3.5. Configuration de l'authentification Kerberos

3.5.1. Prise en charge des listes blanche et noire

Pour configurer l'authentification Kerberos pour Active Directory, suivez les étapes ci-après.

Pour bénéficier de toutes les fonctionnalités offertes par l'authentification Kerberos, il est nécessaire d'indiquer les informations d'identification d'un utilisateur disposant d'un accès en écriture à Active Directory. Cet utilisateur sert à lire les utilisateurs et à supprimer les entrées d'ordinateur du répertoire.

Procédure

Vous devez configurer le serveur Active Directory et les hôtes Oracle VDI avant de configurer le répertoire utilisateur dans l'interface Oracle VDI Manager :

  1. L'authentification Kerberos doit être activée dans Active Directory.

    Elle doit déjà être activée en tant que configuration par défaut.

  2. Assurez-vous que chaque forêt Active Directory possède un serveur de catalogue global.

    Dans chaque forêt, configurez un contrôleur de domaine en tant que serveur de catalogue global.

  3. Définissez le Niveau fonctionnel de la forêt.

    Si le Contrôleur de domaine fonctionne sous Microsoft Windows Server 2008 R2, le Niveau fonctionnel de la forêt doit être défini sur Windows Server 2008 ou Windows Server 2008 R2 (et non pas sur la valeur utilisée par défaut, Windows Server 2003). Pour plus d'informations sur le Niveau fonctionnel de la forêt, reportez-vous à la documentation de Microsoft.

  4. Synchronisez l'heure des hôtes Oracle VDI avec celle du serveur Active Directory.

    Pour vérifier que les horloges de tous les hôtes sont synchronisées, utilisez le logiciel Network Time Protocol (NTP) ou la commande rdate.

    Par exemple, utilisez ntpdate my.windows.host.

    Dans un environnement de production, cela convient mieux qu'un serveur de temps NTP.

  5. Modifiez le fichier de configuration Kerberos par défaut du système dans les hôtes Oracle VDI.

    Le fichier de configuration Kerberos par défaut du système est :

    • /etc/krb5/krb5.conf dans les plates-formes Oracle Solaris.

    • /etc/krb5.conf dans les plates-formes Oracle Linux.

    Attention

    La mise en majuscules des noms de domaine dans le fichier de configuration Kerberos est très importante pour vous assurer que vous respecter la mise en majuscules, comme indiqué dans l'exemple.

    Le fichier de configuration Kerberos doit au moins comporter les sections suivantes :

    • [libdefaults] : définit les paramètres par défaut de l'authentification Kerberos. Vous devez définir le domaine default_realm.

    • [realms] : définit les KDC pour chaque domaine Kerberos. Un domaine peut avoir plusieurs kdc. Le port peut être omis si le port par défaut 88 est utilisé.

      Pour que les utilisateurs finaux puissent mettre à jour leur mot de passe (voir la Section 6.2.4, « Modification d'un mot de passe utilisateur »), les détails du serveur chargé du changement de mot de passe pour chaque domaine Kerberos doivent être spécifiés. Les entrées kpasswd_server et admin_server identifient le serveur d'administration Kerberos qui gère le changement de mot de passe. Lorsque kpasswd_server est omis, admin_server est utilisé à la place. Le port peut être omis en cas d'utilisation du port 464 par défaut.

      Format de la définition d'un domaine :

      REALM_NAME = {
      kdc = host:port
      kdc = host:port
      ...
      kpasswd_server = host:port
      admin_server = host:port
      kpasswd_protocol = SET_CHANGE
      }
      
    • [domain_realm] : associe les domaines Active Directory aux domaines Kerberos.

      Vous trouverez ci-dessous un exemple du fichier de configuration Kerberos pour une forêt à un seul domaine :

      [libdefaults]
      default_realm = MY.COMPANY.COM
      
      [realms]
      MY.COMPANY.COM = {
      kdc = my.windows.host
      admin_server = my.windows.host
      kpasswd_protocol = SET_CHANGE
      }
      
      [domain_realm]
      .my.company.com = MY.COMPANY.COM
      my.company.com = MY.COMPANY.COM
  6. Vous pouvez vérifier que Kerberos et la résolution de noms requise sont correctement configurés à l'aide de getent, nslookup et kinit.

    Exemple :

    • # getent hosts <my.windows.host> doit renvoyer l'adresse IP et le nom d'hôte

    • # getent hosts <IP_of_my.windows.host> doit renvoyer l'adresse IP et le nom d'hôte

    • # nslookup -query=any _gc._tcp.<my.company.com> doit résoudre le domaine

    • # kinit -V <super-user@MY.COMPANY.COM> doit réussir

  7. Redémarrez le service VDA.

    # /opt/SUNWvda/sbin/vda-service restart
  8. Configurez le répertoire utilisateur dans Oracle VDI Manager.

    1. Dans Oracle VDI Manager, accédez à Paramètres, puis à Société.

    2. Dans le tableau Sociétés, cliquez sur Nouveau.

      L'assistant Nouvelle société s'affiche.

    3. A l'étape Sélection du répertoire utilisateur, sélectionnez Active Directory.

    4. A l'étape Spécification de la connexion, configurez l'authentification Kerberos.

      1. Sélectionnez Authentification Kerberos.

      2. Dans le champ Domaine, entrez le nom de domaine Active Directory.

        Par exemple, my.company.com.

      3. Dans les cases Nom d'utilisateur et Mot de passe, entrez le nom principal d'un utilisateur qui dispose des privilèges appropriés pour écrire dans Active Directory.

        Par exemple, super-user ou super-user@my.company.com.

    5. A l'étape Définir la société, saisissez les détails de la société.

      1. Dans le champ Nom, saisissez le nom de la société.

      2. (Facultatif) Dans le champ Non du domaine de messagerie, saisissez un ou plusieurs noms de domaines de messagerie.

        Saisissez plusieurs noms de domaines sous la forme d'une liste séparée par des virgules.

        Si vous saisissez un domaine de messagerie, les utilisateurs peuvent se connecter à l'aide de leur adresse e-mail.

      3. (Facultatif) Dans le champ Commentaires, saisissez toute remarque à propos de la société.

    6. A l'étape Vérification, vérifiez la configuration de la société et cliquez sur Terminer.

      La nouvelle société est ajoutée au tableau Sociétés.

Plus d'informations sur l'authentification Kerberos

Pour plus d'informations sur l'authentification Kerberos :

3.5.1. Prise en charge des listes blanche et noire

Oracle VDI prend en charge la fonction de listes blanche et noire pour l'authentification Kerberos. Cette fonction est un ensemble facultatif de listes de noms d'hôtes pouvant être spécifiées pour une société, et permet de mieux contrôler les serveurs Active Directory que Oracle VDI peut interroger.

La liste blanche du répertoire constitue la liste des serveurs de catalogue global Active Directory (séparés par des virgules) systématiquement utilisés pour les requêtes LDAP. L'ordre des serveurs dans la Liste blanche est important. Lorsque Oracle VDI ne peut pas contacter le premier serveur de la liste, il passe au suivant. La liste noire du répertoire est la liste des serveurs Active Directory (séparés par des virgules) qui ne sont jamais utilisés pour les requêtes LDAP. Les paramètres de la liste noire sont prioritaires sur ceux de la liste blanche.

Cette fonction ne peut être activée que dans l'interface de ligne de commande.