La configuration d'un client dans un royaume kerberos nécessite quelques paramètres clonables (nom du royaume, serveurs du royaume,...). Ces paramètres sont positionnés dans le fichier /etc/krb5.conf (Linux) ou par des commandes qui modifient des clefs de registre (ksetup sous Windows). Dans le cadre d'un système de déploiement, l'image à déployer peut donc être configurée avec les valeurs adéquates (des constantes).
Le problème principal est de mettre en place la confiance entre le serveur kerberos et les clients (fichier keytab sous Linux, clefs de registre sous Windows, ...). Un fichier keytab ou son équivalence Windows contient la clef attribuée au principal par le serveur kerberos. Cette clef est évidemment propre à chaque client (principal), comment éviter une intervention sur chaque poste à l'issue d'un déploiement ? Il faut aussi noter que la sécurité d'un environnement kerbérisé repose sur la confidentialité du contenu des keytab et qu'on se place ici forcément dans un compromis entre sécurité et faisabilité.
- Linux : les keytab de toutes les machine figurent dans l'image à déployer, la première phase de boot va éliminer les keytab inutiles et positionner le bon en fonction du nom du poste de travail. Pour créer tous les keytab on peut procéder de la manière suivante :
- sur le serveur kerberos on execute kadmin/addprinc (randkey) pour créer tous les principaux;
- on génère ensuite un keytab par poste de travail. Les fichiers keytab portent un nom explicite et sont placés dans un répertoire qui va être exporté sur le poste étalon.
- Windows : concernant la création des principaux, on ne peut pas ici utiliser l'option -randkey car l'installation de la clef sur le client est effectuée par une commande. On va donc sur le serveur kerberos créer tous les principaux Windows avec le même mot de passe. Sur le poste étalon il faut exécuter "ksetup /setcomputerpassword password". Cette commande affecte le mot de passe qui va être utilisé dans les échanges avec le serveur kerberos dans le but d'obtenir le secret partagé.
Question: le scénario Windows est-il reproductible sous Linux ?