E.5 Gestion de la méthode SASL-GSSAPI

iManager vous permet d'effectuer les opérations Kerberos suivantes :

E.5.1 Extension du schéma Kerberos

Cette tâche permet d'étendre votre schéma eDirectory en ajoutant des définitions d'attributs et une classe d'objet Kerberos.

  1. Si le schéma n'a pas déjà été étendu, cliquez sur OK pour l'étendre.

  2. Dans iManager, cliquez sur Administration Kerberos > Étendre le schéma pour ouvrir la page correspondante.

    Si le schéma a été étendu, un message affiche son état.

  3. Cliquez sur Fermer.

E.5.2 Gestion de l'objet Domaine Kerberos

Un domaine est un réseau logique desservi par un ensemble de centres de distribution de clés (KDC - Key Distribution Center). En d'autres termes, un domaine est un espace ou un groupement de principaux desservis par un ensemble de KDC. L'usage veut que les noms de domaine Kerberos soient en lettres majuscules pour les distinguer des domaines Internet. Pour plus d'informations, reportez-vous au fichier RFC 1510.

Cette section fournit les informations suivantes :

Création d'un objet Domaine

Le type de chiffrement par défaut pris en charge est DES-CBC-CRC.

  1. Dans iManager, cliquez sur Administration Kerberos > Nouveau domaine pour ouvrir la page correspondante.

  2. Indiquez un nom pour le domaine Kerberos à créer.

    Le nom de domaine doit être le même que celui avec lequel vous voulez configurer cette méthode de connexion, et il doit être conforme aux conventions RFC 1510.

  3. Indiquez un mot de passe principal pour le domaine, puis confirmez-le.

    REMARQUE :veillez à utiliser un mot de passe principal complexe.

  4. Spécifiez les sous-arborescences et la référence du conteneur principal avec lesquelles vous souhaitez configurer le domaine Kerberos, ou utilisez l'icône Sélecteur d'objet pour effectuer votre sélection.

    Il s'agit du FDN de la sous-arborescence ou du conteneur qui renferme les principaux de service eDirectory de ce domaine. Cette sous-arborescence n'est pas applicable aux principaux Utilisateur.

  5. Indiquez l'étendue de la recherche dans la sous-arborescence :

    • Un niveau : effectue la recherche dans les subordonnés immédiats de la sous-arborescence de domaine.

    • Sous-arborescence : effectue la recherche dans l'ensemble de la sous-arborescence en commençant par la sous-arborescence du domaine.

  6. Cliquez sur OK.

REMARQUE :la case Services KDC n'est pas utilisée dans SASL-GSSAPI.

REMARQUE :Si un domaine Kerberos pour l'authentification LDAP SASL GSSAPI doit être configuré dans l'arborescence par un administrateur de conteneurs eDirectory, l'administrateur de l'arborescence doit effectuer les opérations suivantes :

  1. Veillez à ce que l'objet Conteneur de sécurité (cn=security) possède la classe d'objet krbContainerRefAux et à ce que l'attribut krbContainerReference soit défini sur le conteneur Kerberos.

  2. Accordez à l'administrateur des conteneurs un droit d'accès en lecture sur l'attribut krbContainerReference.

  3. Créez un conteneur de domaine dans le conteneur Kerberos. Le nom du conteneur doit être identique au nom du nouveau domaine en cours de création et la classe d'objet doit être krbRealmContainer.

  4. Accordez à l'administrateur des conteneurs un droit Superviseur sur le conteneur de domaine.

Connectez-vous à iManager en tant qu'administrateur des conteneurs, sélectionnez Administration Kerberos > Définir la clé maîtresse pour ouvrir la page correspondante. Sélectionnez le domaine KDC MIT et spécifiez un mot de passe principal.

Édition d'un objet Domaine

  1. Dans iManager, cliquez sur Administration Kerberos > Éditer le domaine pour ouvrir la page correspondante.

  2. Indiquez un nom pour le domaine Kerberos à éditer ou utilisez l'icône Sélecteur d'objet pour le sélectionner.

  3. Cliquez sur OK.

  4. Spécifiez la sous-arborescence à utiliser pour configurer le domaine Kerberos ou utilisez l'icône Sélecteur d'objet pour la sélectionner.

