...
Intégration d'un client Windows 7
Comment intégrer un client Windows 7 dans un royaume Kerberos.
...
La configuration d'un client dans un royaume kerberos nécessite quelques paramètres clonables (nom du royaume, serveurs du royaume,...). Ces paramètres sont positionnés dans le fichier /etc/krb5.conf (Linux) ou par des commandes qui modifient des clefs de registre (ksetup sous Windows). Dans le cadre d'un système de déploiement, l'image à déployer peut donc être configurée avec les valeurs adéquates (des constantes).
Le problème principal est de mettre en place la confiance entre le serveur kerberos et les clients (fichier keytab sous Linux, clefs de registre sous Windows, ...). Un fichier keytab ou son équivalence Windows contient la clef attribuée au principal par le serveur kerberos. Cette clef est évidemment propre à chaque client (principal), comment éviter une intervention sur chaque poste à l'issue d'un déploiement ? Il faut aussi noter que la sécurité d'un environnement kerbérisé repose sur la confidentialité du contenu des keytab et qu'on se place ici forcément dans un compromis entre sécurité et faisabilité.
...
- sur le serveur kerberos on execute kadmin/addprinc (randkey) pour créer tous les principaux;
- on génère ensuite un keytab par poste de travail. Les fichiers keytab portent un nom explicite et sont placés dans un répertoire qui va être exporté sur le poste étalon.
...