Bien sûr. Voici une version plus concrète, un peu brouillonne, mais qui reste pertinente et inclut certains détails souvent négligés : — Dans le contexte de l’accès web en entreprise, la configuration de l’authentification Kerberos sur différents navigateurs peut s’avérer fastidieuse. Le plus souvent, le problème principal réside dans la configuration minimale requise par les navigateurs pour une communication fluide avec votre Active Directory. Si vous avez déjà tenté d’utiliser Chrome, Firefox ou IE pour une authentification Windows transparente sur des sites internes, vous avez probablement rencontré des difficultés, comme l’absence d’authentification unique (SSO) ou la demande d’identifiants par le navigateur. Ce guide est là pour vous aider. Il décrit la configuration de base permettant à vos navigateurs de faire confiance à vos tickets Kerberos Active Directory et de les transmettre sans problème. Vous aurez besoin d’un serveur web compatible Kerberos (par exemple : IIS avec l’authentification Kerberos activée), d’un utilisateur disposant des droits d’accès et d’une machine correctement connectée à Active Directory avec un TGT (Ticket d’octroi de tickets Kerberos) valide. Sans ces éléments, c’est peine perdue. Attention ; Les navigateurs gèrent les tickets et les zones différemment, alors croyez-moi, ces étapes permettent d’éviter le problème classique : « Pourquoi ce site demande-t-il une authentification à chaque fois ? »
Comment résoudre les problèmes d’authentification Kerberos dans les navigateurs
Activation de Kerberos dans Internet Explorer (11)
Tout d’abord, Internet Explorer est un peu ancien, mais reste étonnamment important dans certains cas. Lors du dépannage de Kerberos sur IE, l’essentiel est de s’assurer que les sites sont reconnus comme « intranet » et approuvés afin qu’IE envoie le jeton approprié.- Accédez aux Options Internet : vous pouvez y accéder via Panneau de configuration > Options Internet ou via l’icône d’engrenage dans IE.- Allez dans Sécurité, puis cliquez sur Intranet local et enfin sur Sites > Avancé.- Ici, ajoutez votre site, par exemple, https://*.woshub.comainsi que http://*.woshub.com. Ainsi, IE les traitera comme des sites intranet, ce qui est essentiel pour la prise en charge de Kerberos.- Pour une gestion plus simple, vous pouvez configurer ces paramètres via la stratégie de groupe : accédez à Configuration ordinateur > Stratégies > Modèles d’administration > Composants Windows > Internet Explorer et recherchez le paramètre Affectation de site à zone. Attribuez la valeur 1 (zone Intranet) à vos sites.- Ensuite, cliquez à nouveau sur l’ onglet Avancé. Assurez-vous que l’option Activer l’authentification Windows intégrée est cochée.- Important : si vous ajoutez des sites à la zone Sites de confiance, les jetons Kerberos ne seront pas envoyés. Gardez vos applications web internes, par exemple, strictement dans la zone intranet locale. Une fois cette configuration effectuée, Internet Explorer tentera de transmettre automatiquement vos tickets Kerberos de connexion lorsque vous visiterez ces URL. Parfois, un redémarrage ou même la suppression du cache peut résoudre le problème.
Utiliser Chrome pour accéder à Kerberos
Chrome utilise la configuration d’Internet Explorer en interne. La première étape consiste donc à vérifier que Internet Explorer est correctement configuré (voir ci-dessus).Cependant, il arrive, notamment avec les anciennes versions de Chrome, qu’il soit nécessaire d’ajouter explicitement votre domaine Kerberos à la liste blanche.- En ligne de commande, vous pouvez lancer Chrome avec les options suivantes : `–auth-server-whitelist= »*.woshub.com » –auth-negotiate-delegate-whitelist= »*.woshub.com »` – Pour une solution plus permanente, configurez ces règles via le registre : accédez à HKLM\SOFTWARE\Policies\Google\Chrome et créez ou modifiez les valeurs DWORD suivantes : – `AuthServerWhitelist` = `*.woshub.com` – `AuthNegotiateDelegateWhitelist` = `*.woshub.com` – Redémarrez Chrome après avoir appliqué ces paramètres.- N’oubliez pas non plus de supprimer les tickets Kerberos avec la commande : `bash klist purge` (voir le guide Microsoft ), puis d’actualiser votre navigateur.
Faire réussir Firefox aux contrôles Kerberos
Firefox fonctionne différemment : il n’utilise pas les paramètres système d’Internet Explorer. Vous devez donc lui indiquer explicitement les sites de confiance.– Dans Firefox, accédez à about:config et cliquez sur « Accepter le risque ».– Recherchez `network.negotiate-auth.trusted-uris` et définissez-le sur votre domaine, par exemple : plaintext https://*.woshub.com.– Faites de même pour `network.automatic-ntlm-auth.trusted-uris`.Vous pouvez définir les deux sur la même valeur.– Pour éviter les problèmes avec les noms de domaine pleinement qualifiés (FQDN), activez `network.negotiate-auth.allow-non-fqdn` et définissez-le sur `true`.– Si Firefox ne transmet toujours pas les tickets Kerberos, vérifiez votre cache de tickets : exécutez la commande `klist tickets` ou assurez-vous qu’il utilise bien vos identifiants de connexion.
Honnêtement, c’est un peu bizarre, mais une fois ces réglages effectués, les navigateurs transmettent généralement les informations d’identification Kerberos sans problème. Je ne sais pas pourquoi ça fonctionne parfois, mais sur certaines configurations, un redémarrage ou la suppression des caches/tickets klist suffit à débloquer la situation. Et oui, les mises à jour du navigateur perturbent toujours le système temporairement ; la patience est essentielle.
—
Résumé
- Assurez-vous que les sites se trouvent dans la zone Intranet local dans IE et Firefox.
- Vérifiez le paramètre de sécurité d’Internet Explorer : Activez l’authentification Windows intégrée.
- Pour Chrome, modifiez les options de ligne de commande ou les règles du registre pour ajouter votre domaine à la liste blanche.
- Videz le cache des tickets avec `klist purge` lorsque des problèmes surviennent ou que les tickets ne se rafraîchissent pas.
- Utilisez des outils comme Fiddler ou `klist tickets` pour vérifier ce qui est réellement envoyé.
Conclure
Configurer Kerberos dans les navigateurs n’est pas toujours simple, mais avec un peu de patience et les bons paramètres, l’authentification unique (SSO) sur votre intranet peut se faire sans problème. Parfois, il suffit d’un seul paramètre obscur pour tout bloquer, alors ne vous découragez pas. J’espère que cela vous évitera bien des soucis. Croisons les doigts pour que cela fonctionne et que vos navigateurs cessent enfin de demander vos identifiants toutes les deux minutes.