Ebben a cikkben megvizsgáljuk, hogyan konfigurálhatjuk a Kerberos hitelesítést a Windows tartomány különféle böngészői számára az átlátszó és biztonságos hitelesítéshez a webszervereknél anélkül, hogy újra kellett volna beírniuk a jelszót a vállalati hálózaton. A legtöbb modern böngésző (IE, Chrome, Firefox) rendelkezik Kerberos támogatással, azonban annak működéséhez több további lépést kell végrehajtania..
Ahhoz, hogy a böngésző bejelentkezzen a webszerverre, a következő feltételeknek kell teljesülniük:
- A Kerberos támogatást engedélyezni kell a webszerver oldalán (példa a Kerberos hitelesítés beállítására az IIS oldalon)
- A felhasználó hozzáférési jogokkal rendelkezik a szerverhez
- A felhasználót a számítógépen az Active Directory-ban hitelesíteni kell a Kerberos használatával (TGT-vel - Kerberos Ticket Granting Ticket-kel kell rendelkeznie).
Például engedélyezni szeretnénk a Kerberos kliensek számára a winitpro.ru domain összes webszerverén keresztül történő böngészőn keresztül történő engedélyezést (a DNS-t vagy az FQDN-t kell használnunk, nem pedig a webszerver IP-címét).
Tartalom:
- Konfigurálja a Kerberos hitelesítést az Internet Explorerben
- Engedélyezze a Kerberos hitelesítést a Google Chrome-ban
- Konfigurálja a Kerberos hitelesítést a Mozilla Firefox alkalmazásban
Konfigurálja a Kerberos hitelesítést az Internet Explorerben
Lássuk, hogyan lehet engedélyezni a Kerberos hitelesítést az Internet Explorer 11 alkalmazásban.
Emlékezzünk arra, hogy 2016 januárja óta az Internet Explorer egyetlen hivatalosan támogatott verziója az IE11.Nyissa meg a Böngésző tulajdonságai -> biztonság -> Helyi intranet (Helyi intranet) kattintson a gombra oldalak -> emellett. Adja hozzá a következő bejegyzéseket a zónához:
- https: //*.winitpro.ru
- http: //*.winitpro.ru
Ezután lépjen a lapra emellett (Haladó) és a szakaszban biztonság (Biztonság) ellenőrizze, hogy az opció engedélyezve van-e Integrált Windows-hitelesítés engedélyezése (Integrált Windows-hitelesítés engedélyezése).
Engedélyezze a Kerberos hitelesítést a Google Chrome-ban
Annak érdekében, hogy az SSO működjön a Google Chrome-ban, be kell állítania az Internet Explorert a fent leírtak szerint (a Chrome az IE-beállítási adatokat használja). Ezenkívül meg kell jegyezni, hogy a Chrome minden új verziója automatikusan meghatározza a Kerberos támogatás elérhetőségét. Abban az esetben, ha a Chrome egyik régebbi verzióját (Chromium) használják, a Kerberos-ot használó webszerverek helyes hitelesítéséhez a következő paramétereket kell futtatni:
--auth-server-whitelist = "*. winitpro.ru"
--auth-tárgyalni-delegált-whitelist = "*. winitpro.ru"
Például,
"C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe” --auth-server-whitelist = "*. Winitpro.ru" --auth-tárgyal-delegált-whitelist = "*. Winitpro. ru "
Ezeket a beállításokat terjeszthetjük a Chrome-házirendekben a Chrome-ra (AuthServerWhitelist házirend), vagy egy karakterlánc-regisztrációs beállításon keresztül AuthNegotiateDelegateWhitelist (a HKLM \ SZOFTVER \ Irányelvek \ Google \ Chrome ágban található).
A változások hatályba lépéséhez újra kell indítania a böngészőt, és vissza kell állítania a Kerberos jegyeket a klist purge paranccsal (lásd a cikket).
Konfigurálja a Kerberos hitelesítést a Mozilla Firefox alkalmazásban
Alapértelmezés szerint a Kerberos támogatása le van tiltva a Firefoxban, annak engedélyezéséhez nyissa meg a böngésző konfigurációs ablakot (a címsorban keresse meg a következő címet: config). Ezután a következő paraméterekben adja meg azoknak a webkiszolgálóknak a címeit, amelyekhez Kerberos hitelesítést kell használni.
- network.negotiate-auth.trusted-URI
- network.automatic-ntlm-auth.trusted-URI
A Kerberos segítségével a Fiddler vagy a klist jegyek paranccsal ellenőrizheti, hogy böngészője a szerver hitelesítésével működik-e.
