W tym artykule przyjrzymy się, jak skonfigurować uwierzytelnianie Kerberos dla różnych przeglądarek w domenie Windows, aby zapewnić przejrzyste i bezpieczne uwierzytelnianie na serwerach internetowych bez konieczności ponownego wprowadzania hasła w sieci firmowej. Większość współczesnych przeglądarek (IE, Chrome, Firefox) obsługuje Kerberos, jednak aby działało, musisz wykonać kilka dodatkowych kroków.
Aby przeglądarka zalogowała się do serwera WWW, muszą być spełnione następujące warunki:
- Obsługa protokołu Kerberos musi być włączona po stronie serwera WWW (przykład ustawienia uwierzytelniania Kerberos w witrynie IIS)
- Użytkownik ma prawa dostępu do serwera
- Użytkownik musi zostać uwierzytelniony na swoim komputerze w usłudze Active Directory przy użyciu protokołu Kerberos (musi mieć TGT - bilet przyznający bilet Kerberos).
Na przykład chcemy umożliwić autoryzację klientów Kerberos za pośrednictwem przeglądarki na wszystkich serwerach w domenie winitpro.ru (musimy użyć DNS lub FQDN, a nie adresu IP serwera)
Treść
- Skonfiguruj uwierzytelnianie Kerberos w Internet Explorerze
- Włącz uwierzytelnianie Kerberos w Google Chrome
- Skonfiguruj uwierzytelnianie Kerberos w Mozilla Firefox
Skonfiguruj uwierzytelnianie Kerberos w Internet Explorerze
Zobaczmy, jak włączyć uwierzytelnianie Kerberos w Internet Explorer 11.
Przypomnijmy, że od stycznia 2016 r. Jedyną oficjalnie obsługiwaną wersją programu Internet Explorer jest IE11.Otwórz Właściwości przeglądarki -> Bezpieczeństwo -> Lokalny intranet (Lokalny intranet), kliknij przycisk Witryny -> Opcjonalnie. Dodaj następujące wpisy do strefy:
- https: //*.winitpro.ru
- http: //*.winitpro.ru
Następnie przejdź do zakładki Opcjonalnie (Zaawansowane) oraz w sekcji Bezpieczeństwo (Bezpieczeństwo) upewnij się, że opcja jest włączona Zezwalaj na zintegrowane uwierzytelnianie systemu Windows (Włącz zintegrowane uwierzytelnianie systemu Windows).
Włącz uwierzytelnianie Kerberos w Google Chrome
Aby logowanie jednokrotne działało w Google Chrome, musisz skonfigurować program Internet Explorer zgodnie z powyższym opisem (Chrome używa danych ustawień IE). Ponadto należy zauważyć, że wszystkie nowe wersje Chrome automatycznie określają dostępność obsługi Kerberos. W przypadku użycia jednej ze starszych wersji Chrome (Chromium), w celu poprawnej autoryzacji na serwerach internetowych korzystających z Kerberos, musisz uruchomić ją z parametrami:
--auth-server-whitelist = "*. winitpro.ru"
--auth-negocjiate-delegate-whitelist = "*. winitpro.ru"
Na przykład,
„C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe” --auth-server-whitelist = "*. Winitpro.ru" --auth-negocjacji-delegate-whitelist = "*. Winitpro. ru ”
Te ustawienia można rozpowszechniać za pomocą zasad grupy dla Chrome (zasady AuthServerWhitelist) lub ustawienia rejestru ciągu AuthNegotiateDelegateWhitelist (znajduje się w oddziale HKLM \ SOFTWARE \ Policies \ Google \ Chrome).
Aby zmiany odniosły skutek, musisz ponownie uruchomić przeglądarkę i zresetować bilety Kerberos za pomocą polecenia klist purge (zobacz artykuł).
Skonfiguruj uwierzytelnianie Kerberos w Mozilla Firefox
Domyślnie obsługa Kerberos jest wyłączona w Firefoksie, aby ją włączyć, otwórz okno konfiguracji przeglądarki (w pasku adresu przejdź do adresu about: config). Następnie w poniższych parametrach podaj adresy serwerów WWW, dla których ma być używane uwierzytelnianie Kerberos.
- network.negotiate-auth.trusted-uris
- network.automatic-ntlm-auth.trusted-uris
Możesz sprawdzić, czy Twoja przeglądarka działa poprzez uwierzytelnienie na serwerze przy użyciu protokołu Kerberos przy użyciu narzędzia Fiddler lub komendy biletów klist.
