Conditions préalables
La configuration de GSSAPI implique d'effectuer préalablement les opérations suivantes :
Méthode SASL-GSSAPI : installez la méthode SASL-GSSAPI. Reportez-vous à la section Installing a Login Method (Installation d'une méthode de login) du manuel NMAS 3.0 Administration Guide (Guide d'administration de NMAS 3.0).
NOTE: pour installer la méthode de login SASL-GSSAPI sous NetWare, suivez la même procédure que dans Windows.
Pour vérifier que SASL-GSSAPI est installé sur votre machine, entrez la commande suivante :
ldapsearch -x -h osg-dt-srv9 -b " " -s base | grep -i sasl
Si SASL-GSSAPI est installé, la commande donne un résultat similaire à celui-ci :
supportedSASLMechanisms: NMAS_LOGIN
Plug-in Kerberos pour iManager : installez le plug-in Kerberos pour iManager. Pour plus d'informations, reportez-vous à la section Installation du plug-in Kerberos pour iManager..
KDC : installez le centre de distribution de clés KDC Kerberos [MIT, Microsoft (Active Directory) ou Heimdal] sur le réseau.
Les outils Kerberos doivent être installés pour le KDC Microsoft (Active Directory). Ils font partie de l'installation de Windows et peuvent être installés en exécutant le fichier \support\tools\setup.exe du CD d'installation Windows.
Synchronisation horaire : pour que cette méthode fonctionne, synchronisez l'heure du poste client NMASTM, du serveur NMAS et de la machine KDC. Pour plus d'informations sur la synchronisation de l'heure réseau, reportez-vous à la section Synchronisation des heures réseau.
LDAP Libraries for C : installez les dernières bibliothèques LDAP libraries for C à l'emplacement par défaut (excepté sous Windows). Pour plus d'informations, consultez le site Web LDAP Libraries for C.
Extensions LDAP Kerberos : ajoutez les extensions LDAP Kerberos. Pour plus d'informations, reportez-vous à la section Ajout d'extensions LDAP Kerberos.
IMPORTANT: toutes les informations Kerberos collectées auprès de votre système d'administration Kerberos tiennent compte de la casse et doivent la respecter.
Hypothèses concernant les caractéristiques réseau
Le mécanisme SASL-GSSAPI se base sur les hypothèses suivantes :
- La synchronisation horaire de toutes les machines du réseau présente une souplesse relative, ce qui signifie que les heures des différentes machines diffèrent tout au plus de plus de cinq minutes.
- Le mécanisme SASL-GSSAPI est censé être utilisé principalement dans un environnement LAN vu la difficulté à respecter l'exigence de synchronisation horaire, mentionnée ci-dessus, dans des environnements MAN et/ou WAN. Ce mécanisme ne se limite toutefois pas au LAN.
- Vous faites entièrement et systématiquement confiance aux serveurs et administrateurs Kerberos.
- Une attaque de refus de service n'est pas contrée. Pour plus d'informations, consultez le site Web RFC 1510.
Installation du plug-in Kerberos pour iManager.
-
Ouvrez le navigateur.
-
Saisissez l'URL suivante dans le champ Adresse de la fenêtre du navigateur :
http://nom_hôte/nps/iManager.html
où nom_hôte est le nom ou l'adresse IP du serveur iManager sur lequel installer le plug-in iManager pour SASL-GSSAPI.
NOTE: en cas de problèmes, vérifiez que les serveurs Web et Tomcat sont configurés correctement. Pour plus d'informations, consultez le manuel iManager 2.5 Administration Guide (Guide d'administration de iManager 2.5).
-
Indiquez un nom d'utilisateur et un mot de passe pour vous loguer à eDirectory, puis cliquez sur Login.
-
Cliquez sur le bouton Configurer
dans la barre d'outils de iManager. -
Dans le volet gauche, cliquez sur Configuration du module > Installer le progiciel du module.
