V tomto článku sa zameriame na to, ako nakonfigurovať autentifikáciu Kerberos pre rôzne prehľadávače v doméne Windows na transparentnú a bezpečnú autentifikáciu na webových serveroch bez nutnosti opakovaného zadávania hesla v podnikovej sieti. Väčšina moderných prehliadačov (IE, Chrome, Firefox) má podporu protokolu Kerberos. Aby však fungovala, musíte vykonať niekoľko ďalších krokov..
Aby sa prehliadač mohol prihlásiť na webový server, musia byť splnené nasledujúce podmienky:
- Podpora Kerberos musí byť povolená na strane webového servera (príklad nastavenia autentifikácie Kerberos na webe IIS)
- Používateľ má prístupové práva k serveru
- Používateľ musí byť autentifikovaný na svojom počítači v Active Directory pomocou Kerberos (musí mať TGT - Kerberos Ticket Grant Ticket).
Napríklad chceme povoliť autorizáciu klientov Kerberos prostredníctvom prehliadača na všetkých webových serveroch domény winitpro.ru (musíme použiť DNS alebo FQDN, a nie IP adresu webového servera).
obsah:
- Konfigurácia overenia Kerberos v programe Internet Explorer
- Povoľte v prehliadači Google Chrome overovanie Kerberos
- Konfigurácia overenia Kerberos v prehliadači Mozilla Firefox
Konfigurácia overenia Kerberos v programe Internet Explorer
Pozrime sa, ako povoliť overenie Kerberos v programe Internet Explorer 11.
Pripomeňme, že od januára 2016 je jedinou oficiálne podporovanou verziou programu Internet Explorer IE11.otvorte Vlastnosti prehliadača -> bezpečnosť -> Miestny intranet (Lokálny intranet), kliknite na tlačidlo weby -> dodatočne. Do zóny pridajte tieto záznamy:
- https: //*.winitpro.ru
- http: //*.winitpro.ru
Ďalej prejdite na kartu dodatočne (Rozšírené) a v časti bezpečnosť (Zabezpečenie) skontrolujte, či je táto možnosť povolená Povoliť integrované overovanie systému Windows (Povoliť integrované overovanie systému Windows).
Je dôležité. Overte, či webové stránky, pre ktoré je povolená autentifikácia Kerberos, sú obmedzené na zónu lokálnej intranety. V prípade lokalít zahrnutých do zóny Dôveryhodné servery sa token Kerberos neodošle na príslušný webový server.Povoľte v prehliadači Google Chrome overovanie Kerberos
Aby SSO fungovalo v prehliadači Google Chrome, musíte nakonfigurovať program Internet Explorer, ako je opísané vyššie (prehliadač Chrome používa údaje nastavení prehliadača IE). Okrem toho treba poznamenať, že dostupnosť podpory Kerberos automaticky určuje všetky nové verzie prehliadača Chrome. V prípade, že sa použije jedna zo starších verzií prehliadača Chrome (Chromium), musíte pre správnu autorizáciu na webových serveroch pomocou protokolu Kerberos spustiť tento program s týmito parametrami:
--auth-server-whitelist = "*. winitpro.ru"
--auth-negotiate-delegate-whitelist = "*. winitpro.ru"
Napríklad,
"C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe" --auth-server-whitelist = "*. Winitpro.ru" --auth-negotiate-delegate-whitelist = "*. Winitpro. ru "
Tieto nastavenia je možné distribuovať prostredníctvom skupinových pravidiel pre prehliadač Chrome (pravidlá AuthServerWhitelist) alebo prostredníctvom nastavenia reťazca v reťazci AuthNegotiateDelegateWhitelist (nachádza sa v pobočke HKLM \ SOFTWARE \ Policies \ Google \ Chrome).
Aby sa zmeny prejavili, musíte reštartovať prehliadač a resetovať lístky Kerberos príkazom klist purge (pozri článok).
Konfigurácia overenia Kerberos v prehliadači Mozilla Firefox
V predvolenom nastavení je podpora prehliadača Kerberos vo Firefoxe zakázaná. Ak ju chcete povoliť, otvorte konfiguračné okno prehliadača (na paneli s adresou prejdite na adresu about: config). Potom v nasledujúcich parametroch zadajte adresy webových serverov, pre ktoré by sa malo použiť overenie Kerberos.
- network.negotiate-auth.trusted-URI
- network.automatic-NTLM-auth.trusted-URI
Pomocou protokolu Kerberos pomocou nástroja Fiddler alebo príkazu lístky na klipy môžete overiť, či váš prehliadač funguje na serveri autentifikovaným.