...
La généralisation des ENT a permis la mise en oeuvre de systèmes d'authentification unique pour les environnements web, mais on reste pour l'instant d'en l'attente d'un système d'authentification allant de l'ouverture de session jusqu'aux applicatifs Web.
Les solutions
On distingue trois solutions possibles raisonnablement envisageables à la rentrée 2010/2011 :
Ne rien faire
Bien que non sécurisé, le réseau est aujourd'hui fonctionnel, il peut rester en l'état.
Si cette solution est la plus envisageable en terme de coût, elle oblige néanmoins à utiliser une « verrue » supplémentaire pour Windows 7 (ReGina).
Changer de mécanisme d'authentification
Dans ce cadre, seule la solution Kerberos est envisageable.
Deux implémentations peuvent être envisagées :
- La mise en place d'un « vrai » service Kerberos (MIT ou Heimal).
- L'utilisation des fonctionnalités Kerberos de Active Directory.
La deuxième solution, décrite par Emmanuel Blindauer en 2005 (Kerberos : Linux, Windows et le SSO), est possible. Néanmoins,
- Elle oblige à s'appuyer sur une solution non libre pour l'authentification, coeur de la sécurité du système.
- Elle comporte certains problèmes décrits par le même auteur quatre ans plus tard (Référentiel d'authentification interopérable et ouvert: Kerberos), dans lequel il confessait qu'il eut été plus judicieux de nommer l'article de 2005 « Active Directory = Windows + Linux + SSO + Problèmes ».
Notre choix se porte donc clairement sur la première solution.
Kerberos
Pour remplacer un système d'authentification basé sur LDAP, il convient de trouver un système fonctionnant en environnement hétérogène, assurant la sécurité des échanges sur un réseau non sûr et permettant la mise en place d'un véritable service d'authentification unique : Kerberos répond à ces impératifs.
...