[Wapt] Authentification des clients par certificat

Denis Cardon dcardon at tranquil.it
Tue Feb 12 17:59:46 CET 2019


Bonjour Jordi,

> Lors de mes derniers échanges avec Hubert, il avait été évoqué la
> possibilité d’authentifier les clients par certificat.
>
> Si mes souvenirs sont exactes, il était possible de forcer la création
> d’un certificat client lors de l’installation, permettant ensuite une
> authentification https.
>
> Cela permettrait de s’affranchir de l’authentification Kerberos, qui
> devient difficile à gérer dans des organisation multi-domaines + workgroup.
>
> Ou puis-je trouver des infos sur cette fonctionnalité ?

l'authentification initiale est faite en Kerberos, ou identifiant/mdp, 
ou en mode "openbar". Lors de l'enregistrement le client faire une 
demande de signature de certificat (CSR) au le serveur WAPT. Ensuite le 
poste client utilise ce certificat signé pour s'authentifier. Donc tous 
les postes enregistrés que l'on voit dans la console WAPT ont déjà bien 
un certificat client pour s'authentifier et c'est ce mode qui est utilisé.

Après pour l'enregistrement, si l'on veut avoir un process transparent 
et sécurisé, il est nécessaire d'avoir un secret partagé au préalable. 
Pour cela on utilise le compte kerberos de la machine. Je ne vois pas 
trop quel autre secret partagé on pourrait utilisé.

Pour des postes qui sont dans des domaines différents, je ne l'ai pas 
encore fait, mais il doit être de mettre les exports keytab des deux 
domaines et laisser nginx se débrouiller. Ca nécessitera probablement un 
SPN au niveau de l'AD pour le compte de service utilisé.

J'espère que l'explication est suffisamment claire :-)

à bientôt, et bon WAPT 1.7!

Denis
>
>
>
> En vous remerciant d’avance.
>
> Bien cordialement
>
> Jordi Morillo
>
>
>
> _______________________________________________
> WAPT mailing list
> WAPT at lists.tranquil.it
> http://lists.tranquil.it/listinfo/wapt
>

-- 
Denis Cardon
Tranquil IT Systems
Les Espaces Jules Verne, bâtiment A
12 avenue Jules Verne
44230 Saint Sébastien sur Loire
tel : +33 (0) 2.40.97.57.55
http://www.tranquil.it

Samba install wiki for Frenchies : https://dev.tranquil.it
WAPT, software deployment made easy : https://wapt.fr


More information about the WAPT mailing list