Forum Linux.général Athentification Windows XP PRO et KDC Linux

Posté par  .
Étiquettes : aucune
0
9
août
2006
Bonjour,

D'après les informations que j'ai trouvé sur le Net il semble qu'actuellement l'authentification de stations Windows XP PRO sur un Linux KDC ne peut pas s'opérer. Est ce que je me trompe? Et que l'opérabilité de cette architecture verra le jour avec Samba 4 implémentant le protocol CIFS et en intégrant entre autres MIT Kerberos 5?
En attendant, la sortie de Samba 4 pour un usage de production y aurait-il des alternatives à cette architecture hors Windows AD?
Pour précision il s'agit d'une intégration de solution d'authentification par carte à puce sur des stations Windows XP PRO.
Merci par avance.
  • # Re: Athentification Windows XP PRO et KDC Linux

    Posté par  . Évalué à 1.

    Alors pour Windows XP pro, je ne sais pas mais pour windows 2000, il existait un programme que tu pouvais télécharger dans le "kit administrateur" et qui permettait à une station Windows de s'authentifier auprès d'un KDC non Active Directory. Mais je pense que c'est très limité : je ne pense pas que tu puisses utiliser le ticket obtenu sous l'explorateur Windows pour accéder à un serveur CIFS, ni sous IE, ...

    Si tu veux vraiment utiliser un KDC Linux, une solution viable est d'utiliser un serveur Active Directory, et de déclarer une relation de confiance (trust) entre le realm KDC et le realm AD.

    Tout ceci est décrit dans le bouquin d'O'Reilly sur Kerberos que je te conseille vivement. Sinon, il faut attendre Samba 4.

    Entre parenthèse je trouve que sur cette affaire d'Active Directory, Microsoft exégère vraiment. Ils prétendent utiliser des protocoles standards (Kerberos, LDAP) et en fait dans le détail, si tu veux vraiment une interopérabilité Windows/Unix avec un vrai single-sign on, et bas tu es quasiment obligé de t'installer un Windows Server. Ca me semble un cas caractérisé de position dominante où ils utilisent leur monopole sur les OS de bureau pour conquérir un marché sur le serveur.
  • # Athentification Windows XP PRO et KDC Linux

    Posté par  . Évalué à 1.

    Bonjour

    Merci beaucoup pour ces informations. J'ai trouvé un peu de docs sur le Net présentant l'interopérabilité Windows XP/KDC Linux sans Active Directory en apparence seulement lors de mes tests je n'obtiens les résultats escomptés: http://www.dice.inf.ed.ac.uk/groups/user_support/windows/win(...)
    http://mailman.mit.edu/pipermail/kerberos/2006-May/009890.ht(...)
    S'agit-il bien d'une architecture XP+KDC Linux sans MS AD?????
    Il est clair que Microsoft ne respecte pas expressément les RFC afin de monopoliser le marché des serveurs kerberos. C'est vraiment triste!
    Auriez-vous une idée de la date de sortie de Samba 4 pour un environnement de prod?
    Par ailleurs, je me demandais bien ce que ça pourrais donner: pGina+Cygnus(avec Kerberos) et KDC Linux?
    Le plus plus simple à l'heure actuelle c'est d'utiliser Active Directory, mais c'est aussi le plus coûteux!!!
    Merci par avance pour vos réponses.
    • [^] # Re: Athentification Windows XP PRO et KDC Linux

      Posté par  . Évalué à 1.

      > seulement lors de mes tests je n'obtiens les résultats escomptés:

      Quels résultats attends-tu ? Est-ce que ton utilisateur arrive à se loguer ? AMHA par la suite, il n'y a aucune chance qu'un client Microsoft quelconque (Outlook, IE, l'explorateur de fichiers, client SQL Server, ...) puisse utiliser le ticket obtenu pour faire quoi que ce soit. Pour cela, je suis à peu près sûr qu'il faut un domaine windows et donc Active Directory.

      La seule chose que tu peux faire, c'est d'utiliser l'utilitaire fourni avec la version Windows de MIT Kerberos pour importer le ticket, et l'utiliser avec des clients supportant explicitement MIT Kerberos (eudora, certaines versions de putty).

      > Par ailleurs, je me demandais bien ce que ça pourrais donner: pGina+Cygnus(avec Kerberos) et KDC Linux?

      Cygwin +MIT kerberos. Hmm ça c'est peut-être amélioré, mais il y a encore deux ans c'était vraiment pas terrible. Prépare-toi à patcher le code ...
      • [^] # Re: Athentification Windows XP PRO et KDC Linux

        Posté par  . Évalué à 1.

        Bonjour,

        Tout d'abord merci pour tes réponses.
        Les résultats attendus étaient entre autres:
        o l'obtention d'un ticket TGT pour ma station XP depuis mon serveur KDC Linux.
        o l'obtention d'un ticket TGT pour mon utilisateur local XP depuis mon serveur KDC Linux.
        o l'authentification sur la station XP au domaine KDC Linux par l'utilisation du ticket obtenu précédemment.
        D'après les liens que j'ai envoyé ça semble pourtant fonctionner, il est vrai qu'il y a très peu d'informations sur l'environnement utilisé ainsi que les pré-requis afin s'assurer qu'il n'y a pas une information importante manquant de mon coté.
        Mon objectif aujourd'hui est de REUSSIR A S'AUTHENTIFIER (login windows) sur ma station XP grâce à un ticket présenté au serveur KDC Linux via le log on windows et l'utilisation éventuelle de Samba. Tout ceci sans l'utilisation d'un Microsoft AD.
        Si j'arrive cela ainsi, ça me pemettra d'avancer dans la validation d'une authentification aux stations XP à l'aide de cartes à puce logeant un certificat pour s'authentifier.
        Alors je me demandais comment le Kfw pourrait-il résoudre mon problème d'authentification XP. Ce Kerberos et celui de Linux sont de la maison donc 100% compatible.
        Merci pour les retours.
        Cdt,

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.