В тази статия ще разгледаме как да конфигурирате удостоверяването на Kerberos за различни браузъри в домейн на Windows за прозрачно и сигурно удостоверяване на уеб сървърите, без да се налага да въвеждате паролата в корпоративната мрежа. Повечето съвременни браузъри (IE, Chrome, Firefox) имат поддръжка на Kerberos, но за да работи, трябва да извършите няколко допълнителни стъпки.
За да влезе браузърът в уеб сървъра, трябва да бъдат изпълнени следните условия:
- Поддръжката на Kerberos трябва да бъде активирана от страната на уеб сървъра (пример за настройка на удостоверяване на Kerberos на сайта на IIS)
- Потребителят има права за достъп до сървъра
- Потребителят трябва да бъде удостоверен на своя компютър в Active Directory с помощта на Kerberos (трябва да има TGT - Kerberos Ticket предоставянето на билет).
Например искаме да разрешим на Kerberos оторизация на клиенти чрез браузър на всички уеб сървъри в домейна winitpro.ru (трябва да използваме DNS или FQDN, а не IP адреса на уеб сървъра)
Съдържание:
- Конфигурирайте удостоверяване на Kerberos в Internet Explorer
- Активиране на удостоверяване на Kerberos в Google Chrome
- Конфигурирайте удостоверяване на Kerberos в Mozilla Firefox
Конфигурирайте удостоверяване на Kerberos в Internet Explorer
Нека да видим как да активираме удостоверяването на Kerberos в Internet Explorer 11.
Припомнете си, че от януари 2016 г. единствената официално поддържана версия на Internet Explorer е IE11.Отворете Свойства на браузъра -> безопасност -> Локален интранет (Локална интранет), щракнете върху бутона сайтове -> допълнително. Добавете следните записи в зоната:
- https: //*.winitpro.ru
- http: //*.winitpro.ru
След това отидете на раздела допълнително (Разширено) и в раздела безопасност (Защита) се уверете, че опцията е активирана Разрешаване на интегрирана автентификация на Windows (Активиране на интегрирана автентификация на Windows).
Активиране на удостоверяване на Kerberos в Google Chrome
За да може SSO да работи в Google Chrome, трябва да конфигурирате Internet Explorer, както е описано по-горе (Chrome използва данните за настройките на IE). Освен това трябва да се отбележи, че всички нови версии на Chrome автоматично определят наличието на поддръжка на Kerberos. В случай, че се използва една от по-старите версии на Chrome (Chromium), за правилно разрешаване на уеб сървъри, използващи Kerberos, трябва да го стартирате с параметрите:
--auth-server-whitelist = "*. winitpro.ru"
--auth -gaingate-delegate-whitelist = "*. winitpro.ru"
Например,
"C: \ програмни файлове (x86) \ Google \ Chrome \ Application \ chrome.exe" --auth-server-whitelist = "*. Winitpro.ru" --auth -gaingate-delegate-whitelist = "*. Winitpro. ru "
Тези настройки могат да бъдат разпространявани чрез групови политики за Chrome (политика на AuthServerWhitelist) или настройка за регистър на низове AuthNegotiateDelegateWhitelist (намира се в клона HKLM \ SOFTWARE \ Policies \ Google \ Chrome).
За да влязат в сила промените, трябва да рестартирате браузъра и да нулирате билетите на Kerberos с командата klist purge (вижте статията).
Конфигурирайте удостоверяване на Kerberos в Mozilla Firefox
По подразбиране поддръжката на Kerberos е деактивирана в Firefox, за да я активирате, отворете прозореца за конфигурация на браузъра (в адресната лента отидете на адрес about: config). След това в следните параметри посочете адресите на уеб сървърите, за които трябва да се използва удостоверяване на Kerberos.
- network.negotiate-auth.trusted-URI адреси
- network.automatic-NTLM-auth.trusted-URI адреси
Можете да проверите дали вашият браузър работи чрез удостоверяване на сървъра, използвайки Kerberos, като използвате Fiddler или командата klist ticket.
