Configuration SSO-Kerberos

Configuration SSO avec Kerberos : Prérequis

D'abord, la documentation explique les étapes à suivre pour un serveur Windows Kerberos, bien qui serait possible d'avoir un serveur linux pour ce.

Ensuite, vous pouvez suivre les 10 étapes mentionnées ci-dessous afin de configurer SSO dans Constellio avec Kerberos.

Voici les informations nécessaires dont vous aurez besoin dans le document présent:

- <hostname> ou <fqd_hostname> du serveur Constellio. Exemple:   constellio-dev.reso.local

- <short_hostname> du serveur Constellio. Exemple:  constellio-dev

- <domaine> du client. Exemple: organisation.local

- <realm> du client (Toujours en majuscules). Exemple: ORGANISATION.LOCAL

- <user> nom d'utilisateur pour config AD. Exemple: administrateur

1. Le hostname du serveur Constellio

On met le Fully Qualified Domain (<fqd_hostname>) comme hostname du serveur Constellio.

Donc, dans linux, c'est-à-dire la console bash: 

> hostname

Utiliser "sudo nmtui" et aller ensuite dans "Set system hostname"

Repartir hostnamed: 

> systemctl restart systemd-hostnamed

2. (Sur un poste Windows du domaine) Tester 

> ping <hostname>

3. Création de compte de service (<user> dans ldap)

Créer le user comme compte de service (il faut que le mot de passe n'expire pas) et il faut que le compte soit approuvé pour la délégation (trusted for delegation).

4. Déterminer le KDC (si l’information n’est pas disponible auprès de l’administrateur)

ping <domaine>

faire un "ping -a <ip du domaine>" et obtenir le hostname

le kdc est indiqué en minuscule, il devrait représenter le Fully Qualified Domain du serveur windows KDC/Kerberos.

le realm/domaine en majuscules.

5. setspn (Sur le serveur windows kerberos)

> setspn.exe -A HTTP/<short_hostname> <user> 

> setspn.exe -A HTTP/<fqd_hostname> <user> 

> setspn.exe -A HTTPS/<short_hostname> <user> 

> setspn.exe -A HTTPS/< fqd _hostname> <user> 

Valider les setspn pour l'utilisateur avec : 

> setspn.exe -L <user>

6. Dans Constellio, installer le plugin SSO (plugin 010)

Pilotage > Gérer des plugins 

7. Dans Constellio, activer la configuration LDAP et redémarrer

Pilotage > Configuration > Annuaire LDAP > Active Directory

8. Dans Constellio, activer la configuration SSO et redémarrer

Pilotage > Configuration > SSO

Il y a 4 champs à remplir, les autres sont gardés tel quels : KDC, Realm, Principal, Password

1 à 3 case(s) à cocher : activé, activé pour l’agent, mode débogage

<user> = Principal

<realm> = Realm

Mot de passe de <user> créer en 3 = Password

KDC trouvé en 4 = KDC

9. Dans Constellio, tester le login (avec un utilisateur existant). Si échec, activer le débogage dans les paramètres de la config SSO.

Redémarrer pour activer le mode debug avec Kerberos et consulter les journaux dans Pilotage / Exportation des données / Exporter les journaux.

10. Validation supplémentaire

En cas d’erreur : valider que le nom de domaine est bien un ANAME : 

Avec ping <host>

Devrait retourner le même <host>