Authentification Kerberos (explications)
Kerberos est un protocole d’authentification réseau basé sur tickets. Il est conçu pour fournir une forte authentification pour les applications client/serveur ou serveur/serveur.
Utilisez l’authentification Kerberos comme alternative protocole d’authentification Microsoft NT LAN (NTLM) plus ancien.
L’authentification Kerberos exige une authentification mutuelle, en d’autres termes le client s’authentifie auprès du service et le service s’authentifie auprès du client. Vous pouvez ainsi vous authentifier de manière plus sécurisée entre les XProtect clients et XProtect les serveurs sans exposer votre mot de passe.
Pour rendre possible l’authentification mutuelle dans votre XProtect VMS, vous devez inscrire les Service Principal Names (SPN) dans le répertoire actif. Un SPN est un alias qui identifie de manière unique une entité telle qu’un service de serveur XProtect. Chaque service utilisant l’authentification mutuelle doit avoir un SPN inscrit pour que les clients puissent identifier le service sur le réseau. Sans SPN correctement enregistrés, l’authentification mutuelle est impossible.
Le tableau ci-dessous présente les différents services Milestone ainsi que les numéros de port correspondants que vous devez inscrire :
Service | Numéro de port |
|---|---|
| Management Server - IIS | 80 - Configurable |
| Management Server - Interne | 8080 |
| Recording Server - Data Collector | 7609 |
| Failover Server | 8990 |
| Event Server | 22331 |
| LPR Server | 22334 |
Le nombre de services que vous devez inscrire dans le répertoire actif dépend de votre installation actuelle. Data Collector s’installe de manière automatique lorsque vous installez le service Management Server, Recording Server, Event Server ou Failover Server.
Vous devez enregistrer deux SPN pour que l’utilisateur puisse exécuter ce service : un avec le nom d’hôte et l’autre avec le nom du domaine complet.
Si vous exploitez le service sous un compte de service d’utilisateur réseau, vous devez inscrire les deux SPN pour chaque ordinateur exploitant ce service.
Il s’agit de la convention de nomination SPN Milestone :
VideoOS/[DNS Host Name]:[Port]
VideoOS/[Fully qualified domain name]:[Port]
Voici un exemple de SPN pour le service Recording Server fonctionnant sur un ordinateur avec les détails ci-dessous :
Hostname: Record-Server1
Domain: Surveillance.com
SPN à enregistrer :
VideoOS/Record-Server1:7609
VideoOS/Record-Server1.Surveillance.com:7609