    Il s'agit du FDN de la sous-arborescence ou du conteneur qui renferme les principaux de service eDirectory de ce domaine. Cette sous-arborescence n'est pas applicable aux principaux Utilisateur.

  5. Indiquez l'étendue de la recherche de la sous-arborescence.

    • Un niveau : effectue la recherche dans les subordonnés immédiats de la sous-arborescence de domaine.

    • Sous-arborescence : effectue la recherche dans l'ensemble de la sous-arborescence en commençant par la sous-arborescence du domaine.

  6. Cliquez sur OK.

  7. (Facultatif) Pour éditer un autre domaine, cliquez sur Répéter la tâche.

REMARQUE :la case Services KDC n'est pas utilisée dans SASL-GSSAPI.

Suppression d'un objet Domaine

  1. Dans iManager, cliquez sur Administration Kerberos > Supprimer le domaine pour ouvrir la page correspondante.

  2. Sélectionnez les domaines à supprimer.

    Pour en sélectionner plusieurs, appuyez sur la touche Maj et sélectionnez les domaines ou appuyez sur Maj et sur les touches fléchées.

  3. Cliquez sur OK.

  4. Cliquez de nouveau sur OK pour confirmer la suppression ou sur Annuler pour l'arrêter.

IMPORTANT :la suppression d'un objet Domaine efface également tous les objets Principal de service qu'il contient.

E.5.3 Gestion d'un principal de service

Cette section fournit les informations suivantes :

Création d'un principal de service pour un serveur LDAP

L'outil d'administration Kerberos disponible avec votre KDC permet de créer le principal de service eDirectory avec AES256-CTS comme type de chiffrement et Normal comme type de valeur aléatoire (salt).

Le nom du principal doit être ldap/MONHÔTE.MONDOMAINEDNS@NOMDOMAINE.

Par exemple, si vous utilisez un KDC MIT, exécutez la commande suivante :

kadmin:addprinc -randkey -e aes256-cts:normal ldap/server.novell.com@MITREALM

IMPORTANT :le nom d'hôte du principal de service créé doit être en minuscules. L'authentification échoue si le nom d'hôte est en majuscules. Par exemple, si le nom d'hôte est myHost.com, la syntaxe de nom d'hôte du principal de service LDAP doit ressembler à ce qui suit : ldap/myhost.com@<nom_domaine>.

Recommandation

  • Toutes les clés doivent être de préférence de type AES256.

  • Modifiez régulièrement les clés de principal de service LDAP. Lors de leur changement, veillez à mettre à jour l'objet Principal dans eDirectory.

Extraction de la clé du principal de service pour eDirectory

L'outil d'administration Kerberos disponible avec votre KDC permet d'extraire la clé du principal de service LDAP créé à la section Création d'un principal de service pour un serveur LDAP, puis de la stocker dans le système de fichiers local. Votre administrateur Kerberos peut vous aider à effectuer cette opération.

Par exemple, si vous utilisez un KDC MIT, exécutez la commande suivante :

kadmin: ktadd -k /chemin_répertoire/nom_fichier_KeyTab -e aes256-cts:normal ldap/server.novell.com@MITREALM

Par exemple, si vous utilisez un KDC Microsoft, créez un utilisateur ldapMONHÔTE dans Active Directory, puis exécutez la commande suivante :

ktpass -princ ldap/MONHÔTE.MONDOMAINEDNS@MONDOMAINE -mapuser ldapMONHÔTE -pass mon_mot_de_passe -out MONHÔTE.keytab

Cette commande assigne le principal (ldap/MONHÔTE.MONDOMAINEDNS@MONDOMAINE) au compte utilisateur (ldapMONHÔTE), définit le mot de passe de principal hôte sur mon_mot_de_passe et extrait la clé dans le fichier MONHÔTE.keytab.

Création d'un objet Principal de service dans eDirectory.

Vous devez créer un principal de service Kerberos avec un nom identique (ldap/MONHÔTE.MONDOMAINEDNS@MONDOMAINE) à celui indiqué à la section Création d'un principal de service pour un serveur LDAP.

Recommandation

Les principaux de service pour eDirectory doivent être aisément accessibles à tous les serveurs activés pour le mécanisme SASL-GSSAPI. S'ils ne sont pas créés sous le conteneur Domaine Kerberos dans le conteneur Sécurité, il est vivement recommandé de créer le conteneur qui les renferme en tant que partition distincte et de le répliquer largement.

