Authentification par identifiant NT : Différence entre versions
(→Changements sur le babNtAuth) |
(→Module AuthNtlm) |
||
| (8 révisions intermédiaires par 3 utilisateurs non affichées) | |||
| Ligne 1 : | Ligne 1 : | ||
| − | + | == Module AuthNtlm == | |
| + | |||
| + | Le module AuthNtlm (en cours de développement) devra permettre de se connecter à Ovidentia en utilisant le protocole NTLM. | ||
| + | |||
| + | L'implémentation actuelle (version pre-alpha) pose des problème avec IE6/7. Pour la faire fonctionner il est nécessaire de modifier la base de registres sur le poste client : dans '''HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings''' ajouter la valeur '''DisableNTLMPreAuth''' de type REG_DWORD et positionner sa valeur à '''1''' (true). | ||
| + | |||
| + | |||
| + | Important : L'identification de l'utilisateur par le "login NT" n'est pas un mode d'authentification sécurisé. | ||
== Proposition des évolutions à apporter dans le noyau pour utiliser l'identifiant NT du système == | == Proposition des évolutions à apporter dans le noyau pour utiliser l'identifiant NT du système == | ||
| Ligne 5 : | Ligne 12 : | ||
Sur la page de modification d'un utilisateur par l'administrateur, une case à cocher pour autoriser la connexion par identifiant uniquement. Lors de la première connexion de l'utilisateur, la case à cocher sera désactivée automatiquement. | Sur la page de modification d'un utilisateur par l'administrateur, une case à cocher pour autoriser la connexion par identifiant uniquement. Lors de la première connexion de l'utilisateur, la case à cocher sera désactivée automatiquement. | ||
| − | + | Lorsque la case est cochée, l'administrateur devra sélectionner la durée d'activité du cookie dans une liste déroulante similaire à celle proposée lors de la connexion par cookie. La connexion par cookie au niveau du site devra être activée pour utiliser la liste déroulante. | |
| − | Lors de l' | + | Lors de l'identification par login uniquement la durée du cookie ne sera pas modifiable par l'utilisateur |
| − | Note : il reste encore un trou de sécurité entre le moment ou l'administrateur active la fonction et la connexion suivante de l'utilisateur (il faut responsabiliser | + | Note : il reste encore un trou de sécurité entre le moment ou l'administrateur active la fonction et la connexion suivante de l'utilisateur (il faut responsabiliser l'administrateur avec les bons libellés) |
Libellé pour la case à cocher : Autoriser une fois la connexion avec le champ "Identifiant" uniquement | Libellé pour la case à cocher : Autoriser une fois la connexion avec le champ "Identifiant" uniquement | ||
| Ligne 22 : | Ligne 29 : | ||
Ajouter un lien sur l'interface d'administration pour poser un cookie sur la machine en cours à la place de l'utilisateur | Ajouter un lien sur l'interface d'administration pour poser un cookie sur la machine en cours à la place de l'utilisateur | ||
| + | |||
| + | == Utilisation du protocole NTLM == | ||
| + | |||
| + | NTLM (NT LAN Manager) est un protocole d'authentification supporté par Internet Explorer et Firefox. | ||
| + | Avec ce système, le client envoie automatiquement au serveur le login et le mot de passe système de l'utilisateur | ||
| + | |||
| + | Les navigateurs supportant NTLM : | ||
| + | * [http://www.apple.com/safari/download/ Safari 3] | ||
| + | * [http://www.mozillazine.org/talkback.html?article=3990 Firefox 1.0+] | ||
| + | * IE 5.5+ | ||
| + | |||
| + | === Configuration de Firefox === | ||
| + | Dans firefox NTLM est actif si l'URI du serveur est ajouté à '''network.automatic-ntlm-auth.trusted-uris''' (modifiable dans '''about:config''') : | ||
| + | * Dans la barre d'adresse de Firefox, saisir "about:config" | ||
| + | * Dans le filtre saisir '''ntlm''', puis dans la liste éditer l'entrée '''network.automatic-ntlm-auth.trusted-uris'''. Elle doit contenir une liste d'URI séparées par des virgules. | ||
| + | * Saisir les URI, par exemple: "http://host1.example.com,https://host2.example.com" | ||
| + | |||
| + | === Configuration IE === | ||
| + | |||
| + | Is there a reason that IE(IE7) would send NTLM instead of KERBEROS | ||
| + | after | ||
| + | setting IE as follows? | ||
| + | Is thee something else i have to lok for? | ||
| + | |||
| + | 1. put the requesting site in IE to local-network | ||
| + | |||
| + | 2. in the IE extended security option enable Integrated Windows Authentication | ||
| + | |||
| + | To configure Intranet Authentication: | ||
| + | |||
| + | 1. Click the Security tab, click Local intranet, and then click Custom Level. | ||
| + | |||
| + | 2. In the Security Settings dialog box, scroll down to the User Authentication section of the list. | ||
| + | |||
| + | 3. Select Automatic logon only in Intranet zone. This setting prevents users from having to re-enter logon credentials; a key piece to this solution. | ||
| + | |||
| + | 4. Click OK to close the Security Settings dialog box. In addition to the previous settings, one additional setting is required if you are running Internet Explorer 6.0. | ||
| + | |||
| + | 1. In Internet Explorer, click Tools, and then click Internet Options. | ||
| + | |||
| + | 2. Click the Advanced tab. | ||
| + | |||
| + | 3. Scroll down to the Security section. | ||
| + | |||
| + | 4. Make sure that Enable Integrated Windows Authentication (requires restart) is checked, and then click OK. | ||
| + | |||
| + | 5. If this box was not checked, restart the browser. | ||
| + | |||
| + | === Plus d'infos sur NTLM === | ||
| + | |||
| + | * [[http://en.wikipedia.org/wiki/NTLM NTLM sur Wikipedia]] (en anglais) | ||
| + | * [[http://www.innovation.ch/personal/ronald/ntlm.html NTLM Authentication Scheme for HTTP]] (en anglais) | ||
| + | * [[http://pear.php.net/pepr/pepr-proposal-show.php?id=396 NTLMProxy en PHP sur PEAR]] | ||
Version actuelle en date du 11 décembre 2008 à 14:43
Sommaire
Module AuthNtlm
Le module AuthNtlm (en cours de développement) devra permettre de se connecter à Ovidentia en utilisant le protocole NTLM.
