Procédure d'authentification kerberos, Authentification kerberos hp smh – HP Logiciel HP System Management Homepage Manuel d'utilisation

service/FQDN@REALM

(par exemple, HTTP/[email protected]

ou host/[email protected]).

Procédure d'authentification Kerberos

La section suivante décrit les opérations qui ont lieu lorsqu'un utilisateur accède à des services
sécurisés dans un domaine Kerberos.

Ces opérations ont lieu uniquement lorsque l'utilisateur se connecte initialement à un domaine
Kerberos et tente d'accéder pour la première fois à un service sécurisé par Kerberos.
1.

L'utilisateur ouvre une session sur le système (client) à l'aide de son nom d'utilisateur et de son
mot de passe de domaine.

2.

Le mot de passe de l'utilisateur est haché, et ce hachage devient la clé secrète de l'utilisateur.

3.

Lorsque l'utilisateur tente d'accéder à un service, un message signale au serveur AS que
l'utilisateur souhaite accéder à ce service.

4.

Si l'utilisateur figure dans la base de données AS, deux messages sont renvoyés au client :
a.

Une clé de session client/TGS est chiffrée à l'aide de la clé secrète de l'utilisateur, et
ensuite utilisée dans la communication avec le serveur TGS.

b.

Un ticket TGT (ticket-granting ticket) est chiffré avec la clé secrète du serveur TGS. Un
ticket est utilisé dans Kerberos pour prouver l'identité d'un utilisateur. Le ticket TGT permet
au client d'obtenir d'autres tickets afin de communiquer avec les services réseau.

5.

Lors de la réception de ces deux messages, le client déchiffre le message contenant la clé de
session client/TGS.

Le processus suivant a lieu chaque fois qu'un utilisateur souhaite s'authentifier auprès d'un service :
1.

Lorsque l'utilisateur demande à accéder à un service, il envoie deux messages au serveur
TGS :

•

Un message composé du ticket TGT et du service demandé

•

Un authentificateur, composé de l'ID du client et de l'horodatage actuel chiffrés avec la
clé de session client/TGS reçue précédemment

Les horodatages sont utilisés dans Kerberos pour éviter les attaques de réplication. Le décalage
entre les horloges des différents ordinateurs ne peut pas dépasser une limite spécifique.

2.

Le serveur TGS déchiffre l'authentificateur et renvoie deux nouveaux messages au client :

•

Le ticket client-à-serveur reçu en provenance du serveur TGS

•

Un autre authentificateur, composé de l'ID du client et de l'horodatage actuel chiffrés
avec la clé de session client/serveur

3.

Le service déchiffre le ticket client-à-serveur à l'aide de sa propre clé secrète et envoie au client
un message contenant l'horodatage reçu plus un, confirmant son identité réelle. Ce message
est chiffré à l'aide de la clé de session client/serveur.

4.

Le client déchiffre le message et vérifie son horodatage. S'il est correct, des demandes peuvent
être envoyées au service et il renvoie des réponses comme prévu.

Authentification Kerberos HP SMH

HP SMH fournit une fonctionnalité de

connexion unique (Single Sign-On [SSO])

Kerberos , qui

permet aux utilisateurs d'un domaine Kerberos de se connecter sans entrer de nom d'utilisateur et
de mot de passe dans la page Sign In. Si un utilisateur autorisé accède à HP SMH et possède des
informations d'identification Kerberos valides, la page Home s'affiche dans HP SMH.

L'authentification Kerberos s'effectue à l'aide du fichier spécial URL /proxy/Kerberos dans
HP SMH. En accédant à l'URL, SMH recherche des informations d'identification Kerberos dans la
demande et effectue l'authentification de l'utilisateur.

Si l'utilisateur ne possède pas d'informations d'identification Kerberos valides ou si une erreur se
produit durant le processus d'authentification, la page Sign In affiche un message d'erreur. Par

Case System Management Homepage

45