Résultats de recherche :
×
Single-Sign-On sur le site intranet utilisant le protocole Kerberos qui vous fournit un mécanisme d'authentification sécurisé pour tous les principaux systèmes d'exploitation comme Windows, Ubuntu, CentOS, RHEL, etc.
Kerberos permet une authentification sans mot de passe pour une connexion automatique au sein du réseau de domaine. Le protocole Kerberos rationalise le processus de connexion en éliminant le besoin de mots de passe et en améliorant la sécurité au sein de l'environnement réseau.
Protégez votre site Web ou votre application en limitant l'accès à ses pages depuis les réseaux externes. Assurez-vous que seuls les utilisateurs autorisés au sein du réseau peuvent accéder au contenu, améliorant ainsi la sécurité et protégeant contre les entrées non autorisées provenant de sources externes.
Kerberos est un protocole d'authentification basé sur des tickets qui utilise la cryptographie à clé partagée pour l'authentification et implique un centre de distribution de clés (KDC) tiers. Il utilise une série de tickets, notamment des tickets d'octroi de tickets (TGT) et des tickets de service, pour vérifier l'identité des utilisateurs et des services.
Dans Kerberos, aucun mot de passe réel n'est envoyé à la place, des tickets cryptés et des clés de session sont utilisés pour une authentification sécurisée.
NTLM fonctionne sur un mécanisme de défi/réponse qui implique que le serveur envoie un défi aléatoire au client. Le client répond avec une valeur hachée du défi, incorporant le mot de passe de l'utilisateur. Cette réponse hachée est renvoyée au serveur qui la valide.
Dans NTLM, les réponses de mot de passe hachées sont transmises entre le client et le serveur lors du mécanisme de défi-réponse.
Alors que les deux protocoles visent à garantir un accès sécurisé, le protocole Kerberos est généralement considéré comme plus sécurisé, offrant un cryptage plus fort et une résistance améliorée contre diverses attaques.
Kerberos utilise une cryptographie forte pour authentifier les utilisateurs, garantissant ainsi un accès sécurisé aux systèmes et aux ressources.
Le protocole Kerberos vérifie l'identité du client et du serveur, garantissant ainsi la sécurité de la communication et empêchant les attaques d'usurpation d'identité.
Kerberos est un protocole SSO largement adopté, pris en charge par divers systèmes d'exploitation et applications.
Il y a quelque temps, j'ai acheté le plugin Active Directory Integration / LDA et j'ai également utilisé d'autres plugins pour l'intégration de mon système de registre d'utilisateurs. Il y avait une certaine incompatibilité et mon système d'enregistrement d'utilisateur n'était pas totalement compatible. Un membre de l'équipe m'a aidé à résoudre chacune des incompatibilités. Il a travaillé pour moi en personnalisant le plugin jusqu'à ce qu'il soit entièrement pris en charge. Il n'a jamais travaillé avec une équipe d'assistance aussi efficace et dévouée. Je travaille avec beaucoup de plugins payants et aucune équipe d'assistance n'a réussi. Je recommande ce plugin à 100%
-agonzalez12MiniOrange a fait un excellent travail avec ce plug-in. Nous a donné exactement ce que nous recherchions avec l'authentification LDAPS. Le support a été formidable pour nous aider à mettre cela en œuvre. Bien content !
-BrianLaird
Je pense qu'il a été assez facile de mettre en œuvre le LDAP, et il propose également de nombreuses options pour récupérer des informations du LDAP comme l'e-mail, le nom, le téléphone... il est donc plus facile d'obtenir toutes ces informations dans vos tableaux. Les gens du support sont également très sympas, miniorange m'a aidé avec ma configuration qui était assez différente. Je recommanderai ce plugin.
- estoespersonnel
Après plusieurs tentatives pour résoudre moi-même certains problèmes de plugins, le formidable support est venu m'aider une fois de plus. Je peux vraiment suggérer et recommander ce plugin pour tous vos besoins. Le support sera là à chaque étape si nécessaire.
- markotomique93
Je suis assez impressionné par le très bon niveau de support, ce qui n'est pas si fréquent de nos jours. Le plugin est de niveau professionnel et fournit toutes les fonctionnalités annoncées, et bien plus encore !
- Fabienandréo
Depuis longtemps, je cherchais des plugins pour mes sites WordPress hébergés en partage et j'ai essayé un certain nombre de plugins, mais aucun d'entre eux ne répondait à mes exigences car ce plugin de Miniorange, les graphismes du plugin sont fantastiques et très faciles à utiliser. J'avais un mappage d'attributs et une exigence LDAPS et avec ce plugin, cela fonctionne très bien. Et le support est impeccable. J'ai soumis une demande de démo et j'ai reçu une réponse en quelques heures. Je le recommanderai assurément.
- mateoowen92
J'ai utilisé le plugin miniOrange LDAP pour faciliter l'authentification unique entre Active Directory et notre site WordPress hébergé sur un hébergement partagé Flywheel. Ils disposent d'une solution géniale pour réaliser le SSO sur les systèmes joints à un domaine. Les gars de miniOrange ont été très réactifs et serviables, je dois féliciter l'équipe d'assistance de miniorange pour sa réponse rapide à la résolution de mes problèmes.
- bennettfoddy
Nous sommes heureux de vous aider, n'hésitez pas à nous contacter
Vous avez des questions ou avez besoin d’assistance concernant la configuration de Kerberos ? Nous avons ce qu'il vous faut.
Pourquoi suis-je invité à saisir mes informations d'identification ?
