5.1 Kerberos
Veuillez également consulter la FAQ, chapitre « Mise à niveau de la version 3.0 à la version 3.1 d'AGW ».
Tout d'abord, l'AGW doit rejoindre l'AD (voir 5).
Une fois ajouté, le compte AGW apparaît dans le dossier Applications sous « Ordinateur ». Ne déplacez pas le compte AGW. Il faut ensuite s'assurer que Kerberos est autorisé pour le compte AGW.
Pour que Kerberos fonctionne à partir du navigateur, celui-ci doit être configuré en conséquence (voir 6).
Chacune des variantes ci-dessous doit ensuite être testée pour vérifier son fonctionnement. Les lignes suivantes doivent alors apparaître dans le journal AGW :
got a kerberos token from the clientKerberos auth for user myuser@MYAGW.EXAMPLE.COM (myuser) successful domain MYAGW.EXAMPLE.COMSession auth (http://auth.hin.ch/REST/v1/authSession) for myuser successful
Variante 1
Il s'agit de l'option la plus simple.
Dans les paramètres de l'objet AGW AD, activez la délégation Kerberos pour tous les services.
Variante 2
Il s'agit de la méthode la plus difficile.
Dans les paramètres de l'objet AGW AD, activez la délégation Kerberos uniquement pour des services spécifiques.
Pour cela, le service http doit être autorisé pour l'objet AGW.
Variante 3
Cette variante n'est recommandée qu'aux administrateurs AD expérimentés (et n'est donc pas expliquée en détail).
Il est possible de renoncer à la délégation Kerberos, à condition de s'assurer
que les SPN corrects sont disponibles pour les clients afin qu'ils puissent obtenir un ticket Kerberos pour le service http
de l'AGW.