NGINX avec une authentification Kerberos

Salut à tous, ça vous dirait d’apprendre à configurer NGINX avec une authentification Kerberos sous CentOS 7 ? C’est le sujet d’aujourd’hui, vu que j’ai eu besoin de le faire au boulot récemment. Il s’avère que c’est un poil plus suant qu’avec Apache. Bref on y va.

Kerberos ?

Pour ceux qui ne savent pas ce que c’est, kerberos est un protocole d’authentification. Sa particularité est de reposer sur des clés secrètes partagées entre le client et un serveur tiers (le KDC). Vous trouverez pas mal de documentations, plus ou moins exactes, sur le net (c’est un protocole qui date un peu et qui n’est pas forcément super intuitif non plus). On peut vulgariser son utilisation ainsi :

  • A l’ouverture de votre session, le KDC vous délivre un TGT (Ticket Granting Ticket) protégé par un secret partagé entre vous et le KDC.
  • Lorsque vous souhaitez accéder à un service authentifié en kerberos (genre un site web), vous demandez au KDC un TGS (Ticket Granting Service) pour ce service, à l’aide de votre TGT. Ce TGS est protégé (en partie) par la clé secrète du service (que le service partage de son côté avec le KDC)
  • Il vous suffit alors
Lire la suite

TP PowerShell – Mesurer la taille de son token Kerberos-ActiveDirectory

La taille est un problème pour certains d’entre nous, ceux qui sont concernés savent de quoi je parle… Accès aléatoire aux ressources réseau, problème au logon, etc.
Bref ça rentre plus…

En effet jusqu’à Windows 2008R2 la taille du token Kerberos une infra Active Directory est par défaut limité à 12Ko (et 48Ko à partir de 8 et 2012). On peut très simplement changer ce réglage en réglant la clé de registre suivante sur les machines:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
    Entrée : MaxTokenSize
    Type de données : REG_DWORD
    Valeur : 48000
    Source : [MS KB938118](https://support.microsoft.com/fr-fr/kb/938118)

Le problème c’est qu’il est compliqué d’estimer la taille des tokens de vos utilisateurs pour anticiper les problèmes. Ces derniers ne sont d’ailleurs pas toujours évidents à détecter, car l’ordre des tickets stocké dans le token n’est pas déterministe, et Windows tronque ce qui dépasse quand c’est nécessaire : ainsi d’un logon à l’autre vous pouvez avoir des accès différents aux ressources accédées via des groupes AD.

Seul un Event Id 31 du KDC dans l’eventvwr vous permet d’avoir l’info quand le problème se présente. Pas mal d’info ici

Mais ce qu’on aimerait bien c’est de pouvoir connaître les utilisateurs qui posent problème ou vont bientôt poser problème. … Lire la suite

API REST pour Keepass en Powershell : Article MISC 108

Hello à tous, l’année 2020 a été généreuse en articles MISC pour moi, et comme pour mes précédentes publications chez eux, j’ai repris la licence de « type B », Du coup aujourd’hui, je vous partage l’article de mars dernier sur le thème du développement d’une API REST pour Keepass en Powershell.

J’en profite pour préciser que l’article en question fera office de la fameuse documentation Kerberos que je vous promet maintenant depuis plusieurs années… voilà c’est fait comme ça, ce n’est plus dans ma todo 🙂 !

Voilà c’est tout : bonne lecture à tous et @+


KeeRest : mettez du DevOps dans votre KeePass

MISC 108 | mars 2020 | Étienne LADENT & Arnaud PETITJEAN

Nous avions vu dans MISC n°103 comment déployer une base KeePass en mode SaaS ciblant les particuliers ou de petits périmètres professionnels. Dans un autre monde, les pratiques DevOps se démocratisent et demandent d’augmenter l’agilité des développements tout en réduisant les délais de mise en production. Cet article est le fruit d’une collaboration entre un DevOps et un ingénieur SSI pour voir de quelle manière il est possible de tirer profit de KeePass dans ces environnements.

La gestion des mots de passe en entreprise … Lire la suite

KeePass et PowerShell – à vos MISC ? prêt ? Partez !

Salut à tous ! Bon je sais, ça fait encore un mois que j’ai rien écrit sur le blog… Mais c’est pour la bonne cause : je viens d’être publié dans le N°108 de MISC ! Je vous propose un petit sujet sur KeePass et PowerShell page 68 (en kiosque depuis le 28 février 2020) ! Je vous tease le titre :

KeePass et PowerShell

KeeRest : mettez du DevOps dans votre KeePass

Comme vous l’aurez remarqué, c’est le second article sur KeePass que je publie. Je commence à avoir bien fait le tour du sujet maintenant entre le post sur KeePass2 et la synchronisation SSH/SFTP entre Windows, Linux et Android et le second article dans le n°103 de MISC et enfin celui-ci sur KeePass et PowerShell.

Une fois n’est pas coutume, mais cet article est le fruit d’une collaboration avec un copain MVP PowerShell : Arnaud Petitjean, un ancien collègue administrateur du site powershell-scripting.com. Le nom vous rappel un truc ? c’était avec lui que j’avais écrit ce post :

API REST en PowerShell – développez avec Polaris !

Cette collab explique aussi que le papier est un poil moins orienté sécu que d’habitude (et plus système), néanmoins j’ai profite … Lire la suite