  1. Dans iManager, cliquez sur Administration Kerberos > Nouveau principal pour ouvrir la page correspondante.

  2. Indiquez le nom du principal à créer.

    Le nom du principal doit avoir le format suivant : ldap/MONDOMAINEDNS@NOMDOMAINE.

  3. Indiquez le nom du conteneur qui renfermera l'objet Principal créé ou utilisez l'icône Sélecteur d'objet pour le sélectionner.

  4. Indiquez le nom du domaine.

    Si vous l'avez déjà spécifié à l'Étape 2, laissez ce champ vide.

  5. Effectuez l'une des opérations suivantes :

    • Indiquez le nom du fichier KeyTab ou cliquez sur Parcourir pour sélectionner son emplacement de stockage.

      Il s'agit du fichier qui contient la clé extraite à la section Extraction de la clé du principal de service pour eDirectory.

    • Spécifiez le mot de passe, confirmez-le, puis sélectionnez le type de chiffrement et le type de valeur aléatoire (salt).

      Le mot de passe et la combinaison type de chiffrement/type de valeur aléatoire doivent être identiques à ceux spécifiés lors de la création du principal de service dans la base de données KDC.

  6. Cliquez sur OK.

Affichage des clés de principal de service Kerberos

  1. Dans iManager, cliquez sur Administration Kerberos > Afficher les informations sur la clé pour ouvrir la page correspondante.

  2. Indiquez le nom de la clé de principal à afficher ou utilisez l'icône Sélecteur d'objet pour la sélectionner.

    Les informations suivantes sur les clés de principal s'affichent :

    • Principal name (Nom du principal)

    • Informations sur la clé

      • Number (Numéro) : numéro de série de la clé dans la table

      • Version : version de la clé

      • Key Type (Type de clé) : type de la clé de principal

      • Salt Type (Type de valeur aléatoire) : type de valeur aléatoire de la clé de principal

  3. Cliquez sur OK.

Suppression d'un objet Principal de service Kerberos

Vous pouvez supprimer un ou plusieurs objets, ou encore, effectuer une sélection avancée des objets Principal à effacer.

Pour supprimer un seul objet Principal :

  1. Dans iManager, cliquez sur Administration Kerberos > Supprimer le principal pour ouvrir la page correspondante.

  2. Cliquez sur Sélectionner un seul objet.

  3. Indiquez le nom de l'objet Principal à supprimer ou utilisez l'icône Sélecteur d'objet pour le sélectionner.

  4. Cliquez sur OK.

  5. Cliquez de nouveau sur OK pour confirmer la suppression ou sur Annuler pour l'arrêter.

Pour supprimer plusieurs objets Principal :

  1. Dans iManager, cliquez sur Administration Kerberos > Supprimer le principal pour ouvrir la page correspondante.

  2. Cliquez sur Sélectionner plusieurs objets.

  3. Indiquez le nom des objets Principal à supprimer ou utilisez l'icône Sélecteur d'objet pour les sélectionner.

  4. Sélectionnez les objets Principal à supprimer.

  5. Cliquez sur OK.

  6. Cliquez de nouveau sur OK pour confirmer la suppression ou sur Annuler pour l'arrêter.

Pour supprimer un principal en utilisant la sélection avancée :

  1. Dans iManager, cliquez sur Administration Kerberos > Supprimer le principal pour ouvrir la page correspondante.

  2. Cliquez sur Sélection avancée.

  3. Sélectionnez la classe d'objet.

  4. Indiquez le conteneur qui renferme l'objet Principal ou utilisez l'icône Sélecteur d'objet pour le sélectionner.

  5. Cliquez sur Inclure les sous-conteneurs pour englober les sous-conteneurs du conteneur spécifié à l'Étape 3.

  6. Cliquez sur Entrez les critères de sélection avancé pour ouvrir la fenêtre Critères de sélection avancés.

  7. Sélectionnez le type d'attribut et l'opérateur dans la liste déroulante, puis fournissez les valeurs correspondantes.

  8. Cliquez sur le bouton Ajouter une ligne ajouter pour inclure d'autres groupes logiques à la sélection.

  9. Cliquez sur OK pour configurer le filtre.

  10. Cliquez sur Afficher l'aperçu pour afficher un aperçu de la sélection avancée.

  11. Cliquez sur OK.

  12. Cliquez de nouveau sur OK pour confirmer la suppression ou sur Annuler pour l'arrêter.

Définition d'un mot de passe pour le principal de service Kerberos

Si la clé de principal de service eDirectory a été réinitialisée dans votre KDC, vous devez également la mettre à jour dans eDirectory.

