https://connect.hyland.com/t5/alfresco-archive/sso-avec-kerberos-client-sent-an-ntlmssp-security-blob/m-p/151300#M106071 <HTML><HEAD></HEAD><BODY><SPAN>Bonjour,</SPAN><BR /><BR /><SPAN>J'essaye de configurer Alfresco de manière à faire fonctionner le SSO en utilisant Kerberos.</SPAN><BR /><BR /><BR /><SPAN>Voici l'environnement sur lequel je travaille :</SPAN><BR /><SPAN>- Mon poste personnel qui se trouve dans le domaine domaine.fr sert de poste client dans le cadre de mon test. Il tourne sous Windows 7 Pro et les tests sont réalisés sous IE8.</SPAN><BR /><SPAN>- Le serveur Alfresco se trouve sur une VM sous CentOS 5. Il s'agit d'Alfresco 3.3g qui tourne sous Tomcat 6.</SPAN><BR /><SPAN>- Enfin, j'ai créé un Active Directory sous une VM Windows Server 2008 R2. Cette VM est le contrôleur du domaine domaine.local (nom de domaine netbios = DOMAINE0) que j'ai créé spécialement pour l'occasion.</SPAN><BR /><BR /><SPAN>Je n'ai pas de DNS, donc je travaille avec les IP de mes serveurs :</SPAN><BR /><SPAN>- Poste client : xx.xx.xx.35</SPAN><BR /><SPAN>- Serveur Alf : xx.xx.xx.60</SPAN><BR /><SPAN>- Serveur AD : xx.xx.xx.28</SPAN><BR /><BR /><BR /><SPAN>Dans un premier temps, j'ai testé mon environnement en configurant le passthru pour faire du SSO =&gt; Aucun problème particulier.</SPAN><BR /><SPAN>Lorsque j'accède à l'appli, j'ai une fenêtre de connexion Windows qui s'affiche. Je saisis le login/mot de passe d'un compte de mon AD en indiquant le domaine DOMAINE0 et je me connecte automatiquement à Alfresco (sans passer par la page de login).</SPAN><BR /><BR /><SPAN>Après ce premier test de contrôle, j'ai suivi les consignes sur la page du wiki relative à Kerberos. Dans mon cas, CIFS ne sera pas activé, je ne me suis donc intéressé qu'à la partie HTTP.</SPAN><BR /><SPAN>- Création du compte alfrescohttp dans l'AD (activation des options "Le mot de passe n'expire jamais", "Utilisation des types de chiffrement DES via Kerberos" et "La pré-authentification Kerberos n'est pas nécessaire").</SPAN><BR /><SPAN>- Génération de la keytab sur le serveur AD avec les paramètres suivants :</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;=&gt; HTTP/xx.xx.xx.60@DOMAINE.LOCAL</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;=&gt; DOMAINE0\alfrescohttp</SPAN><BR /><SPAN>&nbsp; Cela m'a créé un SPN :</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;setspn -l alfrescohttp</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;Noms ServicePrincipalName inscrits pour CN=Alfresco HTTP,OU=users,OU=ged,OU=esi,</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;DC=domaine,DC=local:</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; HTTP/xx.xx.xx.60</SPAN><BR /><SPAN>- Sur mon serveur Alfresco, j'ai ajouté un répertoire kerberos dans le répertoire de Tomcat dans lequel j'ai placé les fichiers suivants :</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;=&gt; le fichier keytab généré précédemment ;</SPAN><BR /><SPAN>&nbsp;&nbsp;&nbsp;=&gt; krb5.conf</SPAN><BR /><PRE class="language-none line-numbers"><CODE><BR />[libdefaults]<BR /> default_realm = DOMAINE.LOCAL<BR /> default_tkt_enctypes = rc4-hmac<BR /> default_tgs_enctypes = rc4-hmac<BR /><BR />[realms]<BR /> EUROGICIEL.LOCAL = {<BR />&nbsp; kdc = xx.xx.xx.28<BR />&nbsp; admin_server=xx.xx.xx.28<BR /> }<BR /><BR />[domain_realm]<BR /> .domaine.local = DOMAINE.LOCAL<BR /><SPAN class="line-numbers-rows"><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN></SPAN></CODE></PRE><SPAN>&nbsp;&nbsp;&nbsp;=&gt; java.login.config</SPAN><BR /><PRE class="language-none line-numbers"><CODE><BR />Alfresco {<BR />&nbsp;&nbsp; com.sun.security.auth.module.Krb5LoginModule sufficient;<BR />};<BR /><BR />AlfrescoHTTP {<BR />&nbsp;&nbsp; com.sun.security.auth.module.Krb5LoginModule required<BR />&nbsp;&nbsp; debug=true<BR />&nbsp;&nbsp; storeKey=true<BR />&nbsp;&nbsp; useKeyTab=true<BR />&nbsp;&nbsp; keyTab="/usr/share/tomcat6/kerberos/alfrescohttp.keytab"<BR />&nbsp;&nbsp; principal="HTTP/xx.xx.xx.60";<BR />};<BR /><BR />com.sun.net.ssl.client {<BR />&nbsp;&nbsp; com.sun.security.auth.module.Krb5LoginModule sufficient;<BR />};<BR /><BR />other {<BR />&nbsp;&nbsp; com.sun.security.auth.module.Krb5LoginModule sufficient;<BR />};<BR /><BR /><SPAN class="line-numbers-rows"><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN></SPAN></CODE></PRE><BR /><SPAN>- Toujours sur le serveur Alfresco, j'ai modifié le paramètre JAVA_OPTS de manière à obtenir :</SPAN><BR /><PRE class="language-none line-numbers"><CODE><BR />JAVA_OPTS="-Xmx2048m -XX:MaxPermSize=256m -Djava.security.auth.login.config=/usr/share/tomcat6/kerberos/java.login.config -Djava.security.krb5.conf=/usr/share/tomcat6/kerberos/krb5.conf"<BR /><SPAN class="line-numbers-rows"><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN></SPAN></CODE></PRE><BR /><SPAN>- J'ai modifié le fichier alfresco-global.properties pour obtenir :</SPAN><BR /><PRE class="language-none line-numbers"><CODE><BR />…<BR />authentication.chain=kerberos1:kerberos<BR />kerberos.authentication.realm=DOMAINE.LOCAL<BR />kerberos.authentication.sso.enabled=true<BR />kerberos.authentication.authenticateCIFS=false<BR />kerberos.authentication.user.configEntryName=Alfresco<BR />kerberos.authentication.http.configEntryName=AlfrescoHTTP<BR />kerberos.authentication.http.password=secret<BR />kerberos.authentication.defaultAdministratorUserNames=mlagneaux<BR />kerberos.authentication.http.kerberosDebug=true<BR />…<BR /><SPAN class="line-numbers-rows"><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN></SPAN></CODE></PRE><SPAN>- J'ai également activé les logs relatives à kerberos dans log4j.properties.</SPAN><BR /><BR /><BR /><SPAN>Au démarrage de Tomcat, j'obtiens les traces suivantes qui indiquent que tout se passe bien :</SPAN><BR /><PRE class="language-none line-numbers"><CODE><BR />17:15:12,932 User:System DEBUG [webdav.auth.KerberosAuthenticationFilter] HTTP Kerberos login successful<BR />17:15:12,933 User:System DEBUG [webdav.auth.KerberosAuthenticationFilter] Logged on using principal HTTP/xx.xx.xx.60@DOMAINE.LOCAL<BR /><SPAN class="line-numbers-rows"><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN></SPAN></CODE></PRE><BR /><SPAN>Par contre, lorsque j'essaye de me connecter avec un utilisateur de mon AD : j'obtiens la fenêtre de connexion Windows où je saisis le login et mot de passe en précisant le domaine DOMAINE0 mais la connexion ne se fait pas. Au bout de quelques essais, j'arrive sur une page blanche.</SPAN><BR /><SPAN>Au niveau du fichier de log, j'obtiens les messages suivants :</SPAN><BR /><PRE class="language-none line-numbers"><CODE><BR />17:24:02,121&nbsp; DEBUG [app.servlet.KerberosAuthenticationFilter] New Kerberos auth request from xx.xx.xx.35 (xx.xx.xx.35:62790)<BR />17:24:02,130&nbsp; DEBUG [app.servlet.KerberosAuthenticationFilter] Client sent an NTLMSSP security blob<BR /><SPAN class="line-numbers-rows"><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN><SPAN>‍</SPAN></SPAN></CODE></PRE><BR /><BR /><SPAN>Y a-t-il une conf particulière à faire au niveau du poste client ? (Dans IE, ce site est bien dans la zone Intranet et l'authentification automatique est activée pour les sites de l'intranet).</SPAN><BR /><SPAN>Le fait d'utiliser l'IP des machines peut-il poser problème ?</SPAN><BR /><BR /><SPAN>Y a-t-il d'autres logs à activer qui pourraient m'aider à voir d'où vient le problème ?</SPAN><BR /><SPAN>Y a-t-il d'autres infos (notamment au niveau du serveur AD) qui pourraient être utiles ?</SPAN><BR /><BR /><SPAN>Merci d'avance pour votre aide.