Authentification Kerberos sur MySQL & MariaDB

mysql_mariadbLe protocole Kerberos est certainement le protocole le plus adapté pour gérer l’authentification des utilisateurs sur un réseau d’entreprise. Il est relativement simple d’insérer les systèmes (au sens OS du terme) au sein de royaumes Kerberos (MIT, HEIMDAL ou Active Directory) grâce notamment à des suites logicielles gratuites comme Centrify Express.

Concernant les applications Web, idem, la méthode est relativement standardisée, notamment grâce à l’interface normalisée GSSAPI, qui permet de définir une méthode d’authentification basée sur Kerberos au niveau du module d’authentification de l’application Web elle-même. La méthode GSSAPI a notamment été normalisée pour JAVA, ce qui rend l’authentification utilisateur des applications JAVA relativement simple à implémenter et à gérer avec Kerberos.

Concernant les applications « lourdes », cela se complique un peu… Les applications propriétaires, type SAP, nécessitent généralement des modules commerciaux complémentaires, les applications « Open Source » ne sont pas toujours compatibles, néanmoins les bases de données MySQL et MariaDB sont pleinement compatibles avec une authentification Kerberos intégrée.

Le paramétrage se réalise alors au niveau des modules PAM, vous trouverez [ ici ] les explications pour MySQL, et [ ici ] les explications pour MariaDB: bonne lecture et bons tests !