J’ai r\u00e9cemment impl\u00e9ment\u00e9 une authentification (automatique) avec Kerberos. Ce protocole permet d’authentifier automatiquement un utilisateur depuis sa session utilisateur (session windows par exemple). Via Kerberos, on authentifie donc un utilisateur sans lui demander son mot de passe ce qui est un plus (il n’a pas \u00e0 se re-logguer : on utilise le contexte d’authentification de Windows) en se basant sur le fait que s’il a ouvert une session utilisateur en son nom … alors tout est OK!<\/p>\n
En impl\u00e9mentant \u00e7a, j’ai eu pas mal de soucis dont j’ai eu du mal \u00e0 trouver des solutions dans les ressources disponibles aujourd’hui, d’o\u00f9 l’id\u00e9e de ce petit article.<\/p>\n
Attention : je ne suis pas expert Kerberos, donc certains termes\/certaines assertions ne sont peut \u00eatre pas correcte, j’exprime ici la mani\u00e8re dont j’en ai compris le fonctionnement.<\/strong><\/em><\/p>\n Kerberos expliqu\u00e9 \u00e0 un enfant de 5 ans (en anglais) : http:\/\/www.roguelynn.com\/words\/explain-like-im-5-kerberos<\/a>\/<\/p>\n R\u00e9sum\u00e9 en quelques lignes : Kerberos est un protocol d’authentification par ticket: le ticket est g\u00e9n\u00e9r\u00e9 par un syst\u00e8me tiers (le KDC – Key Distribution Center), inject\u00e9 dans un header HTTP, lut par votre navigateur. Ce ticket peut ensuite \u00eatre utilis\u00e9 par votre application qui va le faire valider par le KDC et peut ensuite s’assurer de la validit\u00e9e de l’authentification en r\u00e9cup\u00e9rant le contexte d’authentification de votre session utilisateur (votre nom d’utilisateur entre autre) depuis ce ticket.<\/p>\n Site du projet : http:\/\/projects.spring.io\/spring-security-kerberos\/<\/a><\/a><\/p>\n Pour commencer, vous avez besoin de deux composants permettant d’initier une n\u00e9gociation Kerberos, et de configurer ceux-ci dans la configuration Spring Security. Un exemple ici en Spring Config : <\/p>\n Ceci permettra, sur la page de login (ici \/login) de d\u00e9clencher une n\u00e9gociation Kerberos. Le navigateur va alors lire le ticket Kerberos et le mettre \u00e0 disposition pour le service d’authentification Kerberos.<\/p>\n Pour le ticket Kerberos soit valid\u00e9, il faut fournir un ensemble de configuration, c’est l\u00e0 que c’est le plus compliqu\u00e9 et le plus sp\u00e9cifique \u00e0 votre configuration Kerberos. Il vous faudra l’aide de vos administrateur du KDC (Key Distribution Center : vos administrateur Microsoft Active Directory pour une session windows) pour avoir un keytab et un krb5.ini. Ceux-ci permettent de faire le lien entre votre application et le KDC. <\/p>\n Pour vous aider \u00e0 vous retrouver dans tous \u00e7a :<\/p>\n Une fois que vous avez tous ceci, il vous faut configurer Kerberos, voici un petit exemple via Spring Config :<\/p>\n Et voici un exemple de krb5.ini :<\/p>\n Gr\u00e2ce \u00e0 kerberos, le navigateur va directement passer le contexte d’authentification de votre session Windows au KDC qui le validera. Ensuite, vous aurez une authentification Spring Security valide … mais sans autres informations sur votre utilisateur que son login Windows.<\/p>\n Pour aller plus loin, il vous faudra impl\u00e9menter votre propre UserDetailService qui ira, depuis le login de l’utilisateur, charger l’utilisateur depuis l’AD\n\/un LDAP\/ une base. A vous de voir en fonction de l’endroit o\u00f9 vous stockez les informations de l’utilisateur, et surtout, ses droits!\n\n<\/p>\n Avec Kerberos, l’int\u00e9gration d’un load balancer se trouve compliqu\u00e9. En effet, la n\u00e9gociation Kerberos s’effectue depuis le navigateur et depuis le host de votre application. Si l’URL de votre application est http:\/\/loadbalancer.exemple.com et que vos hosts sont host1.exemple.com et host2.exemple.com alors vous aurez un ticket Kerberos sur un principal HTTP\/loadbalancer.exemple.com@PC.EXEMPLE.COM et pas un ticket sur le principal HTTP\/host1.exemple.com@PC.EXEMPLE.COM.<\/p>\n Pour r\u00e9soudre ce probl\u00e8me, il faut sur chaque host derri\u00e8re le loadbalancer utiliser le m\u00eame principal et le m\u00eame keytab qui sont celui du loadbalancer et pas celui de l’host. C’est la seule mani\u00e8re que j’ai trouv\u00e9 de contourner le probl\u00e8me (m\u00eame si certain articles expliquent qu’il faut g\u00e9n\u00e9rer un keytab avec deux principal : un pour l’host et un pour le loadbalancer je n’ai pas r\u00e9ussit \u00e0 faire fonctionner cette configuration)\u00e0.