</SPAN></BODY></HTML> Tue, 26 Apr 2011 17:24:30 GMT mlagneaux 2011-04-26T17:24:30Z https://connect.hyland.com/t5/alfresco-archive/sso-avec-kerberos-client-sent-an-ntlmssp-security-blob/m-p/151300#M106071 Bonjour,J'essaye de configurer Alfresco de manière à faire fonctionner le SSO en utilisant Kerberos.Voici l'environnement sur lequel je travaille :- Mon poste personnel qui se trouve dans le domaine domaine.fr sert de poste client dans le cadre de mon test. Il tourne sous Windows 7 Pro et les tests Tue, 26 Apr 2011 17:24:30 GMT https://connect.hyland.com/t5/alfresco-archive/sso-avec-kerberos-client-sent-an-ntlmssp-security-blob/m-p/151300#M106071 mlagneaux 2011-04-26T17:24:30Z https://connect.hyland.com/t5/alfresco-archive/sso-avec-kerberos-client-sent-an-ntlmssp-security-blob/m-p/151301#M106072 <HTML><HEAD></HEAD><BODY><SPAN>Peut etre ce post : </SPAN><A href="http://forums1.man.alfresco.com/en/viewtopic.php?f=3&amp;t=20891" rel="nofollow noopener noreferrer">http://forums1.man.alfresco.com/en/viewtopic.php?f=3&amp;t=20891</A></BODY></HTML> Thu, 28 Apr 2011 15:21:45 GMT https://connect.hyland.com/t5/alfresco-archive/sso-avec-kerberos-client-sent-an-ntlmssp-security-blob/m-p/151301#M106072 rguinot 2011-04-28T15:21:45Z https://connect.hyland.com/t5/alfresco-archive/sso-avec-kerberos-client-sent-an-ntlmssp-security-blob/m-p/151302#M106073 <HTML><HEAD></HEAD><BODY><SPAN>Effectivement, j'avais vu ce post dans le forum EN.</SPAN><BR /><SPAN>J'ai installé le JCE sur mon serveur mais j'ai toujours le même problème : cela n'a rien changé.</SPAN><BR /><BR /><SPAN>Je poursuis mes recherches.</SPAN></BODY></HTML> Mon, 16 May 2011 14:28:37 GMT https://connect.hyland.com/t5/alfresco-archive/sso-avec-kerberos-client-sent-an-ntlmssp-security-blob/m-p/151302#M106073 mlagneaux 2011-05-16T14:28:37Z https://connect.hyland.com/t5/alfresco-archive/sso-avec-kerberos-client-sent-an-ntlmssp-security-blob/m-p/151303#M106074 <HTML><HEAD></HEAD><BODY><SPAN>J'ai pu supprimer le message "Client sent an NTLMSSP security blob".</SPAN><BR /><SPAN>Dans secpol.msc, j'ai passé le paramètre "Sécurité réseau : Restreindre NTLM : Trafic NTLM sortant vers des serveurs distants" de Autoriser tout à Refuser tout.</SPAN><BR /><BR /><SPAN>Ca ne fonctionne malheureusement pas mieux pour autant. Je n'ai plus que le message "New Kerberos auth request from …" dans la log mais je n'ai pas d'infos supplémentaires non plus.</SPAN><BR /><BR /><SPAN>Y a-t-il d'autres logs que l'on peut activer ?</SPAN></BODY></HTML> Tue, 17 May 2011 07:28:45 GMT https://connect.hyland.com/t5/alfresco-archive/sso-avec-kerberos-client-sent-an-ntlmssp-security-blob/m-p/151303#M106074 mlagneaux 2011-05-17T07:28:45Z https://connect.hyland.com/t5/alfresco-archive/sso-avec-kerberos-client-sent-an-ntlmssp-security-blob/m-p/151304#M106075 <HTML><HEAD></HEAD><BODY><SPAN>En fait, la connexion via Kerberos sans activer le SSO fonctionne bien.</SPAN><BR /><SPAN>C'est quand j'active le SSO que cela ne fonctionne pas.</SPAN></BODY></HTML> Wed, 18 May 2011 08:17:00 GMT https://connect.hyland.com/t5/alfresco-archive/sso-avec-kerberos-client-sent-an-ntlmssp-security-blob/m-p/151304#M106075 mlagneaux 2011-05-18T08:17:00Z https://connect.hyland.com/t5/alfresco-archive/sso-avec-kerberos-client-sent-an-ntlmssp-security-blob/m-p/151305#M106076 <HTML><HEAD></HEAD><BODY><SPAN>Bonjour,</SPAN><BR /><BR /><SPAN>J'ai comme toi rencontré des problèmes similaires.</SPAN><BR /><BR /><SPAN>Il faudrait activer les traces concernant kerberos.</SPAN><BR /><BR /><SPAN>Tu mets dans ton fichier de propriétés globales:</SPAN><BR /><SPAN>log4j.logger.org.alfresco.web.app.servlet.KerberosAuthenticationFilter=debug</SPAN><BR /><SPAN>log4j.logger.org.alfresco.repo.webdav.auth.KerberosAuthenticationFilter=debug</SPAN><BR /><BR /><SPAN>Tu ajoutes ensuite dans les options du démarrage du serveur applicatifs (JAVA_OPTS):</SPAN><BR /><SPAN> -Dsun.security.krb5.debug=true</SPAN><BR /><SPAN>-Dsun.security.jgss.debug=true</SPAN><BR /><BR /><SPAN>Ca devrait augmenter le niveau de trace notamment lors des échanges de tickets du protocole kerberos avec ton controleur de domaine windows.</SPAN><BR /><BR /><SPAN>A++</SPAN></BODY></HTML> Mon, 27 Jun 2011 19:22:28 GMT https://connect.hyland.com/t5/alfresco-archive/sso-avec-kerberos-client-sent-an-ntlmssp-security-blob/m-p/151305#M106076 aleph_nevel 2011-06-27T19:22:28Z