Hyland Connect

slebreton · ‎10-27-2012

Bonjour,

je suis encours de test de la version alfresco 4.2a sous REDHAT RHEL6.3. Je souhaite mettre en place une authentification Kerberos qui s'appuie sur ipa sous REDHAT RHEL6.3 .

Mon architecture de test se compose:

- 1 serveur REDHAT RHEL 6.3 que j'appel "ipa1" qui est mon serveur ipa primaire
- 1 serveur REDHAT RHEL 6.3 que j'appel "alfresco" qui héberge la version 4.2a d'alfresco
- 1 poste client sous Windows XP qui s'authentifie sur le domaine Kerberos AC.FR du serveur ipa1

A l'aide du wiki et des infos trouvé sur la toile, j'ai configuré mon alfresco pour Kerberos. Lors de l'authentification j'ai l'erreur suibant dans alfresco.log ou share.log


12:38:33,471 DEBUG [org.alfresco.web.app.servlet.KerberosAuthenticationFilter] New Kerberos auth request from 10.211.55.9 (10.211.55.9:1167)
12:38:33,473 ERROR [org.alfresco.fileserver] Error from JLAN
GSSException: Failure unspecified at GSS-API level (Mechanism level: Encryption type AES256 CTS mode with HMAC SHA1-96 is not supported/enabled)
‍‍‍‍‍

Si l'un de vous a une piste à me suggérer elle sera bienvenue …

Merci

Stéphane

NB: Mes différents fichiers de configuration sont:

krb5.conf du serveur alfresco


[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = AC.FR
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true

[realms]
 AC.FR = {
  kdc = ipa1.ac.fr
  admin_server = ipa1.ac.fr
 }

[domain_realm]
 .ac.fr = AC.FR
 ac.fr = AC.FR

‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍

kerberos-filter.properties


kerberos.authentication.http.configEntryName=AlfrescoHTTP
kerberos.authentication.http.password=mot_de_passe
kerberos.authentication.sso.enabled=true
kerberos.authentication.browser.ticketLogons=true
‍‍‍‍‍‍

kerberos-authentication.properties


kerberos.authentication.realm=AC.FR
kerberos.authentication.user.configEntryName=Alfresco
kerberos.authentication.defaultAdministratorUserNames=mon_login
kerberos.authentication.http.configEntryName=AlfrescoHTTP
kerberos.authentication.http.password=mot_de_passe
kerberos.authentication.cifs.configEntryName=AlfrescoCIFS
kerberos.authentication.cifs.password=mot_de_passe
kerberos.authentication.cifs.enableTicketCracking=false
kerberos.authentication.authenticateCIFS=false
kerberos.authentication.stripUsernameSuffix=true
kerberos.authentication.sso.enabled=true
‍‍‍‍‍‍‍‍‍‍‍‍‍

alfresco-global.properties


…
authentication.chain=alfrescoNtlm1:alfrescoNtlm,krb:kerberos,ldap1:ldap
…
‍‍‍‍‍

java.security


…
login.config.url.1=file:${java.home}/lib/security/java.login.config
….
‍‍‍‍‍

java.login.config


Alfresco {
   com.sun.security.auth.module.Krb5LoginModule sufficient;
};
AlfrescoCIFS {
   com.sun.security.auth.module.Krb5LoginModule required
   storeKey=true
   useKeyTab=true
   keyTab="/etc/alfrescocifs.keytab"
   principal="cifs/alfresco.ac.fr@AC.FR";
};
AlfrescoHTTP {
   com.sun.security.auth.module.Krb5LoginModule required
   storeKey=true
   useKeyTab=true
   keyTab="/etc/alfrescohttp.keytab"
   principal="HTTP/alfresco.ac.fr@AC.FR";
};
ShareHTTP {
   com.sun.security.auth.module.Krb5LoginModule required
   storeKey=true
   useKeyTab=true
   keyTab="/etc/keys/alfrescohttp.keytab"
   principal="HTTP/alfresco.ac.fr@AC.FR";
};
com.sun.net.ssl.client {
   com.sun.security.auth.module.Krb5LoginModule sufficient;
};
other {
   com.sun.security.auth.module.Krb5LoginModule sufficient;
};

‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍

slebreton · ‎10-29-2012

En complément à la description de mon problème:

dans /var/log/alfresco/alfreco.log je constate l'authentification Kerberos du serveur