-
Indiquez l'emplacement du fichier kerberosPlugin.npm ou cliquez sur Parcourir pour le sélectionner.
L'ensemble des plug-ins se trouve à l'emplacement suivant :
dossier_extrait/<plate-forme(Linux, Solaris)>/nmas/NmasMethods/Novell/GSSAPI/plugins/, où dossier_extrait est le répertoire où vous avez extrait le fichier edir88.zip. Si vous avez déplacé le fichier kerberosPlugin.npm, accédez à son nouvel emplacement et sélectionnez le fichier.
-
Cliquez sur Installer.
Cette installation prendra quelques minutes.
NOTE: il se peut que le message d'erreur « Unexpected end of part » (Fin de partie inattendue) s'affiche pendant l'installation du progiciel du module si vous exécutez iManager sur un serveur Web IIS Windows avec Tomcat. Cela est dû à un problème connu lié au téléchargement de fichiers via le redirecteur Tomcat pour IIS. Pour effectuer correctement l'installation d'un progiciel de module, connectez-vous à iManager directement via Tomcat (par exemple, via le port 8080).
Par exemple, http://nom_hôte:8080/nps/iManager.html
Pour plus d'informations, consultez le manuel iManager 2.5 Administration Guide (Guide d'administration de iManager 2.5).
-
Redémarrez le serveur iManager après avoir reçu un message indiquant la réussite de l'enregistrement du module.
Si vous exécutez iManager en mode Accès illimité (aucune collection RBS dans l'arborescence), ignorez les étapes 9 à 15.
NOTE: pour plus d'informations sur le redémarrage du serveur iManager, consultez le manuel iManager 2.5 Administration Guide (Guide d'administration de iManager 2.5).
-
Loguez-vous à iManager, puis cliquez sur le bouton Configurer
. -
Dans le volet gauche, cliquez sur Configuration RBS > Configurer iManager.
-
(Conditionnel) Si vous avez déjà créé une collection RBS, sélectionnez Mettre à niveau des collections, puis cliquez sur Suivant > Suivant.
-
(Conditionnel) Si vous n'avez pas de collection RBS, procédez comme suit :
-
Sélectionnez le plug-in Kerberos Novell, assignez une étendue (nom d'arborescence ou n'importe quel conteneur), puis cliquez sur Démarrer pour terminer l'installation du plug-in iManager pour la configuration Kerberos.
NOTE: cette opération conférera des droits Superviseur à l'étendue sélectionnée pour le rôle Kerberos Management (Gestion Kerberos).
-
Lorsque le message Terminé s'affiche, cliquez sur Fermer.
-
Rafraîchissez la page.
Le rôle Kerberos Management s'affiche dans le volet gauche.
Si ce n'est pas le cas, redémarrez le serveur iManager comme indiqué à l'étape 8 ci-dessus.
NOTE: si le serveur iManager est exécuté sur les services Web Windows (IIS), une collection RBS doit être créée avant d'installer le plug-in iManager pour Kerberos NMAS.
Ajout d'extensions LDAP Kerberos
Les extensions LDAP Kerberos permettent de gérer les clés Kerberos.
L'utilisation des extensions LDAP Kerberos nécessite l'installation de LDAP libraries for C. Pour plus d'informations, consultez le site Web LDAP Libraries for C.
