L’Authentification forte de type SSO ‘Single Sign-On’ d’une application Web hébergée en réseau local sur un serveur Linux avec Apache via un Kerberos sous Windows 2008 Server.
On peut résumer le fonctionnement de la manière suivante : un utilisateur ouvre une session sur le domaine et navigue vers une page http protégée du réseau Intranet. Habituellement, on affiche une boite invitant l’utilisateur à saisir son nom d’utilisateur et mot de passe alors qu’il est déjà connu de l’AD, vu qu’il a saisi les mêmes informations pour se connecter à son compte Windows. Le but du Single Sign-On est d’authentifier l’utilisateur sans qu’il soit obligé de ressaisir plusieurs fois les mêmes informations.
Kerberos fonctionne avec un système de jetons, qu’on appellera des ‘tickets’. L’authentification se passe en plusieurs étapes :
- le poste client demande un ticket au serveur Kerberos
- le KDC retourne un ticket, vu que le client est déjà identifié sur le réseau
- le poste client formule la requête au serveur Web en incluant le ticket
Plusieurs avantages de cette méthode :
- L’utilisateur s’identifie une seule fois et peut ensuite accéder de façon transparente aux différents services
- Le nom d’utilisateur et son mot de passe ne sont jamais transmis sur le réseau
Pixxlisation 