E.3 Conditions préalables à la configuration de GSSAPI

La configuration de GSSAPI implique d'effectuer préalablement les opérations suivantes :

  • Méthode SASL-GSSAPI : installez la méthode SASL-GSSAPI. Reportez-vous à la section Installing a Login Method (Installation d'une méthode de connexion) du NetIQ Modular Authentication Services 3.3 Administration Guide (Guide d'administration de NetIQ Modular Authentication Services 3.3).

    REMARQUE :la méthode SASL-GSSAPI d'eDirectory ne fonctionne pas sur les installations d'Open Enterprise Server (OES) version 2 ou 11 dotées des services de domaine pour Windows.

    Pour vérifier que SASL-GSSAPI est installé sur votre machine, entrez la commande suivante :

    ldapsearch -x -h osg-dt-srv9 -b " " -s base | grep -i sasl

    Si SASL-GSSAPI est installé, la commande donne un résultat similaire à celui-ci :

    supportedSASLMechanisms: NMAS_LOGIN

    supportedSASLMechanisms: GSSAPI

  • Plug-in Kerberos pour iManager : installez le plug-in Kerberos pour iManager. Reportez-vous à la section Section E.3.2, Installation du plug-in Kerberos pour iManager. pour plus d'informations.

  • KDC (Key Distribution Center) : installez le centre de distribution de clés KDC Kerberos (MIT, Active Directory) sur le réseau.

    Les outils Kerberos doivent être installés pour le KDC Microsoft (Active Directory). Ces outils font partie de l'installation de Windows et peuvent être installés à partir des fichiers \support\tools\setup.exe (Windows XP) et \support\tools\suptools.msi (Windows 2003) disponibles sur le CD d'installation Windows.

  • Synchronisation horaire: pour que cette méthode fonctionne, synchronisez l'heure du poste client NMAS, du serveur NMAS et de la machine KDC. Pour plus d'informations sur la synchronisation de l'heure réseau, reportez-vous à la Section 2.8, Synchronisation des heures réseau.

  • Extensions LDAP Kerberos : ajoutez les extensions LDAP Kerberos. Pour plus d'informations, reportez-vous à la Section E.3.3, Ajout d'extensions LDAP Kerberos.

    IMPORTANT :

    • Sous Open Enterprise Server, n'ajoutez pas les extensions LDAP Kerberos sur les serveurs sur lesquels les services de domaine pour Windows ou les services DNS sont configurés.

    • toutes les informations Kerberos collectées auprès de votre système d'administration Kerberos tiennent compte de la casse et doivent la respecter.

E.3.1 Hypothèses concernant les caractéristiques réseau

Le mécanisme SASL-GSSAPI se base sur les hypothèses suivantes :

  • La synchronisation horaire de toutes les machines du réseau présente une souplesse relative, ce qui signifie que les heures des différentes machines diffèrent tout au plus de plus de cinq minutes.

  • Le mécanisme SASL-GSSAPI est censé être utilisé principalement dans un environnement LAN vu la difficulté à respecter l'exigence de synchronisation horaire, mentionnée ci-dessus, dans des environnements MAN et/ou WAN. Ce mécanisme ne se limite toutefois pas au LAN.

  • Vous faites entièrement et systématiquement confiance aux serveurs et administrateurs Kerberos.

  • Une attaque de refus de service n'est pas contrée. Pour plus d'informations, reportez-vous au fichier RFC 1510.

E.3.2 Installation du plug-in Kerberos pour iManager.

  1. Ouvrez le navigateur.

  2. Saisissez l'URL suivante dans le champ Adresse de la fenêtre du navigateur :

    http://hostname/nps/

    nom_hôte est le nom ou l'adresse IP du serveur iManager sur lequel installer le plug-in iManager pour SASL-GSSAPI.

    REMARQUE :en cas de problèmes, vérifiez que les serveurs Web et Tomcat sont configurés correctement. Pour plus d'informations, reportez-vous au Guide d'administration de NetIQ iManager 2.7.

  3. Indiquez le nom d'utilisateur et le mot de passe pour vous connecter à eDirectory, puis cliquez sur Connexion.

  4. Cliquez sur le bouton Configurer Configurer dans la barre d'outils iManager.

  5. Dans le volet de gauche, cliquez sur Installation de plug-ins > Modules de plug-in NetIQ disponibles.

  6. Cliquez sur Ajouter.

  7. Indiquez l'emplacement du fichier kerberosPlugin.npm ou cliquez sur Parcourir pour le sélectionner.

    Le plug-in Administration Kerberos fait partie du NPM unique d'eDirectory 88 (eDir_88_iMan27_Plugins.npm) et peut être téléchargé à partir du site de téléchargement Novell.

    Si vous avez déplacé le fichier kerberosPlugin.npm, accédez à son nouvel emplacement et sélectionnez le fichier.

  8. Cliquez sur Ouvrir, puis sur OK.

  9. Cliquez sur Installer.

    Cette installation prendra quelques minutes.

  10. Redémarrez le serveur iManager après avoir reçu un message indiquant la réussite de l'enregistrement du module.

    Si vous exécutez iManager en mode d'accès illimité (aucune collection RBS dans l'arborescence), ignorez la procédure de l'Étape 11 à l'Étape 17.

    REMARQUE :pour plus d'informations sur le redémarrage du serveur iManager, consultez le Guide d'administration de NetIQ iManager.

