- Impression
- SombreClair
- PDF
Configuration SSO-Kerberos
Configuration SSO avec Kerberos : Prérequis
D'abord, la documentation explique les étapes à suivre pour un serveur Windows Kerberos, bien qui serait possible d'avoir un serveur linux pour ce.
Ensuite, vous pouvez suivre les 10 étapes mentionnées ci-dessous afin de configurer SSO dans Constellio avec Kerberos.
Voici les informations nécessaires dont vous aurez besoin dans le document présent:
- <hostname> ou <fqd_hostname> du serveur Constellio. Exemple: constellio-dev.reso.local
- <short_hostname> du serveur Constellio. Exemple: constellio-dev
- <domaine> du client. Exemple: organisation.local
- <realm> du client (Toujours en majuscules). Exemple: ORGANISATION.LOCAL
- <user> nom d'utilisateur pour config AD. Exemple: administrateur
1. Le hostname du serveur Constellio
On met le Fully Qualified Domain (<fqd_hostname>) comme hostname du serveur Constellio.
Donc, dans linux, c'est-à-dire la console bash:
> hostname
Utiliser "sudo nmtui" et aller ensuite dans "Set system hostname"
Repartir hostnamed:
> systemctl restart systemd-hostnamed
2. (Sur un poste Windows du domaine) Tester
> ping <hostname>
3. Création de compte de service (<user> dans ldap)
Créer le user comme compte de service (il faut que le mot de passe n'expire pas) et il faut que le compte soit approuvé pour la délégation (trusted for delegation).
4. Déterminer le KDC (si l’information n’est pas disponible auprès de l’administrateur)
ping <domaine>
faire un "ping -a <ip du domaine>" et obtenir le hostname
le kdc est indiqué en minuscule, il devrait représenter le Fully Qualified Domain du serveur windows KDC/Kerberos.
le realm/domaine en majuscules.
5. setspn (Sur le serveur windows kerberos)
> setspn.exe -A HTTP/<short_hostname> <user>
> setspn.exe -A HTTP/<fqd_hostname> <user>
> setspn.exe -A HTTPS/<short_hostname> <user>
> setspn.exe -A HTTPS/< fqd _hostname> <user>
Valider les setspn pour l'utilisateur avec :
> setspn.exe -L <user>
6. Dans Constellio, installer le plugin SSO (plugin 010)
Pilotage > Gérer des plugins
7. Dans Constellio, activer la configuration LDAP et redémarrer
Pilotage > Configuration > Annuaire LDAP > Active Directory
8. Dans Constellio, activer la configuration SSO et redémarrer
Pilotage > Configuration > SSO
Il y a 4 champs à remplir, les autres sont gardés tel quels : KDC, Realm, Principal, Password
1 à 3 case(s) à cocher : activé, activé pour l’agent, mode débogage
<user> = Principal
<realm> = Realm
Mot de passe de <user> créer en 3 = Password
KDC trouvé en 4 = KDC
9. Dans Constellio, tester le login (avec un utilisateur existant). Si échec, activer le débogage dans les paramètres de la config SSO.
Redémarrer pour activer le mode debug avec Kerberos et consulter les journaux dans Pilotage / Exportation des données / Exporter les journaux.
10. Validation supplémentaire
En cas d’erreur : valider que le nom de domaine est bien un ANAME :
Avec ping <host>
Devrait retourner le même <host>