Bonjour Jordi,
Lors de mes derniers échanges avec Hubert, il avait été évoqué la possibilité d’authentifier les clients par certificat.
Si mes souvenirs sont exactes, il était possible de forcer la création d’un certificat client lors de l’installation, permettant ensuite une authentification https.
Cela permettrait de s’affranchir de l’authentification Kerberos, qui devient difficile à gérer dans des organisation multi-domaines + workgroup.
Ou puis-je trouver des infos sur cette fonctionnalité ?
l'authentification initiale est faite en Kerberos, ou identifiant/mdp, ou en mode "openbar". Lors de l'enregistrement le client faire une demande de signature de certificat (CSR) au le serveur WAPT. Ensuite le poste client utilise ce certificat signé pour s'authentifier. Donc tous les postes enregistrés que l'on voit dans la console WAPT ont déjà bien un certificat client pour s'authentifier et c'est ce mode qui est utilisé.
Après pour l'enregistrement, si l'on veut avoir un process transparent et sécurisé, il est nécessaire d'avoir un secret partagé au préalable. Pour cela on utilise le compte kerberos de la machine. Je ne vois pas trop quel autre secret partagé on pourrait utilisé.
Pour des postes qui sont dans des domaines différents, je ne l'ai pas encore fait, mais il doit être de mettre les exports keytab des deux domaines et laisser nginx se débrouiller. Ca nécessitera probablement un SPN au niveau de l'AD pour le compte de service utilisé.
J'espère que l'explication est suffisamment claire :-)
à bientôt, et bon WAPT 1.7!
Denis
En vous remerciant d’avance.
Bien cordialement
Jordi Morillo
WAPT mailing list WAPT@lists.tranquil.it http://lists.tranquil.it/listinfo/wapt