0.0 25… text/html 2010-03-06T10:07:28+01:00 Christian Caleca http://irp.nain-t.net/doku.php/165dhcp:30-client_dhcp?rev=1267866448&do=diff Tout système d'exploitation (y compris MS Windows™ depuis l'antique version 95) dispose d'un client DHCP dont le rôle est de rechercher sur le réseau un serveur DHCP et de négocier avec lui une configuration IP cohérente. Si le poste de travail est correctement configuré, le client DHCP s'occupera de tout. text/html 2010-03-06T10:07:06+01:00 Christian Caleca http://irp.nain-t.net/doku.php/165dhcp:20-serveur_dhcp?rev=1267866426&do=diff Topologie du réseau Nous allons prendre une configuration simple, avec une machine GNU/Linux qui va cumuler plusieurs fonctions : * Passerelle entre le réseau local et l'internet (notre « box » ne sera ici qu'un simple modem ADSL) ; * firewall ; * serveur DHCP ; * serveur DNS. (Pourquoi pas, puisqu'on est dans le luxe...). text/html 2010-03-06T10:06:29+01:00 Christian Caleca http://irp.nain-t.net/doku.php/165dhcp:10-protocole_dhcp?rev=1267866389&do=diff Position du problème Lorsque vous connectez une machine à un réseau Ethernet TCP/IP, cette machine, pour fonctionner correctement, doit disposer : * D'une adresse IP unique dans votre réseau et appartenant au même réseau logique que toutes les autres machines du réseau en question, * un masque de sous réseau, le même pour tous les hôtes du réseau, * une adresse de DNS, pour pouvoir résoudre les noms des hôtes, surtout si votre réseau est connecté au Net, * l'adresse de la passerelle … text/html 2010-03-06T10:05:46+01:00 Christian Caleca http://irp.nain-t.net/doku.php/165dhcp:start?rev=1267866346&do=diff Il s'agit d'un protocole qui permet dynamiquement d'attribuer une adresse IP à un système informatique qui se connecte au réseau. Le serveur DHCP fournit également d'autres informations, comme la passerelle par défaut et le DNS (et éventuellement bien d'autres choses encore).