Pour plus d'informations sur l'extraction de clé, reportez‑vous à la section Extraction de la clé du principal de service pour eDirectory.

  1. Dans iManager, cliquez sur Administration Kerberos > Définir le mot de passe du principal pour ouvrir la page correspondante.

  2. Indiquez le nom de l'objet Principal pour lequel définir un mot de passe individuel ou utilisez l'icône Sélecteur d'objet pour le sélectionner.

  3. Indiquez le nom du fichier KeyTab ou cliquez sur Parcourir pour accéder à son emplacement de stockage.

  4. Effectuez l'une des opérations suivantes :

  5. Cliquez sur OK pour configurer le mot de passe.

  6. (Facultatif) Pour définir le mot de passe d'un autre principal, cliquez sur Répéter la tâche.

E.5.4 Édition de principaux étrangers

iManager permet d'ajouter des noms de principaux Kerberos aux utilisateurs d'eDirectory.

  1. Dans iManager, cliquez sur Administration Kerberos > Éditer des principaux étrangers pour ouvrir la page correspondante.

  2. Indiquez le FDN d'un objet Utilisateur valide ou utilisez l'icône Sélecteur d'objet pour sélectionner la référence à l'objet Utilisateur.

  3. Cliquez sur OK.

  4. Indiquez les noms de principaux étrangers, puis cliquez sur le bouton Ajouter ajouter.

    Le nom du principal doit avoir le format nomprincipal@NOMDOMAINE.

    Pour supprimer le nom de principal étranger, sélectionnez-le, puis cliquez sur le bouton Supprimer supprimer.

  5. Cliquez sur OK.

    REMARQUE :les noms de principaux Kerberos doivent être uniques dans l'arborescence. Si eDirectory est configuré en tant qu'interface dorsale LDAP pour un domaine KDC, les noms de principaux étrangers ne doivent pas être configurés dans eDirectory pour ce domaine. Au lieu de cela, vous pouvez associer un nom de principal Kerberos existant avec un DN d'utilisateur eDirectory à l'aide de la commande suivante :

    kadmin.local -q 'modprinc -x linkdn=<DN_eDir> <principal>@<domaine>'

    Vous pouvez également associer un nom de principal Kerberos à un DN d'utilisateur eDirectory au moment de la création du principal, à l'aide de l'une des commandes suivantes :

    kadmin.local -q 'ank -x dn=<DN_eDir> <principal>@<domaine>'

    kadmin.local -q 'ank -x linkdn=<DN_eDir> <principal>@<domaine>'

E.5.5 Configuration de l'authentification SASL GSSAPI si le KDC Kerberos MIT utilise eDirectory comme interface dorsale

Si un KDC Kerberos MIT utilise eDirectory comme interface dorsale, pour que les principaux de KDC MIT s'authentifient auprès d'eDirectory via SASL GSSAPI, effectuez la procédure suivante après avoir configuré le KDC MIT :

  1. Dans iManager, modifiez l'objet Conteneur de sécurité (cn=security) :

    1. Ajoutez la classe d'objet krbContainerRefAux au conteneur de sécurité.

    2. Définissez l'attribut krbContainerReference afin qu'il pointe vers le conteneur Kerberos.

      Par exemple :

      cn=Kerberos,cn=Security

  2. Dans iManager, sélectionnez Administration Kerberos > Définir la clé maîtresse pour ouvrir la page correspondante.

    IMPORTANT :sélectionnez la clé principale utilisée par le KDC MIT.

  3. Sélectionnez le domaine KDC MIT et spécifiez le mot de passe. Ce doit être le mot de passe que vous avez utilisé comme mot de passe principal lorsque vous avez créé le domaine KDC MIT à l'aide de kdb5_ldap_util.

REMARQUE :si le domaine Kerberos est créé par un utilisateur qui n'est pas l'administrateur de l'arborescence, ce dernier doit lui accorder le droit Créer une entrée pour le conteneur Kerberos.