Authentification transparente (SPNEGO)
La méthode SPNEGO permet le fonctionnement du "Single Sign On" pour l’authentification Web avec un serveur d’authentification externe Kerberos. Cela signifie qu’un utilisateur se connectant à son domaine par une solution basée sur un serveur Kerberos serait automatiquement authentifié sur un firewall Stormshield Network dans le cas d’un accès à l’Internet (nécessitant une authentification dans la politique de filtrage sur le firewall) grâce à un navigateur Web (Microsoft Edge, Firefox, Mozilla).
Pour mettre en œuvre cette méthode, vous devez au préalable exécuter le script de génération de KEYTAB spnego.bat sur le contrôleur de domaine. Ce script est disponible dans l'espace personnel MyStormshield (authentification requise), menu Téléchargements > Téléchargements > Stormshield Network Security > TOOLS.
REMARQUE
Les paramètres demandés lors de l’exécution du script sont sensibles à la casse et doivent être scrupuleusement respectés car ils ne pourront être modifiés par la suite. En cas d’erreur, il faudra restaurer une sauvegarde du contrôleur de domaine re-procéder à l’installation.
Dans le cas d’un firewall non configuré en haute disponibilité, il est recommandé d’indiquer le numéro de série du firewall plutôt que son nom pour l’identifier (Ce nom correspond au nom indiqué dans le script Stormshield Network livré avec le matériel d’installation). Le Nom du service sera le numéro de série précédé de la mention « HTTP/ ». Exemple : HTTP/U70XXAZ0000000
Dans le cas d’un firewall en haute disponibilité, l’identifiant devant être commun, il est recommandé d’utiliser le nom du certificat du portail d’authentification (CN) renseigné dans l’onglet Portail captif du module Authentification.
La configuration de SPNEGO sur le firewall est réalisée grâce aux options expliquées dans le tableau suivant :
| Nom du service | Ce champ représente le nom du service Kerberos utilisé par le firewall, obtenu après exécution du script spnego.bat |
| Nom de domaine | Nom de domaine du serveur Kerberos. Il correspond au nom complet du domaine Active Directory et doit être écrit en majuscules. |
| KEYTAB | Ce champ représente le secret partagé, généré lors de l'utilisation du script sur l'Active Directory. Ce secret doit être fourni au firewall afin qu'il puisse communiquer avec l'Active Directory. Il est également fourni par le script spnego.bat |