Cela se produit lorsque le protocole NTLM est utilisé pour l'authentification au lieu de Kerberos.
Cela peut se produire pour plusieurs raisons :
Puis-je utiliser un utilisateur LDAP existant en tant que principal du service Kerberos ?
Oui, vous pouvez utiliser un utilisateur LDAP existant comme principal du service Kerberos. Cependant, cet utilisateur doit disposer d'un mot de passe défini pour ne jamais expirer. Veuillez vous assurer que ce compte n'est utilisé par aucun utilisateur, car l'application utilise ce compte comme principal du service Kerberos et le keytab correspondant pour obtenir un ticket Kerberos.
Qu'est-ce qu'un « client Kerberos », un « serveur Kerberos » et un « serveur d'applications » ?
Toute authentification dans Kerberos se produit entre les clients et les serveurs. Par conséquent, toute entité qui reçoit un ticket de service pour un service Kerberos est appelée « client Kerberos » dans la terminologie Kerberos. Les utilisateurs sont souvent considérés comme des clients, mais n’importe quel mandant peut en être un.
Le Key Distribution Center, ou KDC en abrégé, est généralement appelé « serveur Kerberos ». Le service d'authentification (AS) et le service d'octroi de billets (TGS) sont tous deux mis en œuvre par le KDC. Chaque mot de passe connecté à chaque principal est stocké dans le KDC. Pour cette raison, il est essentiel que le KDC soit aussi sûr que possible.
L'expression « serveur d'applications » fait souvent référence aux logiciels Kerberos que les clients utilisent pour interagir tout en s'authentifiant à l'aide de tickets Kerberos. Un exemple de serveur d'applications est le démon telnet Kerberos.
Comment sont nommés les royaumes ? Doivent-ils vraiment être en majuscules ?
En théorie, le nom du domaine est arbitraire. Vous pouvez nommer vos royaumes comme vous le souhaitez.
En pratique, un domaine Kerberos est nommé en mettant en majuscule le nom de domaine DNS associé aux hôtes dans le domaine à nommer. Par exemple, si vos hôtes sont tous dans le "exemple.com" domaine, vous pouvez appeler votre domaine Kerberos comme "EXEMPLE.COM".
Si vous souhaitez avoir deux domaines Kerberos dans le domaine DNS "miniorange.com" pour les ressources humaines et les ventes, vous pouvez créer les domaines Kerberos comme "HR.MINIORANGE.COM" et les "VENTES.MINIORANGE.COM"
La convention consistant à utiliser des majuscules pour les noms de domaine consiste à distinguer facilement les noms de domaine DNS (qui ne sont en réalité pas sensibles à la casse) des domaines Kerberos.
Les récentes révisions de la norme Kerberos ont spécifié que les noms de domaine en majuscules sont préférés et que les noms de domaine en minuscules sont obsolètes.
Quels programmes/fichiers doivent être installés sur chaque serveur d'applications ?
Sur chaque serveur d'applications, vous devrez mettre :
La partie la plus importante est la clé de cryptage ; il doit être envoyé à l'hôte du serveur d'applications de manière sécurisée. Habituellement, le principal de l'hôte (host/example.com@REALM) utilise cette clé. Il convient de noter que le client d'administration du MIT, kadmin, crypte chaque transfert entre lui et le serveur d'administration, ce qui permet d'utiliser ktadd en toute sécurité depuis kadmin tant que vous ne transmettez pas votre mot de passe administrateur sur le réseau en texte clair.
Si vous avez l'intention d'avoir des connexions utilisateur interactives sur vos serveurs d'applications, vous souhaiterez probablement également installer les binaires du client Kerberos sur chacun d'eux.
Qu’est-ce que le GSSAPI ?
GSSAPI est un acronyme ; il signifie Interface de programmation d'applications génériques de services de sécurité.
L'authentification client-serveur est gérée à l'aide de GSSAPI, une API à usage général. La raison en est que chaque système de sécurité possède sa propre API et que les API de sécurité diffèrent tellement qu'il faut beaucoup de travail pour ajouter divers systèmes de sécurité aux applications. L'API générique pourrait être écrite par les fournisseurs d'applications et serait compatible avec un large éventail de systèmes de sécurité s'il existait une API commune.
Qu’est-ce que l’authentification inter-domaines ?
N'importe quel principal Kerberos peut établir une connexion d'authentification avec un autre principal au sein du même domaine Kerberos. Cependant, un domaine Kerberos peut également être configuré pour permettre aux mandataires de différents domaines de s'authentifier les uns auprès des autres. C'est ce qu'on appelle l'authentification entre domaines.
Ceci est accompli en faisant en sorte que les KDC des deux royaumes partagent un secret unique entre royaumes, qui est utilisé pour valider l'identification des principaux lorsqu'ils traversent la frontière du royaume.
Comment changer la clé principale ?
Dans Kerberos 5, vous ne pouvez pas modifier la clé principale.
Vous avez la possibilité de modifier la clé principale à l'aide du kadmin. Cependant, la clé principale est utilisée pour chiffrer chaque entrée de la base de données et est probablement également conservée dans un fichier caché (en fonction de votre site). Le fichier caché ou tous les enregistrements de la base de données ne seront pas mis à jour si la clé principale est modifiée à l'aide de kadmin.
Pour changer la clé principale, Kerberos 4 proposait une commande et effectuait les actions nécessaires. Pour Kerberos 5, personne n’a (encore) implémenté cette fonctionnalité.
Besoin d'aide? Nous sommes ici !
