W tym artykule przyjrzymy się, jak skonfigurować uwierzytelnianie Kerberos dla różnych przeglądarek w domenie Windows, aby zapewnić przejrzyste i bezpieczne uwierzytelnianie na serwerach internetowych bez konieczności ponownego wprowadzania hasła w sieci firmowej. Większość współczesnych przeglądarek (IE, Chrome, Firefox) obsługuje Kerberos, jednak aby działało, musisz wykonać kilka dodatkowych kroków.
Aby przeglądarka zalogowała się do serwera WWW, muszą być spełnione następujące warunki:
- Obsługa protokołu Kerberos musi być włączona po stronie serwera WWW (przykład ustawienia uwierzytelniania Kerberos w witrynie IIS)
- Użytkownik ma prawa dostępu do serwera
- Użytkownik musi zostać uwierzytelniony na swoim komputerze w usłudze Active Directory przy użyciu protokołu Kerberos (musi mieć TGT - bilet przyznający bilet Kerberos).
Na przykład chcemy umożliwić autoryzację klientów Kerberos za pośrednictwem przeglądarki na wszystkich serwerach w domenie winitpro.ru (musimy użyć DNS lub FQDN, a nie adresu IP serwera)
Treść
- Skonfiguruj uwierzytelnianie Kerberos w Internet Explorerze
- Włącz uwierzytelnianie Kerberos w Google Chrome
- Skonfiguruj uwierzytelnianie Kerberos w Mozilla Firefox
Skonfiguruj uwierzytelnianie Kerberos w Internet Explorerze
Zobaczmy, jak włączyć uwierzytelnianie Kerberos w Internet Explorer 11.
Przypomnijmy, że od stycznia 2016 r. Jedyną oficjalnie obsługiwaną wersją programu Internet Explorer jest IE11.Otwórz Właściwości przeglądarki -> Bezpieczeństwo -> Lokalny intranet (Lokalny intranet), kliknij przycisk Witryny -> Opcjonalnie. Dodaj następujące wpisy do strefy:
- https: //*.winitpro.ru
- http: //*.winitpro.ru
Następnie przejdź do zakładki Opcjonalnie (Zaawansowane) oraz w sekcji Bezpieczeństwo (Bezpieczeństwo) upewnij się, że opcja jest włączona Zezwalaj na zintegrowane uwierzytelnianie systemu Windows (Włącz zintegrowane uwierzytelnianie systemu Windows).
Jest ważne. Sprawdź, czy witryny sieci Web, dla których włączono uwierzytelnianie Kerberos, są ograniczone do strefy Lokalny intranet. W przypadku witryn znajdujących się w strefie Zaufane witryny token Kerberos nie jest wysyłany do odpowiedniego serwera WWW.Włącz uwierzytelnianie Kerberos w Google Chrome
Aby logowanie jednokrotne działało w Google Chrome, musisz skonfigurować program Internet Explorer zgodnie z powyższym opisem (Chrome używa danych ustawień IE). Ponadto należy zauważyć, że wszystkie nowe wersje Chrome automatycznie określają dostępność obsługi Kerberos. W przypadku użycia jednej ze starszych wersji Chrome (Chromium), w celu poprawnej autoryzacji na serwerach internetowych korzystających z Kerberos, musisz uruchomić ją z parametrami:
--auth-server-whitelist = "*. winitpro.ru"
--auth-negocjiate-delegate-whitelist = "*. winitpro.ru"
Na przykład,
„C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe” --auth-server-whitelist = "*. Winitpro.ru" --auth-negocjacji-delegate-whitelist = "*. Winitpro. ru ”
Te ustawienia można rozpowszechniać za pomocą zasad grupy dla Chrome (zasady AuthServerWhitelist) lub ustawienia rejestru ciągu AuthNegotiateDelegateWhitelist (znajduje się w oddziale HKLM \ SOFTWARE \ Policies \ Google \ Chrome).
Aby zmiany odniosły skutek, musisz ponownie uruchomić przeglądarkę i zresetować bilety Kerberos za pomocą polecenia klist purge (zobacz artykuł).
Skonfiguruj uwierzytelnianie Kerberos w Mozilla Firefox
Domyślnie obsługa Kerberos jest wyłączona w Firefoksie, aby ją włączyć, otwórz okno konfiguracji przeglądarki (w pasku adresu przejdź do adresu about: config). Następnie w poniższych parametrach podaj adresy serwerów WWW, dla których ma być używane uwierzytelnianie Kerberos.
- network.negotiate-auth.trusted-uris
- network.automatic-ntlm-auth.trusted-uris
Możesz sprawdzić, czy Twoja przeglądarka działa poprzez uwierzytelnienie na serwerze przy użyciu protokołu Kerberos przy użyciu narzędzia Fiddler lub komendy biletów klist.