J'aimerais pouvoir profiter de Kerberos sans avoir à joindre ma machine au domaine.
Pourquoi ? Parce que c'est une machine personnelle et que nous ne sommes pas autorisés à les joindre au domaine de l'entreprise (et nous ne le pouvons pas).
Réponse
Trop de publicités?
Voici ma réussite partielle jusqu'à présent. J'ai pu configurer l'authentification Kerberos mais seulement sur Firefox et Google Chrome, sur Safari cela ne fonctionne pas et il semble impossible de le faire fonctionner sans vraiment rejoindre le domaine.
Configuration de Kerberos sous OS X
>kinit username@EXAMPLE.COM
>klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: user@EXAMPLE.COM
Valid starting Expires Service principal
06/05/14 11:36:00 06/05/14 21:36:06 krbtgt/EXAMPLE.COM@EXAMPLE.COM
renew until 07/05/14 11:36:00Vous pouvez maintenant utiliser /System/Library/CoreServices/Ticket Viewer.app pour consulter le billet, ou pour le renouveler lorsqu'il expire.
CURL
curl -v --negotiate -u : -b ~/cookiejar.txt -c ~/cookiejar.txt --output /dev/null http://example.comFirefox
aller à about:config et configuration network.negotiate-auth.trusted-uris: .example.com
Chrome
defaults write com.google.Chrome AuthServerWhitelist "*.example.com"
defaults write com.google.Chrome AuthNegotiateDelegateWhitelist "*.example.com"Safari [cassé !]
Sur la base de https://www.pingidentity.com/support/solutions/index.cfm/How-to-configure-supported-browsers-for-Kerberos-NTLM#safari il semble que Safari n'utilise SPNEGO que lorsqu'il est joint au domaine. Sinon, il essaiera uniquement NTLM, qui est probablement désactivé car non sécurisé.
Toute contribution est la bienvenue !
