Mise en place d'une maquette à l'IFSIC

Architecture

Roadmap

Générer les clients Linux, Windows XP et Windows 7.

Mettre en place un serveur Kerberos s'appuyant sur le serveur LDAP.
Valider l'installation en configurant les clients pour qu'ils s'authentifient sur le serveur Kerberos et montent les homedirs des utilisateurs.

Mettre en place un serveur CAS s'appuyant sur le serveur Kerberos, capable de valider les tickets Kerberos des navigateurs des clients.
Valider en testant le SSO depuis les différents clients.

Machines mises en place

Installation et configuration des machines

Pour toutes les machines :

• Netmask : 255.255.255.0
• Gateway : 148.60.10.254
• DNS : 148.60.4.1
• NTP : ntp1.univ-rennes1.fr

Serveur Kerberos

Installation système

Boot sur CD Fedora 10.

• FQDN : kerb.ifsic.univ-rennes1.fr
• IP : 148.60.10.50

Packages additionnels installés :

• Servers -> Network servers -> kerb5-server

Configuration NTP

Configuration Kerberos

http://www.redhat.com/docs/manuals/linux/RHL-9-Manual/ref-guide/s1-kerberos-server.html

Création du royaume IFSIC.TEST

Modification des fichiers de confguration suivants :

• /etc/krb5.conf
• /var/kerberos/krb5kdc/kdc.conf
• /var/kerberos/krb5kdc/kadm5.acl
• /etc/gssapi_mech.conf (rien à faire, seulement en 64 bits)

Création de la base Kerberos :

kdb5_util create -s

Ajout du premier utilisateur (root) :

% kadmin.local -q "addprinc root/admin"

Démarrage des services (auparavant arrêter SeLinux) :

[root@kerb ~] setenforce 0
[root@kerb ~] chkconfig kadmin on
[root@kerb ~] service kadmin start
[root@kerb ~] chkconfig krb5kdc on
[root@kerb ~] service krb5kdc start

Serveur CAS

Boot sur CD Fedora 10.

• FQDN : cas.ifsic.univ-rennes1.fr
• IP : 148.60.10.51

Serveur LDAP

Il est sur zag.ifsic.univ-rennes1.fr et est appelable en ldaps (certificat auto-signé).

Il contient 2 entrées (dagorn et paubry).

Ci-dessous une entrée :

ldapsearch -H "ldaps://zag.ifsic.univ-rennes1.fr" -b "dc=univ-rennes1,dc=fr" -x 'uid=dagorn'
# extended LDIF
#
# LDAPv3
# base <dc=univ-rennes1,dc=fr> with scope subtree
# filter: uid=dagorn
# requesting: ALL
#
# dagorn, people, univ-rennes1.fr
dn: uid=dagorn,ou=people,dc=univ-rennes1,dc=fr
loginShell: /bin/bash
employeeNumber: 2848
sn: Francois Dagorn
gidNumber: 1000
objectClass: top
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: person
objectClass: shadowAccount
objectClass: organizationalPerson
mail: Francois.Dagorn@univ-rennes1.fr
givenName: fd
uid: dagorn
uidNumber: 113
displayName: Francois Dagorn
cn: Francois Dagorn
homeDirectory: /tmp/dagorn
userPassword:: e1NTSEF9TzhBPG95QTlaZDNMckF2Y3k3FG14T0lSb0hES0xYaUs=

la trace d'un acces sur le port 636 (ldaps) :

Dec 10 11:36:33 zag slapd[26967]: conn=0 fd=11 ACCEPT from IP=148.60.10.22:43365 (IP=0.0.0.0:636) 

Pour créer ou modifier une entrée, voir dans /tmp/ldap les exemples de fichiers ldif et :

%ldapmodify -h localhost -D "cn=admin,dc=univ-rennes1,dc=fr" -w "le-mot-de-passe-root-usuel" -x -f test.ldif
%ldapadd -h localhost -D "cn=admin,dc=univ-rennes1,dc=fr" -w "le-mot-de-passe-root-usuel" -x -f test.ldif

x

Client Linux

Boot sur CD Fedora 10.

• FQDN : clinux.ifsic.univ-rennes1.fr
• IP : 148.60.10.52

Client Windows XP

• FQDN : cwinxp.ifsic.univ-rennes1.fr
• IP : 148.60.10.53

Client Windows 7

• FQDN : cwin7.ifsic.univ-rennes1.fr
• IP : 148.60.10.54