Retour d'expérience sur l'utilisation de Kerberos à l'INRIA

Kerberos est un protocole d'authentification sécurisé, de type Single Sign On, standardisé, utilisable depuis n'importe quel système d'exploitation. Son utilisation en dehors du cadre d'un environnement Active Directory, où il est utilisé de manière implicite, reste encore relativement confidentiel, et notamment à cause des difficultés d'intégration.

Le centre de recherche INRIA-Saclay Ile de France a mis en place Kerberos depuis maintenant plusieurs années. Cette décision a été motivée à l'origine par le souhait de sécuriser l'utilisation de NFS pour les répertoires personnels des utilisateurs. Cette première expérience, qui s'est révelée par la suite être en fait l'une des plus complexes, nous a permis de nous rendre compte rapidement des potentialités de l'outil. Très vite, nous avons choisi d'expérimenter sa généralisation à d'autres usages, partout où c'était possible: sites web, accès local, accès via SSH, serveur d'impression, etc...

Cet exposé présente les questions que nous nous sommes posées, les choix d'architectures qui ont été fait, les difficultés que nous avons rencontrées, et les solutions qui ont été mises en place pour y remédier. L'expérience montre que la difficulté majeure, une fois de plus, reste de pouvoir gérer les différents scénarios d'utilisation liés à une population d'utilisateur hétérogène dans ses usages, dans ses outils, et dans sa capacité technique. Vu l'investissement nécessaire à la mise en place d'une telle infrastructure, il nous semble important d'analyser ces différents scénarios pour juger de la pertinence de cet effort dans les différents cas possibles.