Authentification à l'aide d'un ticket Kerberos
Vous pouvez authentifier dans les instances correctement configurées de Visual Studio Team Foundation Server en utilisant Kerberos sur le protocole Negotiate (SPNEGO). En utilisant l'authentification avec un ticket Kerberos, vous pouvez authentifier de façon plus sécurisée à partir de clients pris en charge sur votre serveur sans fournir votre mot de passe. Après avoir obtenu un ticket Kerberos, vous pouvez configurer votre client pour Team Explorer Everywhere pour utiliser Kerberos.
Dans cette rubrique
Plug-in Team Foundation Server pour Eclipse
Client de ligne de commande multiplateforme pour Team Foundation Server
Configurer Team Foundation Server 2008 pour utiliser des tickets Kerberos
Dépannage
Plug-in Team Foundation Server pour Eclipse
Lorsque vous êtes invité à entrer les informations d'authentification dans le Plug-in Team Foundation Server pour Eclipse, vous pouvez spécifier Authentifier en tant qu'utilisateur actuellement connecté au lieu de fournir vos informations d'identification de domaine Windows. Si vous spécifiez cette option, vous authentifierez à l'aide de votre ticket Kerberos.
Si l'option Authentifier en tant qu'utilisateur actuellement connecté est disponible dans la boîte de dialogue Ajouter un nouveau serveur, vous devez vérifier que Kerberos est configuré correctement à la fois sur votre instance de Team Foundation Server et sur votre ordinateur local.
Pour plus d'informations sur le mode de connexion à une instance de Team Foundation Server, consultez Connexion à des projets d'équipe.
Client de ligne de commande multiplateforme pour Team Foundation Server
Pour utiliser l'authentification Kerberos dans le Client de ligne de commande interplateforme pour Team Foundation Server, vous devez affecter à la propriété de profil useDefaultCredentials la valeur true. Par exemple, pour activer l'authentification Kerberos pour le profil ProfileName, utilisez la commande suivante :
tf profile -edit -boolean:useDefaultCredentials=true ProfileName
Si vous recevez une erreur d'authentification, vous devez vous assurer que Kerberos est configuré correctement à la fois sur votre instance de Team Foundation Server et sur votre ordinateur local.
Configurer Team Foundation Server 2008 pour utiliser des tickets Kerberos
Notes
Visual Studio Team Foundation Server 2010 est configuré pour accepter l'authentification Kerberos par défaut. Vous devez suivre la procédure décrite dans cette section uniquement si vous utilisez Visual Studio Team System 2008 Team Foundation Server.
Par défaut, Team Foundation Server et les Services Internet (IIS) ne sont pas configurés pour autoriser l'authentification Kerberos. Votre administrateur réseau devra peut-être configurer Kerberos manuellement.
Configurer les Services Internet (IIS) pour prendre en charge Kerberos
Les Services Internet (IIS) doivent être configurés pour autoriser le protocole Negotiate pour l'authentification Kerberos. Pour plus d'informations, consultez la page suivante sur le site Web Microsoft: 215383 : Comment faire pour configurer IIS pour prendre en charge le protocole Kerberos et le protocole NTLM pour l'authentification réseau.
Inscrire le nom de principal du service (SPN) approprié pour le serveur
Après avoir configuré IIS pour autoriser le protocole Negotiate, vous devrez peut-être configurer le SPN pour votre instance de Team Foundation Server. Par exemple, pour lier votre serveur qui exécute Team Foundation Server à l'utilisateur Domain\UserName, utilisez la commande suivante :
setspn -a http/tfs.example.com Domain\UserName
Pour plus d'informations, consultez la page suivante du site Web Microsoft : Vue d'ensemble de Setspn : Active Directory (page éventuellement en anglais).
Dépannage
Les sections suivantes décrivent des méthodes pour résoudre des problèmes courants que vous pouvez rencontrer lorsque vous essayez d'utiliser l'authentification Kerberos.
Vérifier que l'authentification Kerberos est activée sur votre instance de Team Foundation Server
Cette section s'applique aux clients de Team Foundation Server sur les ordinateurs qui ne fonctionnent sur le système d'exploitation Windows. Les clients Team Explorer Everywhere qui s'exécutent sur un système d'exploitation Windows utilisent l'interface SSPI (Security Support Provider Interface) pour l'authentification. Sur d'autres systèmes d'exploitation, les clients Team Explorer Everywhere prennent en charge les implémentations MIT (Massachusetts Institute of Technology) et Heimdal de Kerberos.
Pour tester l'authentification Kerberos, accédez à votre instance de Team Foundation Server en utilisant son URI (Uniform Resource Identifier) dans un navigateur qui prend en charge l'authentification Kerberos. Internet Explorer, Mozilla Firefox et Apple Safari prennent en charge l'authentification à l'aide d'un ticket Kerberos via le protocole Negotiate. Par exemple, vous pouvez utiliser l'adresse suivante :
Lorsque vous ouvrez cette page, vous ne devez pas être invité à entrer de mot de passe, et aucune erreur ne doit indiquer que la Liste des répertoires est Refusée. Si vous êtes invité à entrer un mot de passe, l'authentification Kerberos ne fonctionne pas correctement.
Si vous utilisez Firefox, vous devez également vérifier que l'URI de votre instance de Team Foundation Server se trouve dans la liste des URI approuvés Negociate (network. negotiate-auth.trusted-uris) dans votre configuration Firefox. Pour plus d'informations, consultez la page suivante sur le site Web MozillaZine : About:config (en anglais).
Vérifier que vous avez obtenu un ticket TGT (Ticket-Granting Ticket) Kerberos
À l'invite de commandes, exécutez la commande suivante :
klist -5fea
Un ticket valide doit s'afficher pour le principal du service krbtgt/Domain@Domain. Si vous n'avez pas de ticket pour le principal du service krbtgt, vous ne pouvez pas authentifier à l'aide de Kerberos. Consultez votre administrateur réseau ou votre documentation de système d'exploitation pour plus d'informations sur l'obtention d'un TGT Kerberos.
Vérifier que les bibliothèques Kerberos appropriées sont chargées
Les clients de Team Explorer Everywhere prennent en charge les distributions Kerberos MIT et Heimdal qui prennent en charge Kerberos 5 et l'interface GSSAPI (General Security Services Application Program Interface). Il est recommandée d'utiliser la version la plus récente de Kerberos MIT, surtout lorsque Active Directory est utilisé comme centre de distribution de clés (KDC, Key Distribution Center). Si vous mettez à niveau des bibliothèques Kerberos, vous devrez peut-être substituer le chemin de recherche par défaut en utilisant la variable d'environnement LD_LIBRARY_PATH(sur la plupart des systèmes d'exploitation), la variable d'environnement SHLIB_PATH (sur UX de HP) ou la variable d'environnement LIBPATH (sur AIX).
Pour plus d'informations, contactez votre administrateur système ou votre fournisseur Kerberos.
Voir aussi
Autres ressources
Mise en route avec Team Explorer Everywhere et Team Foundation Server