…
13:57:13,379 INFO  [org.alfresco.repo.management.subsystems.ChildApplicationContextFactory] Starting 'Authentication' subsystem, ID: [Authentication, managed, krb1]
13:57:13,552 DEBUG [org.alfresco.web.app.servlet.KerberosAuthenticationFilter] HTTP Kerberos login successful
13:57:13,552 DEBUG [org.alfresco.web.app.servlet.KerberosAuthenticationFilter] Logged on using principal HTTP/alfresco.ac.fr@AC.FR
13:57:14,476 DEBUG [org.alfresco.repo.webdav.auth.KerberosAuthenticationFilter] HTTP Kerberos login successful
13:57:14,476 DEBUG [org.alfresco.repo.webdav.auth.KerberosAuthenticationFilter] Logged on using principal HTTP/alfresco.ac.fr@AC.FR
13:57:14,503 INFO  [org.alfresco.repo.management.subsystems.ChildApplicationContextFactory] Startup of 'Authentication' subsystem, ID: [Authentication, managed, krb1] complete
13:57:14,503 INFO  [org.alfresco.repo.management.subsystems.ChildApplicationContextFactory] Starting 'Authentication' subsystem, ID: [Authentication, managed, ldap1]
13:57:14,582 INFO  [org.alfresco.repo.management.subsystems.ChildApplicationContextFactory] Startup of 'Authentication' subsystem, ID: [Authentication, managed, ldap1] complete
…
‍‍‍‍‍‍‍‍‍‍‍‍

a ce niveau tout semble OK.

je trouve la trace suivante lors de connexion du client dans /var/log/alfresco/alfreco.log


…
13:57:38,227 DEBUG [org.alfresco.web.app.servlet.KerberosAuthenticationFilter] Authentication not required (filter), chaining …
…
‍‍‍‍‍

dans /var/log/alfresco/share.log je trace l'erreur suivante:


…
13:59:05,591 WARN  [org.alfresco.web.site.servlet.KerberosSessionSetupPrivilegedAction] Caught GSS Error
GSSException: Failure unspecified at GSS-API level (Mechanism level: Encryption type AES256 CTS mode with HMAC SHA1-96 is not supported/enabled)
…
‍‍‍‍‍‍

Mon problème semble se situer au niveau du client,pour le moment je cherche autour du réglage du fichier krb5.conf du client ( pour le moment sans succès) …

je reste à l'écoute de vos suggestions.

Merci.

Stéphane

rguinot · ‎10-30-2012

GSSException: Failure unspecified at GSS-API level (Mechanism level: Encryption type AES256 CTS mode with HMAC SHA1-96 is not supported/enabled)‍

A mon avis, vous n'avez pas installé la Java Cryptography Extension (aussi appelée JCE). téléchargeable ici : http://www.oracle.com/technetwork/java/javase/downloads/index.html.

Il y a sans doute désaccord entre le niveau d'encryption à utiliser dans la config de votre KDC sur RHEL, et dans la config de la JVM. Le JCE devrait vous permettre de résoudre cela.

Laissez savoir.

slebreton · ‎11-02-2012

Bonjour,

merci pour votre retour.

après avoir téléchargé la Java Cryptography Extension et l'avoir installée, j'ai réussi à franchir une étape.

1) Avec un client sous OSX 10.6.8 +vTicket KERBEROS + FIrefox : l'authentification KERBEROS fonctionne correctement aussi bien avec share qu'avec alfresco.

2) Avec un client sous OSX 10.6.8 + Ticket KERBEROS + Safari : l'authentification KERBEROS fonctionne correctement avec "explorer" alfresco, mais j'ai un message avec share:

WARN  [org.alfresco.web.site.servlet.KerberosSessionSetupPrivilegedAction] credentials can not be delegated!‍

3) Avec un client sous Windows XP + Ticket KERBEROS + Firefox: l'authentification KERBEROS fonctionne correctement avec "explorer" alfresco, mais j'ai un message avec share:

WARN  [org.alfresco.web.site.servlet.KerberosSessionSetupPrivilegedAction] credentials can not be delegated!‍

si vous avez une piste à me suggérer, je suis preneur.

Merci.

Stéphane

rguinot · ‎11-02-2012

voir http://wiki.alfresco.com/wiki/Alfresco_Authentication_Subsystems#Client_Configuration ainsi que https://issues.alfresco.com/jira/browse/ALF-6286 (et le premier commentaire sur ce jira), si cela peut vous aider.

slebreton · ‎11-02-2012

Merci pour le coup de main,

j'avais effectivement parcouru ces deux liens, j'en ai pas déduit de solutions pour mes problèmes.

je poursuis mes investigations.

Merci

Stéphane

slebreton · ‎11-04-2012

Bonjour,

pour poursuivre:

j'ai résolu mon souci pour Firefox sous Windows XP en complétant dans Firefox avec le réglage suivant:

network.auth.use-sspi false

Stéphane

Hyland Connect

Erreur avec authentification Kerberos: Encryption type AES25