Mettre en place un SSO centralisé ??

fredouille
Messages : 7
Inscription : 25 août 2014, 21:38

Mettre en place un SSO centralisé ??

Message par fredouille » 26 août 2014, 21:52

Bonjour à tous,

Depuis quelques temps je cherche une solution pour mettre en place une authentification de type SSO pour mon réseau.
De là je ne sais pas trop comment faire, ni même ce que je dois utiliser, d'où ma question : comment mettre en place un SSO ?

Pour pouvoir me répondre l'idéal, je pense, est de vous dresser un tableau de ma situation précise et de mon besoin.

Une machine x64 sur laquelle est installé CentOS 6.5 qui distribue tous les services que j'utilise aujourd'hui :
- Bind9 pour le DNS
- dhcpd pour l'adressage IP
- Samba3 pour le partage de fichiers
- Squid pour le service proxy
- squidGuard pour le filtrage groupes/Internet
- un LAMP pour un service WEB en ligne

3 machines en dual-boot avec CentOS pour la distribution Linux et soit Windows XP ou 7 pour le coté Windows (je suis contrains de conserver Windows pour mes enfants qui passent leur temps à jouer dessus et ma femme qui a accepté de passer sur Linux seulement le jour où tout fonctionnera…, c'est ainsi... :cry: )

Tous ces services fonctionnent et remplissent très bien leur fonction indépendamment les uns des autres ; à un détail près :
Actuellement mes utilisateurs (que je vais appeler users) doivent donc ouvrir leur session avec un couple login/mot-de-passe ; puis dès qu'ils veulent aller surfer sur Internet ils ouvrent un navigateur Internet (Firefox ou IE) et un popup apparait leur demandant un nouveau couple login/mot-de-passe.

Au début tout fonctionnait et tout le monde était content, sauf que aujourd'hui tous mes users ont changé leur mot de passe de session (soit avec Windows en passant par Samba3, soit directement sous Linux).

Mais le souci est maintenant car Samba3 fonctionne avec son backend tdbsam, et squid avec un fichier texte…, et tous mes users ont plusieurs couples login/mdp à se souvenir...

De là je pensais mettre en place un SSO en utilisant Kerberos mais bien évidement ce service utilise lui aussi sa propre database…

Donc mon idée est la suivante :
Pourquoi ne pas centraliser toutes les données login/mot-de-passe dans une base commune ? :idea:

Ben oui, les 3 voir 4 services nécessitant une authentification peuvent être connectés à une base Openldap….

Maintenant mes questions finales :
Est-il possible de faire ce que je souhaite ? (de mes recherches Internet je pense que oui)
Est-il possible de réaliser ceci avec les éléments cités, savoir Openldap, Kerberos, Samba3 et Squid ? (de mes recherches Internet je pense que oui)
Pour combler mon bonheur : est-il possible de relier l'authentification des systèmes Linux sur cette même base ?

Dans quel ordre dois-je commencer pour mettre tout ceci en place ?
Je pose cette question car je n'ai jamais réussi à trouver des tutos ou fils qui aient fonctionné quand je les ai essayé .... :x

Dois-je commencer par installer tous les paquets nécessaires ou alors je pourrai le faire au fur et à mesure ?
Encore cette question parce que OpenLDAP a besoin que tous ces schemas soient disponibles lors de la génération de la config de base si on veut utiliser Openldap en dynamique (ce qui est plus d'actualité que la config statique....)

Dans l'espoir d'une âme charitable qui voudra m'apporter son aide…
Voir si vous avez tutos fiables et complets à me proposer, j'en serai bien ravi...

D'avance merci à tous pour vos réponses,

Fredouille
J'essaye souvent mais cela ne fonctionne pas toujours.....

Beta-Pictoris
Messages : 1017
Inscription : 07 janvier 2014, 21:48
Localisation : Angers, France

Re: Mettre en place un SSO centralisé ??

Message par Beta-Pictoris » 28 août 2014, 00:05

Avec samba 3, tu peux, par exemple, créer un domaine NT. Regarde, ici la documentation redhat à ce sujet.

fredouille
Messages : 7
Inscription : 25 août 2014, 21:38

Re: Mettre en place un SSO centralisé ??

Message par fredouille » 28 août 2014, 20:35

@Beta-Pictoris,

Salut,
Pour commencer : merci bien pour ta réponse, c'est rassurant de lire que ce que je souhaite mettre en place est réalisable et pas trop farfelu...
j'ai bien regardé le lien que tu me proposes : très intéressant.

Dans un premier temps, je pense essayer de mettre en place un openldap de base et tenter de configurer l'authentification de mes users Linux en utilisant sssd, qui semble plus au goût du jour que pam-ldap ; qu'en penses-tu ?

Sachant que déjà là je pars à l'aventure car je ne connais absolument rien à openldap, il semble y avoir 15 000 possibilités (je me sens un peu perdu) et surtout depuis que le temps que j'essaye de mettre un ldap, je commence un peu à en avoir un peu peur :oops: ....

Tu n'aurais pas un howto fiable et viable à me proposer, des fois ????

Ensuite si tout va bien je tenterai d'implanter un samba4 au lieu d'un samba3, même si samba4 est encore en cours de développement, il me semble plus judicieux de partir avec ..

Merci encore pour ta réponse,

Fredouille,
J'essaye souvent mais cela ne fonctionne pas toujours.....

Beta-Pictoris
Messages : 1017
Inscription : 07 janvier 2014, 21:48
Localisation : Angers, France

Re: Mettre en place un SSO centralisé ??

Message par Beta-Pictoris » 29 août 2014, 13:43

Puisque tu as tous les services sur la même machine, je pense que samba pourrait suffire.

fredouille
Messages : 7
Inscription : 25 août 2014, 21:38

Re: Mettre en place un SSO centralisé ??

Message par fredouille » 29 août 2014, 17:21

@Beta-Pictoris,

Je serai bien d'accord avec toi, sur le principe, mais la dernière fois que j'ai essayé de passer sans une centralisation des données (donc sans openldap) je me suis trouvé confronté au fait que Samba (3) fonctionnait sur son backend tdbsam, Squid sur son flat file users et Kerberos sur sa propre backend...

Et avec cette configuration je n'ai pas trouvé de moyen pour lier tout ceci ensemble de telle sorte qu'un seul et unique changement de mot-de-passe (par samba donc) mette à jour les trois backends en même temps....

A moins que tu n'aies une idée ou solution pour que Kerberos, Samba et Squid utilisent la même base, là franchement je ne vois pas ....

Fredouille
J'essaye souvent mais cela ne fonctionne pas toujours.....

Beta-Pictoris
Messages : 1017
Inscription : 07 janvier 2014, 21:48
Localisation : Angers, France

Re: Mettre en place un SSO centralisé ??

Message par Beta-Pictoris » 29 août 2014, 18:04

Squid gère l'authentification ntlm. Je pense qu'il devrait être capable de s'authentifier auprès d'un pdc samba. On trouve des exemples sur google, par exemple ici. Maintenant, je ne peux pas dire si ça marche toujours correctement.

Maintenant, si tu veux utiliser ldap, installe alors une centos 7 pour bénéficier de samba 4.1 et créer un domaine AD.

Répondre