Maintenant que nous disposons de notre serveur de tickets, il est désormais intéressant de se pencher sur les utilisations possibles - point de vue utilisateur. Cet article présente comment utiliser un ticket kerberos pour s'authentifier auprès d'un site web servi par apache.
Pour cela nous aurons besoin du libapache2-mod-auth-kerb et d'un principal en HTTP/nom.de.machine@REALM
Configuration apache2:
AuthName "Secure Access"
AuthType Kerberos
Krb5Keytab /etc/apache2/krb5.keytab
KrbMethodK5Passwd off
KrbSaveCredentials on
require valid-user
Et stocker le principal dans un fichier spécifique accessible par le serveur web:
kadmin: ktadd -k /etc/apache2/krb5.keytab HTTP/fqdn@REALM
Pour l'instant seul firefox est à même (a ma connaissance) de transférer un ticket MIT-Kerberos sous windows et sous linux via le Negotiate Auth de HTTP. Il faut toutefois le configurer pour autoriser ce comportement, via la préférence network.negotiate-auth.trusted-uris (exemple de valeur: https://,asyd.net,sysadmin.net).
Sous windows (2000 et +) il faut en plus rajouter une préférence de type booléenne network.auth.use-sspi et la configurer
à false, sinon il utilise les fonctions d'active directory et cela ne passe pas.
Note: Les dernières releases de kerberos for windows (3.2.x) s'intègrant de mieux en mieux au système de sécurité de MS(c), ce besoin disparaîtra peut-être à terme.