Discussion :

[PierreHen]

Bonjour à tous,

je vous présente ma situation, j'ai développé un extranet pour une école (accès aux parents de l'exterieur, et élèves et professeurs de l’intérieur et extérieur des locaux).

l'extranet est un site joomla! hébergé sur un serveur debian, d'autres applications web sont présentent sur ce serveur (GLPI, GRR, ...).
Les utilisateurs sont authentifiés via 3 Active Directory (un pour l'administration, un pour les élèves/profs, et un pour les parents).

Je souhaite ajouter du SSO (Signle Sign On) à tout cela car retaper sont mot de passe 5 ou 6 fois n'est pas très agréable.
je me suis déjà penché sur la question et j'ai trouvé des solutions (CAS et Kerberos), cependant j'ai encore quelques interrogations et/ou soucis.

CAS:
- Je n'ai pas réussi à mettre CAS en multi-AD même s'il est précisé que l'on peut le faire.

Kerberos:
- Kerberos serait une très bonne solution car les utilisateurs seraient authentifier grâce à leur session dans l'établissement, mais je voulais savoir si un utilisateur se connectant sur l'extranet de l’extérieur, pourrait bénéficier du SSO grâce à cette authentification ou si cela n'était pas possible en dehors de l'établissement ?

J'attends avec impatience vos retours et conseils, et même vos autres propositions si vous en avez !

Merci d'avance,

Pierre

[Vil'Coyote]

le but du SSO en interne est d'associé le compte LDAP (windows) de l'utilisateur aux différent site et facilité sa connexion. Donc depuis l'extérieur difficile de connecter une session windows n'est pas?

Donc oui le SSO pourra marché depuis l'extérieur mais uniquement après une première authentification sur l'application centrale.

[PierreHen]

Effectivement il sera difficile d'ouvrir une session depuis l'extérieur. Pardon si je me suis mal exprimé, mais vous avez cependant répondu à une de mes interrogations.

Je me suis finalement lancé dans l'installation d'un Kerberos de test pour le moment (qui peut être configuré avec plusieurs AD), et je rencontre un léger obstacle, une sombre histoire de keytab.

"gss_accept_sec_context() failed: Unspecified GSS failure. Minor code may provide more information (, )"
Qui correspondrait à un mauvais kvno ou mot de passe de la machine dans /etc/krb5.keytab.

Je vois le soucis, mais je ne sais comment le régler, le KVNO du keytab est "Principal" alors qu'il devrait être "test-cas".

Si vous avez une idée je suis preneur.

Merci d'avance,

Pierre