Authentification par identifiant NT

Un article de OviWiki.

Sommaire

Module AuthNtlm

Le module AuthNtlm (en cours de développement) devra permettre de se connecter à Ovidentia en utilisant le protocole NTLM.

L'implémentation actuelle (version pre-alpha) pose des problème avec IE6/7. Pour la faire fonctionner il est nécessaire de modifier la base de registres sur le poste client : dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings ajouter la valeur DisableNTLMPreAuth de type REG_DWORD et positionner sa valeur à 1 (true).


Important : L'identification de l'utilisateur par le "login NT" n'est pas un mode d'authentification sécurisé.

Proposition des évolutions à apporter dans le noyau pour utiliser l'identifiant NT du système

Sur la page de modification d'un utilisateur par l'administrateur, une case à cocher pour autoriser la connexion par identifiant uniquement. Lors de la première connexion de l'utilisateur, la case à cocher sera désactivée automatiquement.

Lorsque la case est cochée, l'administrateur devra sélectionner la durée d'activité du cookie dans une liste déroulante similaire à celle proposée lors de la connexion par cookie. La connexion par cookie au niveau du site devra être activée pour utiliser la liste déroulante.

Lors de l'identification par login uniquement la durée du cookie ne sera pas modifiable par l'utilisateur

Note : il reste encore un trou de sécurité entre le moment ou l'administrateur active la fonction et la connexion suivante de l'utilisateur (il faut responsabiliser l'administrateur avec les bons libellés)

Libellé pour la case à cocher : Autoriser une fois la connexion avec le champ "Identifiant" uniquement

Changements sur le babNtAuth

L'activation de l'activeX doit se faire sur la page d'authentification par formulaire HTML, il appartient à la personne qui crée le skin de rediriger l'utilisateur vers la page de login si celui-ci n'est pas connecté pour reproduire le fonctionnement du babNtAuth.

Le script qui obtient l'identifiant de windows par l'intermédiaire d'un activeX devra être mis dans le skin et intervenir sur la page d'identification par login uniquement.

Autre amélioration possible

Ajouter un lien sur l'interface d'administration pour poser un cookie sur la machine en cours à la place de l'utilisateur

Utilisation du protocole NTLM

NTLM (NT LAN Manager) est un protocole d'authentification supporté par Internet Explorer et Firefox. Avec ce système, le client envoie automatiquement au serveur le login et le mot de passe système de l'utilisateur

Les navigateurs supportant NTLM :

Configuration de Firefox

Dans firefox NTLM est actif si l'URI du serveur est ajouté à network.automatic-ntlm-auth.trusted-uris (modifiable dans about:config) :

  • Dans la barre d'adresse de Firefox, saisir "about:config"
  • Dans le filtre saisir ntlm, puis dans la liste éditer l'entrée network.automatic-ntlm-auth.trusted-uris. Elle doit contenir une liste d'URI séparées par des virgules.
  • Saisir les URI, par exemple: "http://host1.example.com,https://host2.example.com"

Configuration IE

Is there a reason that IE(IE7) would send NTLM instead of KERBEROS after setting IE as follows? Is thee something else i have to lok for?

1. put the requesting site in IE to local-network

2. in the IE extended security option enable Integrated Windows Authentication

To configure Intranet Authentication:

1. Click the Security tab, click Local intranet, and then click Custom Level.

2. In the Security Settings dialog box, scroll down to the User Authentication section of the list.

3. Select Automatic logon only in Intranet zone. This setting prevents users from having to re-enter logon credentials; a key piece to this solution.

4. Click OK to close the Security Settings dialog box. In addition to the previous settings, one additional setting is required if you are running Internet Explorer 6.0.

1. In Internet Explorer, click Tools, and then click Internet Options.

2. Click the Advanced tab.

3. Scroll down to the Security section.

4. Make sure that Enable Integrated Windows Authentication (requires restart) is checked, and then click OK.

5. If this box was not checked, restart the browser.

Plus d'infos sur NTLM