Aller au contenu

SSO avec Apache et Kerberos/Active Directory


Messages recommandés

Bonjour à tous ;)

Me voici de retour après un long moment d'absence :D . Je reviens avec un problème à vous soumettre, en espérant que les INpactiens n'ont pas perdu de leur efficacité à résoudre les problèmes :apu:

J'essaye depuis plusieurs jours de mettre en place une authentification automatique sur une application web (SSO). Les postes clients sont déjà configurés, ils appartienent à un domaine et un serveur Kerberos couplé avec un Active Directory permet l'authentification.

La machine ou est le serveur web appartient au domaine. Un utilisateur a été créer sur l'Active Directory et associé à un service HTTP. Le fichier /etc/krb5.conf est configuré, le keytab generé et testé (kinit -k HTTP/host.domain fonctionne, le ticket est visible).

J'utilise le module mod_auth_kerb pour Apache.

Jusqu'à là on a tout bon.

Dans le premier cas, j'utilise l'option KrbMethodK5Passwd (qui permet de prompter le login / password) à on, et KrbMethodNegotiate à Off. J'entre mon utilisateur à la demande, et tout roule, je m'authentifie.

Le soucis survient quand j'inverse les options (car c'est ce que je recherche), j'obiens une erreur 401 Authorization requiered. Niveau requètes HTTP, on a le get du client, le 401 du serveur, le get du client avec les credentials, mais là le serveur nous fout à la porte avec un 401 :francais:

La seule différence que je vois dans les entêtes c'est que dans le premier cas, on a Authorization: basic, et dans l'autre Authorization: negotiate. On dirait que le serveur n'arrive pas à comprendre ce type d'authentification.

IE est configuré, Authentification integrée cochée, serveur dans la liste intranet)

J'éspère avoir été clair (et avoir posté dans le bonne section :crever: ), et je vous remerci d'avance pour votre aide :yes:

Récapitulatif:

Serveur Kerberos / Active Directory (OS: Windows 2000)

Serveur Apache 2.0 (OS: Fedoro 6)

Client IE7 (OS: Windows XP pro SP2)

HS: Note au passage, ça fait un moment que j'éssayais de poster mais mon compte ne fonctionnait plus, j'apparaissait comme "invité" sur le forum, même si je me logait, et enfin ça remarche \o/)

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

×
×
  • Créer...