Archives mensuelles : mars 2016

Apache HTTPD : SSO dans un réseau d’entreprise Windows

Laisser un commentaire

1. Technologies utilisables pour le SSO

Services d'authentification :

IWA (Integrated Windows Authentication) fournie par le contrôleur de domaine Active Directory (Active Directory Domain Services). Voir également comment se déroule le processus d'authentification dans Windows en lisant Understanding Logon and Authentication

Fournisseurs d'identité :

Le contrôleur de domaine Active Directory (Active Directory Domain Services)

Fournisseur d'autorisation :

Le contrôleur de domaine Active Directory (Active Directory Federation Services)

Mécanisme de négociation :

SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism)

Méthodes / protocoles d'authentification :

NTLM sur HTTP (non documenté par Microsoft mais par un travail de reverse-engineering)
GSSAPI (Generic Security Service Application Program Interface)
SSPI (Security Support Provider Interface), une version modifiée de GSSAPI par Microsoft

Fournisseurs de sécurité :

NTLMSSP (NT MAN Manager Security Support Provider)
Kerberos (Protocole Kerberos)
Negotiate : Kerberos et en cas d'échec NTLM

2. Fonctions disponibles pour Apache HTTPD

Le serveur peut procéder à l'identification du client web en utilisant un module tiers.

Version 2.2.X Windows :

mod_auth_ntlm (NTLM sur HTTP)
mod_auth_sspi (SSPI + NTLMSSP)

Version 2.4.X Windows

mod_auth_sspi (SSPI + NTLMSSP)

Version 2.2.X Linux :

mod_auth_ntlm_winbind (NLTM sur HTTP)
mod_auth_kerb (GSSAPI + Kerberos)

Version 2.4.X Linux :

mod_auth_ntlm_winbind (NLTM sur HTTP)
mod_auth_kerb (GSSAPI + Kerberos)

3. Exemples

Cas 0 : NTLM sur HTTP

Cas 1 : SSPI + NTLMSSP

Cas 2 : GSSAPI + Kerberos