Paramétrage de la Edge Gateway pour permettre l'authentification Kerberos¶
Il est recommandé de placer les comptes administrateurs du domaine AD dans le groupe Protected Users. Une fois ces comptes placés dans Protected Users, les connexions NTML ne sont plus possibles et c'est le protocole Kerberos qui sera utilisé.
Pour que cette modification soit prise en compte dans cyberelements.io ou cyberelements Cleanroom, il faut configurer le paquet krb5-config au niveau des serveurs Edge Gateways pour leur permettre d'utiliser Kerberos.
Note
Pour que cette partie soit fonctionnelle, un flux Kerberos doit être ouvert entre les serveurs Edge Gateway et le serveur contrôleur de domaine de l'AD (ce serveur jouant le rôle de KDC, Kerberos Domain Controller).
Pour rappel il s'agit d'un flux par défaut UDP 88, la configuration suivante récupérant les informations Kerberos via DNS, le flux UDP 53 est aussi nécessaire.
Utilisez la ligne de commande suivante :
1 | |
Renseignez le royaume Kerberos en tapant le nom de votre domaine (FQDN) en majuscules.
Exemple
domaine : domain.local
royaume : DOMAIN.LOCAL
Répondez ensuite <NON> pour ne pas avoir à réaliser de configurations manuelles. Dans ce cas toutes les informations liées à Kerberos seront récupérées via DNS.
Information
Pour tout paramétrages avancés et manuels, il faudra modifier le fichier /etc/krb5.conf (aucun redémarrage de service requis après modification).
Les informations de paramétrage sont obtenables via man 5 krb5.conf.
A ce stade, et si aucune authentification Kerberos blindée n'est requise, la connexion à des applications RDP privilégiées en mode sans agent (HTML5 ou non) doit fonctionner avec des comptes utilisateurs appartenant à Protected Users. Le paramétrage de l'application RDP devant respecter certains prérequis.