<\/p>\n Voici deux articles sur le sujet :<\/p>\n <\/p>","protected":false},"excerpt":{"rendered":" Introduction J’ai r\u00e9cemment impl\u00e9ment\u00e9 une authentification (automatique) avec Kerberos. Ce protocole permet d’authentifier automatiquement un utilisateur depuis sa session utilisateur (session windows par exemple). Via Kerberos, on authentifie donc un utilisateur sans lui demander son mot de passe ce qui est un plus (il n’a pas \u00e0 se re-logguer : on utilise le contexte d’authentification de Windows) en se basant sur le fait que s’il a ouvert une session utilisateur en son nom … alors tout est OK! En impl\u00e9mentant…Comment marche Kerberos :<\/h2>\n
Impl\u00e9mentation avec Spring Security kerberos<\/h2>\n
Configuration de la s\u00e9curit\u00e9<\/h3>\n
\n@Configuration\n@EnableWebMvcSecurity\npublic class SecurityConfig extends WebSecurityConfigurerAdapter {\n @Autowired private AuthenticationManager authenticationManager;\n\n \/**\n * cr\u00e9\u00e9 un bean SpnegoAuthenticationProcessingFilter (filtre de n\u00e9gociation Kerberos)\n * @return\n *\/\n @Bean\n public SpnegoAuthenticationProcessingFilter spnegoAuthenticationProcessingFilter() {\n SpnegoAuthenticationProcessingFilter filter = new SpnegoAuthenticationProcessingFilter();\n filter.setAuthenticationManager(this.authenticationManager);\n return filter;\n }\n\n \/**\n * cr\u00e9\u00e9 un bean SpnegoEntryPoint (point d'entr\u00e9 de la n\u00e9gociation Kerberos)\n * @return\n *\/\n @Bean\n public SpnegoEntryPoint spnegoEntryPoint() {\n return new SpnegoEntryPoint(\"\/login\");\n }\n\n \/**\n * @inheritDoc\n *\/\n @Override\n protected void configure(HttpSecurity http) throws Exception {\n \/\/configuration Kerberos\n http.exceptionHandling().authenticationEntryPoint(spnegoEntryPoint());\n http.addFilterBefore(spnegoAuthenticationProcessingFilter(), BasicAuthenticationFilter.class);\n \/\/... autre conf ...\n }\n}\n<\/pre>\nConfiguration Kerberos<\/h3>\n
\n@Configuration\npublic class KerberosConfiguration {\n @Resource private UserDetailsService userDetailsService;\/\/votre UserDetailService permettant de charger votre utilisateur via son userName\n @Value(\"${kerberos.service_principal}\") private String servicePrincipal;\n @Value(\"${kerberos.keytab_location}\") private String keytabLocation;\n @Value(\"${kerberos.krb5_ini}\") private String krb5iniLocation;\n\n \/**\n * cr\u00e9\u00e9 un bean KerberosServiceAuthenticationProvider pour l'authentification Kerberos\n * @return\n *\/\n @Bean\n public KerberosServiceAuthenticationProvider kerberosServiceAuthenticationProvider() {\n KerberosServiceAuthenticationProvider provider = new KerberosServiceAuthenticationProvider();\n provider.setTicketValidator(sunJaasKerberosTicketValidator());\n provider.setUserDetailsService(this.userDetailsService);\n return provider;\n }\n\n \/**\n * cr\u00e9\u00e9 un bean de type SunJaasKerberosTicketValidator : c'est lui qui validera le ticket Kerberos (le header)\n * @return\n *\/\n @Bean\n public SunJaasKerberosTicketValidator sunJaasKerberosTicketValidator() {\n System.setProperty(\"java.security.krb5.conf\", krb5iniLocation);\n SunJaasKerberosTicketValidator ticketValidator = new SunJaasKerberosTicketValidator();\n ticketValidator.setServicePrincipal(servicePrincipal);\n ticketValidator.setKeyTabLocation(new FileSystemResource(keytabLocation));\n return ticketValidator;\n }\n}\n<\/pre>\n\n[libdefaults]\n dns_lookup_realm = true\n ticket_lifetime = 24h\n renew_lifetime = 7d\n forwardable = true\n rdns = false\n default_realm = PC.EXEMPLE.COM\n default_ccache_name = KEYRING:persistent:%{uid}\n permitted_enctypes = aes128-cts aes256-cts arcfour-hmac-md5\n\n[realms]\nPC.EXEMPLE.COM = {\n kdc = MYKDC.PC.EXEMPLE.COM\n admin_server = MYKDC.PC.EXEMPLE.COM\n default_domain = PC.EXEMPLE.COM\n}\n\n[domain_realm]\n.pc.exemple.com = PC.EXEMPLE.COM\npc.exemple.com = PC.EXEMPLE.COM\n\n[logging]\n kdc = FILE:\/var\/log\/krb5\/krb5kdc.log\n admin_server = FILE:\/var\/log\/krb5\/kadmind.log\n default = SYSLOG:NOTICE:DAEMON\n\n<\/pre>\nVotre user service<\/h3>\n