  11. Connectez-vous à iManager, puis cliquez sur le bouton Configurer Configurer.

  12. Dans le volet de gauche, cliquez sur Services basés sur le rôle > Configuration RBS.

  13. (Conditionnel) Si vous n'avez pas de collection RBS, procédez comme suit :

    1. Cliquez sur Nouveau > Collection.

    2. Spécifiez le nom que vous souhaitez utiliser pour la collection.

    3. Sélectionnez le conteneur dans lequel vous souhaitez créer les services basés sur le rôle, puis cliquez sur OK.

    4. Cliquez à nouveau sur OK.

  14. Sous l'onglet Collections iManager 2.x, cliquez sur le chiffre dans la colonne Modules de la collection que vous souhaitez utiliser.

  15. Sélectionnez Module Kerberos, puis cliquez sur Installer.

  16. Cliquez sur OK pour continuer.

  17. Lorsqu'iManager termine l'installation du module, cliquez sur OK.

  18. Dans la barre d'outils d'iManager, cliquez sur Rôles et tâches.

    Le rôle Kerberos Management s'affiche dans le volet gauche.

    Si le rôle Administration Kerberos ne s'affiche pas, redémarrez le serveur iManager.

E.3.3 Ajout d'extensions LDAP Kerberos

Les extensions LDAP Kerberos permettent de gérer les clés Kerberos.

L'utilisation des extensions LDAP Kerberos nécessite l'installation de LDAP Libraries for C. Pour plus d'informations, consultez la documentation LDAP Libraries for C.

Pour ajouter ou supprimer les extensions LDAP Kerberos, employez l'utilitaire krbLdapConfig. Lorsque le paquetage eDirectory autonome est extrait dans un répertoire, le chemin d'accès de ce fichier est dossier_extraction/nmas/NmasMethods/Novell/GSSAPI/extensions_LDAP_Kerberos/Linux/krbLdapConfig.

Par exemple : /misc/eDir88/Linux/nmas/NmasMethods/Novell/GSSAPI/extensions_LDAP_Kerberos/Linux/krbLdapConfig.

Pour ajouter les extensions LDAP Kerberos, utilisez la syntaxe suivante :

krbldapconfig {-i | -u} -D bind_DN [-w bind_DN_password] [-h ldap_host] [-p ldap_port] [-e trusted_root_cert]

Le tableau suivant décrit les paramètres de l'utilitaire krbldapconfig :

Paramètre

Description

-i

Ajoute les extensions LDAP Kerberos à eDirectory.

-u

Supprime les extensions LDAP Kerberos d'eDirectory.

-D FDN_liaison

Indique le FDN de l'administrateur ou de l'utilisateur disposant de droits équivalents.

Il doit avoir le format cn=admin,o=org.

-w mot_de_passe_FDN_liaison

Indique le mot de passe du FDN de liaison (FDN_liaison).

-h serveur_LDAP

Indique le nom d'hôte ou l'adresse IP du serveur LDAP où doivent être installées les extensions LDAP Kerberos.

-p port

Indique le port sur lequel est exécuté le serveur LDAP.

-e fichier_racine_approuvée

Indique le nom du fichier de certificat de racine approuvée pour la liaison SSL.

Si vous utilisez un port SSL, spécifiez l'option -e.

Pour plus d'informations, reportez-vous à la Section E.3.4, Exportation du certificat de racine approuvée.

REMARQUE :si l'option -h n'est pas spécifiée, le nom de l'hôte local à partir duquel le fichier krbldapconfig est appelé est utilisé par défaut.

Si aucun port de serveur LDAP ni certificat de racine approuvée ne sont spécifiés, le port 389 est utilisé par défaut.

Si aucun port de serveur LDAP n'est spécifié, mais qu'un certificat de racine approuvée est indiqué, le port 636 est utilisé par défaut.

Par exemple, entrez la commande suivante pour ajouter les extensions :

krbldapconfig -i -D cn=admin,o=org -w password -h ldapserver -p 389

Entrez la commande suivante pour supprimer des extensions :

krbldapconfig -u -D cn=admin,o=org -w password -h ldapserver -p 389

IMPORTANT :le serveur LDAP doit être actualisé manuellement pour que les modifications apportées à l'installation soient prises en compte. Pour plus d'informations, reportez-vous à la Section 14.6, Rafraîchissement du serveur LDAP.

E.3.4 Exportation du certificat de racine approuvée

  1. Dans iManager, cliquez sur Administration de l'annuaire > Modifier un objet pour ouvrir la page correspondante.

  2. Utilisez le sélecteur d'objet pour sélectionner l'objet Certificat de serveur.

  3. Cliquez sur OK.

  4. Cliquez sur l'onglet Certificats, puis sélectionnez Certificat de racine approuvée pour afficher les informations relatives au certificat.

  5. Cliquez sur Exporter.

  6. Cliquez sur le menu déroulant Certificats et sélectionnez le certificat à exporter.

  7. Spécifiez si vous souhaitez ou non exporter la clé privée. Si vous souhaitez exporter la clé privée, vous devrez peut-être spécifier un mot de passe pour protéger cette dernière.

  8. Cliquez sur Suivant.

  9. Cliquez sur Save the exported certificate (Enregistrer le certificat exporté).

  10. Cliquez sur Save File (Enregistrer le fichier).

  11. Cliquez sur Fermer.