Commit 60c36557 authored by Aurelien Campeas's avatar Aurelien Campeas

[doc] note on chromium, more intro

parent 79bfa649ab7c
"""remberme cube hooks
"""cube hooks
:organization: Logilab
:copyright: 2009-2010 LOGILAB S.A. (Paris, FRANCE), license is LGPL v2.
......@@ -13,7 +13,7 @@ from cubicweb.server import hook
from cubes.apachekerberos.authplugin import XRemoteUserAuthentifier
class ServerStartupHook(hook.Hook):
"""task to cleanup expirated auth cookie entities"""
"""register authentifier at startup"""
__regid__ = 'xremoteuserinit'
events = ('server_startup',)
......
"""rememberme components: plug authentication retreiver
"""plugin authentication retriever
:organization: Logilab
:copyright: 2009-2010 LOGILAB S.A. (Paris, FRANCE), license is LGPL v2.
:copyright: 2010 LOGILAB S.A. (Paris, FRANCE), license is LGPL v2.
:contact: http://www.logilab.fr/ -- mailto:contact@logilab.fr
:license: GNU Lesser General Public License, v2.1 - http://www.gnu.org/licenses
"""
......
......@@ -6,6 +6,26 @@ Kerberiser cubicweb avec l'aide d'Apache
Principe général
----------------
Un service kerberos est composé de deux serveurs, le serveur
d'authentification (AS) et le serveur de tickets ("Ticket Granting
Service" ou TGS). L'ensemble "authentication server" et "ticket
server" s'appelle "Key Distribution Center" (KDC).
Le serveur d'authentification délivre un ticket initial (un "Ticket
Granting Ticket" ou TGT) aux utilisateurs qui le demandent
(typiquement lors d'un login système initial, sinon avec `kinit`).
Lorsqu'un utilisateur demande à utiliser un service, le TGT est envoyé
au serveur de tickets pour obtenir un ticket pour le service.
Les utilisateurs et les services sont représentés dans une base de
données spécifique. Un "user principal" ou "sercice principal"
représente un utilisateur ou un service dans cette base, associé à un
secret partagé (mot de passe pour les utilisateurs).
Installer et configurer Kerberos
--------------------------------
Déléguer à apache l'authentification avec kerberos, exploitant le
ticket de service émis par l'utilisateur (le navigateur web).
......@@ -13,16 +33,9 @@ Prérequis: l'utilisateur a obtenu un TGT dans le realm concerné, le
service est correctement configuré, cubicweb est correctement
configuré.
Installer et configurer Kerberos
--------------------------------
Installation et bases
~~~~~~~~~~~~~~~~~~~~~
# XXX expliquer user principal, service principal
# keytab file (on a kerberized host it holds the keys of service-principals)
# man ktutil
Commandes::
apt-get install krb5-admin-server krb5-kdc krb5-config
......@@ -311,7 +324,7 @@ On peut voir des choses du genre (l'utilisateur a oublié kinit)::
-1219798832[805d668]: gss_init_sec_context() failed: Unspecified GSS failure. Minor code may provide more information
Unknown code H 1
Configuration kerberos eronnéeou *autre realm*::
Configuration kerberos eronnée ou *autre realm*::
-1219798832[805d668]: service = toto.logilab.fr
-1219798832[805d668]: using negotiate-gss
......@@ -336,6 +349,16 @@ Négociation complète::
-1250670912[b5517060]: leaving nsAuthGSSAPI::GetNextToken [rv=0]
-1250670912[b5517060]: Sending a token of length 1230
Google chrome
-------------
Démarrer chrome (à partir du build 6.0.472) avec::
--auth-server-whitelist="*example.com,*foobar.com,*baz"
Informations généralement très utiles sur:
http://sites.google.com/a/chromium.org/dev/developers/design-documents/http-authentication.
Conclusion
----------
......
Markdown is supported
0% or .
You are about to add 0 people to the discussion. Proceed with caution.
Finish editing this message first!
Please register or to comment