CAS et Kerberos
Pages enfant
  • Authentification des utilisateurs - de LDAP à Kerberos
9 pages enfant de plus

Comparaison des versions

Ancienne version 16

changes.mady.by.user Pascal Aubry

Sauvegardée le

comparé à

Nouvelle version 17

changes.mady.by.user Pascal Aubry

Sauvegardée le

Légende

  • Ces lignes ont été ajoutées. Ce mot a été ajouté.
  • Ces lignes ont été supprimées. Ce mot a été supprimé.
  • La mise en forme a été modifiée.

...

Astuce
titlePassage à Kerberos de l'IFSIC d'abord, du reste de l'université ensuite

La seule condition pour que le passage de l'authentification Kerberos soit possible d'abord sur l'IFSIC avant de passer à toute l'université est que le NetApp puisse partager les mêmes volumes à la fois avec authentification Kerberos en NFS v4 (pour les clients Unix de l'IFSIC) et sans authentification en NFS v3 (pour les clients Unix du reste de l'université, qui pourraient ainsi migrer à Kerberos ultérieurement).

Dans le cas où l'export mixte v4/Kerberos et v3/Trusted des mêmes volumes ne serait pas possible, il serait possible de rester en mode v3/Trusted en attendant que tous les clients NFS potentiels de l'université soient Kerbérisés. Les seuls prérequis pour le passage (dans une première étape) de l'IFSIC à Kerberos sont donc les tâches à réaliser au niveau du CRI et détaillées ci-dessous.

Cette stratégie (conservation de NFS v3/Trusted tant que tous les clients NFS n'ont pas migré à Kerberos) semble la plus raisonnable.

Le passage de toute l'université à l'authentification Kerberos nécessiterait au niveau de chaque cellule les mêmes tâches que celles à effectuer à l'IFSIC.

Tâches au niveau du CRI

Serveurs Kerberos

...

Serveur CAS

Modifier le serveur CAS (documentation : ) pour qu'il permette :

  • l'authentification des tickets Kerberos des clients
  • l'alimentation du royaume Kerberos avec les utilisateurs qui s'authentifient sur l'annuaire LDAP

...

  • l'ajout des utilisateurs dans le royaume Kerberos lors de l'activation des comptes
  • la modification du mot de passe des utilisateurs dans le royaume Kerberos (en plus de celle dans l'annuaire LDAP)
  • la suppression des utilisateurs dans le royaume Kerberos lors de la suppression des comptes

Voir :

NetApp

Ajouter les exports NFS v4 avec authentification Kerberos (et vérifier qu'ils sont compatibles avec les mêmes exports v3 sans authentification, sinon rester en v3/Trusted).

...

Modifier tous les clients pour l'authentification Kerberos.

Voir :

Serveur de fichiers

Modifier l'authentification des serveurs Samba et NFS (passage à Kerberos).

...