Kerberos AD permet d'authentifier des utilisateurs issus d'un annuaire Active Directory. Cette méthode réalise une authentification transparente pour l’utilisateur, pour les utilisateurs utilisant un poste client membre du domaine et ayant ouvert une
session Windows avec leur compte de domaine. L'utilisateur est authentifié à chaque requête.
Kerberos AD authentifiera tout utilisateur de l'annuaire, cependant, pour que les politiques
(ainsi que les quotas, l'outrepassement, etc) puissent être appliquées, il faut que les
utilisateurs soient synchronisés dans l'Olfeo. Les utilisateurs non synchronisés seront
authentifiés et pourront accéder à internet, mais ils seront considérés comme des utilisateurs
inconnus et le moteur leur appliquera la politique par défaut.
Le proxy HTTP gère 2 versions de Kerberos AD : pour AD 2003 et antérieures, et 2008 et supérieures.
Modes d'intégration compatibles
L'authentification Kerberos AD peut uniquement être utilisée en mode proxy explicite. En effet, dans les autres modes d'intégration, le navigateur ne communique pas directement avec le proxy.
Contraintes et limitations
L'authentification Kerberos est un mécanisme fort, qui présente de fortes contraintes :
- Une infrastructure Active Directory est nécessaire, et l'Olfeo doit être joint au domaine Windows.
- Si vous avez des utilisateurs gérés via un annuaire autre qu'Active Directory, vous devrez utiliser une autre méthode d'authentification pour ceux-ci, et ajouter une exception à l'authentification Kerberos pour ces utilisateurs.
- L'authentification Kerberos présente un coût cryptographique important (ressources CPU). Un épuisement des ressources CPU se traduit par un grand nombre d'échecs d'authentification, ainsi que de gros ralentissements de surf pour les utilisateurs authentifiés.
- Pour assurer une bonne performance, les serveurs DNS utilisés doivent être très réactifs.
- L'authentification Kerberos n'est compatible avec Internet Explorer qu'à partir de la version 7.
- Au niveau des postes client, c'est le FQDN du proxy qui doit être renseigné, et non son adresse IP.
- Pour que l'authentification Kerberos AD fonctionne, l'Olfeo doit être synchronisé avec le serveur NTP interne à l'AD ou avec le même serveur NTP que l'AD. Voir Connecter votre Olfeo à un serveur NTP.
- Kerberos est incompatible avec les "clusters" Olfeo. Pour faire de la répartition de charge entre des machines Olfeo demandant une authentification Kerberos, utilisez un proxy.pac. Vous pouvez également définir un SPN identique pour les 2 machines (le SPN de la machine est défini dans l'AD).
- Le hostname de la machine ne peut excéder 15 caractères.
Mettre en place une authentification Kerberos AD
- Synchronisez le ou les annuaires Active Directory contenant vos utilisateurs. Dans la page de configuration de l'annuaire, remplissez la section
Domaine. Si vous synchronisez plusieurs AD, établissez les relations d'approbation appropriées pour que l'authentification prenne en compte tous les AD.
- À la page , dans la liste Méthode d'authentification, sélectionnez Kerberos ou Kerberos 2008 (selon la version de votre annuaire : voir ci-dessus). La page affiche les
options correspondantes et le champ Statut indique le domaine Windows auquel l'Olfeo est joint.
- Joignez l'Olfeo au domaine Windows.
Si besoin, modifiez le nombre de processus d'authentification instanciés dans le champ
Nombre d'instances. Le nombre d'instances correspond au nombre de
demandes d'authentification qui peuvent être traitées en parallèle à un instant donné.
- Dans la section Règles, définissez les cas dans lesquels une
authentification sera demandée ou non.
- Ajoutez une règle grâce au bouton .
- Définissez des critères :
- Sources : définissez les plages d'adresses IP concernées
par la règle.
- User-Agent : utilisez ce paramètre pour désactiver
l'authentification auprès du proxy HTTP pour certains types d'applications clientes
incapables de s'authentifier (lecteur audio/vidéo...). Définissez une expression
rationnelle sur l'en-tête User-agent de la requête. Attention, toutes les
requêtes n'incluent pas cet en-tête (le navigateur peut avoir été paramétré pour
l'omettre). Pour ajouter un user-agent, utilisez la dernière ligne du
tableau.
-
Ports du proxy : la règle ne s'appliquera qu'aux flux reçus
sur le port spécifié. La liste propose tous les ports qui ne sont pas en interception (en effet, l'interception ne tolère
pas l'authentification).
-
Destination : la règle s'appliquera uniquement aux requêtes à
destination de ces
domaines.
Vous pouvez indiquer des URLs spécifiques grâce à une expression rationnelle, ou
bien utiliser des listes d'URL ou des
listes de domaines existantes.
-
Authentification : définissez si dans le cas décrit par la
règle, le proxy doit demander une authentification ou non.
- Si besoin, modifiez l'ordre des règles grâce aux flèches et . Le proxy évaluera
les règles une par une de haut en bas : assurez-vous qu'aucune règle n'en bloque une
autre. Par exemple, positionnez une règle désactivant l'authentification pour la mise à jour d'un serveur applicatif avant une règle demandant l'authentification des utilisateurs du serveur, sinon les
mises à jour seront bloquées.
- Sous la liste de règles, dans la liste Par défaut, définissez le
comportement à adopter pour les requêtes ne correspondant à aucune des règles.
(Pas d'authentification, ou
Authentification).
- Cliquez sur le bouton Valider pour enregistrer les changements.