Pour ajouter ou supprimer des extensions LDAP Kerberos, employez l'utilitaire krbldapconfig disponible aux emplacements suivants :
Linux : dossier_extrait/Linux/nmas/NmasMethods/Novell/GSSAPI/Kerberos_ldap_extensions/Linux/krbldapconfig
Par exemple :
/misc/eDir88/Linux/nmas/NmasMethods/Novell/GSSAPI/Kerberos_ldap_extensions/Linux/krbldapconfig
Solaris : dossier_extrait/Solaris/nmas/NmasMethods/Novell/GSSAPI/Kerberos_ldap_extensions/Solaris/krbldapconfig
Par exemple :
/misc/eDir88/Linux/nmas/NmasMethods/Novell/GSSAPI/Kerberos_ldap_extensions/Linux/krbldapconfig
NetWare® et Windows :
Sous NetWare, vous pouvez exécuter le fichier krbldapconfig sur n'importe quelle autre plate-forme.dossier_extrait/Windows/nmas/NmasMethods/Novell/GSSAPI/Kerberos_ldap_extensions/Windows/krbldapconfig
Par exemple :
/misc/eDir88/Linux/nmas/NmasMethods/Novell/GSSAPI/Kerberos_ldap_extensions/Windows/krbldapconfig
Pour ajouter les extensions LDAP Kerberos, utilisez la syntaxe suivante :
krbldapconfig {-i | -u} -D DN_liaison [-w mot_de_passe_DN_liaison] [-h hôte_ldap] [-p port_ldap] [-e certificat_racine_approuvée]
Le tableau suivant décrit les paramètres de l'utilitaire krbldapconfig :
| Paramètre | Description |
|---|---|
-i |
Ajoute les extensions LDAP Kerberos à eDirectory. |
-u |
Supprime les extensions LDAP Kerberos de eDirectory. |
-D FDN_liaison |
Indique le FDN de l'administrateur ou de l'utilisateur disposant de droits équivalents. Il doit avoir le format suivant cn=admin,o=org. |
-w mot_de_passe_FDN_liaison |
Indique le mot de passe du FDN de liaison (FDN_liaison). |
-h serveur_ldap |
Indique le nom d'hôte ou l'adresse IP du serveur LDAP où doivent être installées les extensions LDAP Kerberos. |
-p port |
Indique le port sur lequel est exécuté le serveur LDAP. |
-e fichier_racine_approuvée |
Indique le nom du fichier de certificat de racine approuvée pour la liaison SSL. Si vous utilisez un port SSL, spécifiez l'option -e. Pour plus d'informations, reportez-vous à la section Exportation du certificat de racine approuvée. |
NOTE: si l'option -h n'est pas spécifiée, le nom de l'hôte local à partir duquel le fichier krbldapconfig est appelé est utilisé par défaut.
Si aucun port de serveur LDAP ni certificat de racine approuvée ne sont spécifiés, le port 389 est utilisé par défaut.
Si aucun port de serveur LDAP n'est spécifié, mais qu'un certificat de racine approuvée est indiqué, le port 636 est utilisé par défaut.
Par exemple, entrez la commande suivante pour ajouter les extensions :
krbldapconfig -i -D cn=admin,o=org -w mot_de_passe -h serveur_ldap -p 389
Entrez la commande suivante pour supprimer des extensions :
krbldapconfig -u -D cn=admin,o=org -w mot_de_passe -h serveur_ldap -p 389
IMPORTANT: le serveur LDAP doit être actualisé manuellement pour que les modifications apportées à l'installation soient prises en compte. Pour plus d'informations, reportez-vous à la section Rafraîchissement du serveur LDAP.
Exportation du certificat de racine approuvée
-
Dans iManager, cliquez sur Administration de eDirectory > Modifier un objet pour ouvrir la page correspondante.
-
Cliquez sur Objet unique, puis sélectionnez l'objet Certificat de serveur du serveur.
-
Cliquez sur OK.
-
Cliquez sur l'onglet Certificats, puis sélectionnez Certificat de racine approuvée pour afficher les informations relatives au certificat.
-
Cliquez sur Exporter pour lancer l'Assistant d'exportation du certificat.
-
Indiquez si vous souhaitez ou non exporter la clé privée, puis cliquez sur Suivant.
-
Sélectionnez Fichier au format DER binaire, puis cliquez sur Suivant.
-
Cliquez sur Enregistrer le certificat exporté dans un fichier.
-
Cliquez sur Fermer.