Authentification Kerberos AD

Kerberos AD permet d'authentifier des utilisateurs issus d'un annuaire Active Directory. Cette méthode réalise une authentification transparente pour l’utilisateur, pour les utilisateurs utilisant un poste client membre du domaine et ayant ouvert une session Windows avec leur compte de domaine. L'utilisateur est authentifié à chaque requête.

Kerberos AD authentifiera tout utilisateur de l'annuaire, cependant, pour que les politiques (ainsi que les quotas, l'outrepassement, etc) puissent être appliquées, il faut que les utilisateurs soient synchronisés dans l'Olfeo. Les utilisateurs non synchronisés seront authentifiés et pourront accéder à internet, mais ils seront considérés comme des utilisateurs inconnus et le moteur leur appliquera la politique par défaut.

Le proxy HTTP gère 2 versions de Kerberos AD : pour AD 2003 et antérieures, et 2008 et supérieures.

Modes d'intégration compatibles

L'authentification Kerberos AD peut uniquement être utilisée en mode proxy explicite. En effet, dans les autres modes d'intégration, le navigateur ne communique pas directement avec le proxy.

Contraintes et limitations

L'authentification Kerberos est un mécanisme fort, qui présente de fortes contraintes :

Mettre en place une authentification Kerberos AD

  1. Synchronisez le ou les annuaires Active Directory contenant vos utilisateurs. Dans la page de configuration de l'annuaire, remplissez la section Domaine. Si vous synchronisez plusieurs AD, établissez les relations d'approbation appropriées pour que l'authentification prenne en compte tous les AD.
  2. À la page Proxy Cache QoS > HTTP > Authentification, dans la liste Méthode d'authentification, sélectionnez Kerberos ou Kerberos 2008 (selon la version de votre annuaire : voir ci-dessus). La page affiche les options correspondantes et le champ Statut indique le domaine Windows auquel l'Olfeo est joint.
  3. Joignez l'Olfeo au domaine Windows.
  4. Si besoin, modifiez le nombre de processus d'authentification instanciés dans le champ Nombre d'instances. Le nombre d'instances correspond au nombre de demandes d'authentification qui peuvent être traitées en parallèle à un instant donné.

  5. Dans la section Règles, définissez les cas dans lesquels une authentification sera demandée ou non.
    • Ajoutez une règle grâce au bouton .
    • Définissez des critères :
      • Sources : définissez les plages d'adresses IP concernées par la règle.
      • User-Agent : utilisez ce paramètre pour désactiver l'authentification auprès du proxy HTTP pour certains types d'applications clientes incapables de s'authentifier (lecteur audio/vidéo...). Définissez une expression rationnelle sur l'en-tête User-agent de la requête. Attention, toutes les requêtes n'incluent pas cet en-tête (le navigateur peut avoir été paramétré pour l'omettre). Pour ajouter un user-agent, utilisez la dernière ligne du tableau.
      • Ports du proxy : la règle ne s'appliquera qu'aux flux reçus sur le port spécifié. La liste propose tous les ports qui ne sont pas en interception (en effet, l'interception ne tolère pas l'authentification).
      • Destination : la règle s'appliquera uniquement aux requêtes à destination de ces domaines. Vous pouvez indiquer des URLs spécifiques grâce à une expression rationnelle, ou bien utiliser des listes d'URL ou des listes de domaines existantes.
      • Authentification : définissez si dans le cas décrit par la règle, le proxy doit demander une authentification ou non.
    • Si besoin, modifiez l'ordre des règles grâce aux flèches et . Le proxy évaluera les règles une par une de haut en bas : assurez-vous qu'aucune règle n'en bloque une autre. Par exemple, positionnez une règle désactivant l'authentification pour la mise à jour d'un serveur applicatif avant une règle demandant l'authentification des utilisateurs du serveur, sinon les mises à jour seront bloquées.
  6. Sous la liste de règles, dans la liste Par défaut, définissez le comportement à adopter pour les requêtes ne correspondant à aucune des règles. (Pas d'authentification, ou Authentification).
  7. Cliquez sur le bouton Valider pour enregistrer les changements.