[Wapt] Authentification des clients par certificat
Denis Cardon
dcardon at tranquil.it
Tue Feb 12 17:59:46 CET 2019
Bonjour Jordi,
> Lors de mes derniers échanges avec Hubert, il avait été évoqué la
> possibilité d’authentifier les clients par certificat.
>
> Si mes souvenirs sont exactes, il était possible de forcer la création
> d’un certificat client lors de l’installation, permettant ensuite une
> authentification https.
>
> Cela permettrait de s’affranchir de l’authentification Kerberos, qui
> devient difficile à gérer dans des organisation multi-domaines + workgroup.
>
> Ou puis-je trouver des infos sur cette fonctionnalité ?
l'authentification initiale est faite en Kerberos, ou identifiant/mdp,
ou en mode "openbar". Lors de l'enregistrement le client faire une
demande de signature de certificat (CSR) au le serveur WAPT. Ensuite le
poste client utilise ce certificat signé pour s'authentifier. Donc tous
les postes enregistrés que l'on voit dans la console WAPT ont déjà bien
un certificat client pour s'authentifier et c'est ce mode qui est utilisé.
Après pour l'enregistrement, si l'on veut avoir un process transparent
et sécurisé, il est nécessaire d'avoir un secret partagé au préalable.
Pour cela on utilise le compte kerberos de la machine. Je ne vois pas
trop quel autre secret partagé on pourrait utilisé.
Pour des postes qui sont dans des domaines différents, je ne l'ai pas
encore fait, mais il doit être de mettre les exports keytab des deux
domaines et laisser nginx se débrouiller. Ca nécessitera probablement un
SPN au niveau de l'AD pour le compte de service utilisé.
J'espère que l'explication est suffisamment claire :-)
à bientôt, et bon WAPT 1.7!
Denis
>
>
>
> En vous remerciant d’avance.
>
> Bien cordialement
>
> Jordi Morillo
>
>
>
> _______________________________________________
> WAPT mailing list
> WAPT at lists.tranquil.it
> http://lists.tranquil.it/listinfo/wapt
>
--
Denis Cardon
Tranquil IT Systems
Les Espaces Jules Verne, bâtiment A
12 avenue Jules Verne
44230 Saint Sébastien sur Loire
tel : +33 (0) 2.40.97.57.55
http://www.tranquil.it
Samba install wiki for Frenchies : https://dev.tranquil.it
WAPT, software deployment made easy : https://wapt.fr
More information about the WAPT
mailing list