L'implémentation actuelle (version pre-alpha) pose des problème avec IE6/7. Pour la faire fonctionner il est nécessaire de modifier la base de registres sur le poste client : dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings ajouter la valeur DisableNTLMPreAuth de type REG_DWORD et positionner sa valeur à 1 (true).
Important : L'identification de l'utilisateur par le "login NT" n'est pas un mode d'authentification sécurisé.
Proposition des évolutions à apporter dans le noyau pour utiliser l'identifiant NT du système
Sur la page de modification d'un utilisateur par l'administrateur, une case à cocher pour autoriser la connexion par identifiant uniquement. Lors de la première connexion de l'utilisateur, la case à cocher sera désactivée automatiquement.
Lorsque la case est cochée, l'administrateur devra sélectionner la durée d'activité du cookie dans une liste déroulante similaire à celle proposée lors de la connexion par cookie. La connexion par cookie au niveau du site devra être activée pour utiliser la liste déroulante.
Lors de l'identification par login uniquement la durée du cookie ne sera pas modifiable par l'utilisateur
Note : il reste encore un trou de sécurité entre le moment ou l'administrateur active la fonction et la connexion suivante de l'utilisateur (il faut responsabiliser l'administrateur avec les bons libellés)
Libellé pour la case à cocher : Autoriser une fois la connexion avec le champ "Identifiant" uniquement
Changements sur le babNtAuth
L'activation de l'activeX doit se faire sur la page d'authentification par formulaire HTML, il appartient à la personne qui crée le skin de rediriger l'utilisateur vers la page de login si celui-ci n'est pas connecté pour reproduire le fonctionnement du babNtAuth.
Le script qui obtient l'identifiant de windows par l'intermédiaire d'un activeX devra être mis dans le skin et intervenir sur la page d'identification par login uniquement.
Autre amélioration possible
Ajouter un lien sur l'interface d'administration pour poser un cookie sur la machine en cours à la place de l'utilisateur
Utilisation du protocole NTLM
NTLM (NT LAN Manager) est un protocole d'authentification supporté par Internet Explorer et Firefox. Avec ce système, le client envoie automatiquement au serveur le login et le mot de passe système de l'utilisateur
Les navigateurs supportant NTLM :
- Safari 3
- Firefox 1.0+
- IE 5.5+
Configuration de Firefox
Dans firefox NTLM est actif si l'URI du serveur est ajouté à network.automatic-ntlm-auth.trusted-uris (modifiable dans about:config) :
- Dans la barre d'adresse de Firefox, saisir "about:config"
- Dans le filtre saisir ntlm, puis dans la liste éditer l'entrée network.automatic-ntlm-auth.trusted-uris. Elle doit contenir une liste d'URI séparées par des virgules.
- Saisir les URI, par exemple: "http://host1.example.com,https://host2.example.com"
Configuration IE
Is there a reason that IE(IE7) would send NTLM instead of KERBEROS after setting IE as follows? Is thee something else i have to lok for?
1. put the requesting site in IE to local-network
2. in the IE extended security option enable Integrated Windows Authentication
To configure Intranet Authentication:
1. Click the Security tab, click Local intranet, and then click Custom Level.
2. In the Security Settings dialog box, scroll down to the User Authentication section of the list.
3. Select Automatic logon only in Intranet zone. This setting prevents users from having to re-enter logon credentials; a key piece to this solution.
4. Click OK to close the Security Settings dialog box. In addition to the previous settings, one additional setting is required if you are running Internet Explorer 6.0.
1. In Internet Explorer, click Tools, and then click Internet Options.
2. Click the Advanced tab.
3. Scroll down to the Security section.
4. Make sure that Enable Integrated Windows Authentication (requires restart) is checked, and then click OK.
5. If this box was not checked, restart the browser.
Plus d'infos sur NTLM
- [NTLM sur Wikipedia] (en anglais)
- [NTLM Authentication Scheme for HTTP] (en anglais)
- [NTLMProxy en PHP sur PEAR]
