CAS et Kerberos
Pages enfant
  • Mise en place d'une maquette à l'IFSIC (archive)
12 pages enfant de plus

Vous regardez une version antérieure (v. /wiki/spaces/CASKERB/pages/83329041/Mise+en+place+d+une+maquette+%C3%A0+l+IFSIC+archive) de cette page.

afficher les différences afficher l'historique de la page

« Afficher la version précédente Vous regardez la version actuelle de cette page. (v. 19) afficher la version suivante »

Architecture

Roadmap

Générer les clients Linux, Windows XP et Windows 7.

Mettre en place un serveur Kerberos s'appuyant sur le serveur LDAP.
Valider l'installation en configurant les clients pour qu'ils s'authentifient sur le serveur Kerberos et montent les homedirs des utilisateurs.

Mettre en place un serveur CAS s'appuyant sur le serveur Kerberos, capable de valider les tickets Kerberos des navigateurs des clients.
Valider en testant le SSO depuis les différents clients.

Machines mises en place

Nom

Rôle

kerb.ifsic.univ-rennes1.fr (148.60.10.50)

Serveur Kerberos

cas.ifsic.univ-rennes1.fr  (148.60.10.51)

Serveur CAS

clinux.ifsic.univ-rennes1.fr (148.60.10.52)

Client Linux

cwinxp.ifsic.univ-rennes1.fr (148.60.10.53)

Client Windows XP

cwin7.ifsic.univ-rennes1.fr (148.60.10.54)

Client Windows 7

Installation et configuration des machines

Pour toutes les machines :

  • Netmask : 255.255.255.0
  • Gateway : 148.60.10.254
  • DNS : 148.60.4.1
  • NTP : ntp1.univ-rennes1.fr

Serveur Kerberos

Installation système

Boot sur CD Fedora 10.

  • FQDN : kerb.ifsic.univ-rennes1.fr
  • IP : 148.60.10.50

Packages additionnels installés :

  • Servers -> Network servers -> kerb5-server

Modification /etc/krb5.conf /var/kerberos/krb5kdc/kdc.conf /var/kerberos/krb5kdc/kadm5.acl /etc/gssapi_mech.conf (rien à faire, seulement en 64 bits)

Arrêter SeLinux avant de démarrer le services

Configuration NTP

Configuration Kerberos

http://www.redhat.com/docs/manuals/linux/RHL-9-Manual/ref-guide/s1-kerberos-server.html

Serveur CAS

Boot sur CD Fedora 10.

  • FQDN : cas.ifsic.univ-rennes1.fr
  • IP : 148.60.10.51

Serveur LDAP

Il est sur zag.ifsic.univ-rennes1.fr et est appelable en ldaps (certificat auto-signé).

Il contient 2 entrées (dagorn et paubry).

Ci-dessous une entrée :

ldapsearch -H "ldaps://zag.ifsic.univ-rennes1.fr" -b "dc=univ-rennes1,dc=fr" -x 'uid=dagorn'
# extended LDIF
#
# LDAPv3
# base <dc=univ-rennes1,dc=fr> with scope subtree
# filter: uid=dagorn
# requesting: ALL
#
# dagorn, people, univ-rennes1.fr
dn: uid=dagorn,ou=people,dc=univ-rennes1,dc=fr
loginShell: /bin/bash
employeeNumber: 2848
sn: Francois Dagorn
gidNumber: 1000
objectClass: top
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: person
objectClass: shadowAccount
objectClass: organizationalPerson
mail: Francois.Dagorn@univ-rennes1.fr
givenName: fd
uid: dagorn
uidNumber: 113
displayName: Francois Dagorn
cn: Francois Dagorn
homeDirectory: /tmp/dagorn
userPassword:: e1NTSEF9TzhBPG95QTlaZDNMckF2Y3k3FG14T0lSb0hES0xYaUs=

Dec 10 11:36:33 zag slapd[26967]: conn=0 fd=11 ACCEPT from IP=148.60.10.22:43365 (<span style="color: #ff0000">IP=0.0.0.0:636</span>) la trace d'un acces sur le port 636 (ldaps).
Pour créer ou modifier une entrée, voir dans /tmp/ldap les exemples de fichiers ldif et :

ldapmodify -h localhost -D "cn=admin,dc=univ-rennes1,dc=fr" -w "le-mot-de-passe-root-usuel" -x -f test.ldif

ldapadd -h localhost -D "cn=admin,dc=univ-rennes1,dc=fr" -w "le-mot-de-passe-root-usuel" -x -f test.ldif

Client Linux

Boot sur CD Fedora 10.

  • FQDN : clinux.ifsic.univ-rennes1.fr
  • IP : 148.60.10.52

Client Windows XP

  • FQDN : cwinxp.ifsic.univ-rennes1.fr
  • IP : 148.60.10.53

Client Windows 7

  • FQDN : cwin7.ifsic.univ-rennes1.fr
  • IP : 148.60.10.54
  • Aucune étiquette