U ovom ćemo članku pogledati kako konfigurirati Kerberos provjeru autentičnosti za različite preglednike u Windows domeni za transparentnu i sigurnu provjeru autentičnosti na web poslužiteljima bez ponovnog unošenja lozinke u korporativnoj mreži. Većina modernih preglednika (IE, Chrome, Firefox) ima podršku Kerberosa, međutim, da bi radili, morate izvršiti nekoliko dodatnih koraka.
Da bi se preglednik mogao prijaviti na web poslužitelj, moraju biti ispunjeni sljedeći uvjeti:
- Podrška Kerberos mora biti omogućena na strani web poslužitelja (primjer postavljanja Kerberos autentifikacije na IIS web mjestu)
- Korisnik ima prava pristupa poslužitelju
- Korisnik mora biti potvrđen na svojem računalu u Active Directoryu pomoću Kerberosa (mora imati TGT - Kerberos ulaznicu za dodjelu ulaznice).
Na primjer, želimo omogućiti Kerberos autorizaciju klijenata putem preglednika na svim web poslužiteljima domene winitpro.ru (trebamo koristiti DNS ili FQDN, a ne IP adresu web poslužitelja)
sadržaj:
- Konfigurirajte Kerberos provjeru autentičnosti u programu Internet Explorer
- Omogući Kerberos provjeru autentičnosti u pregledniku Google Chrome
- Konfigurirajte provjeru autentičnosti Kerberosa u Mozilla Firefoxu
Konfigurirajte Kerberos provjeru autentičnosti u programu Internet Explorer
Pogledajmo kako omogućiti Kerberos provjeru autentičnosti u programu Internet Explorer 11.
Podsjetimo da je od siječnja 2016., jedina službeno podržana inačica Internet Explorera IE11.Otvorite Svojstva preglednika -> sigurnosni -> Lokalni intranet (Lokalni intranet), kliknite na gumb stranice -> dodatno. U zonu dodajte sljedeće unose:
- https: //*.winitpro.ru
- http: //*.winitpro.ru
Zatim idite na karticu dodatno (Napredno) i u odjeljku sigurnosni (Sigurnost) provjerite je li opcija omogućena Dopusti integriranu provjeru autentičnosti sustava Windows (Omogući integriranu provjeru autentičnosti Windows).
Omogući Kerberos provjeru autentičnosti u pregledniku Google Chrome
Da SSO radi u pregledniku Google Chrome, morate konfigurirati Internet Explorer kako je opisano gore (Chrome koristi podatke postavki IE). Uz to, treba napomenuti da sve nove verzije Chromea automatski određuju dostupnost podrške Kerberosa. U slučaju da se koristi jedna starija inačica Chromea (Chromium), za ispravnu autorizaciju na web poslužiteljima koji koriste Kerberos, trebate je pokrenuti s parametrima:
--auth-server-whitelist = "*. winitpro.ru"
--auth -gaingate-delegate-whitelist = "*. winitpro.ru"
Na primjer,
"C: \ programske datoteke (x86) \ Google \ Chrome \ Application \ chrome.exe" --auth-server-whitelist = "*. Winitpro.ru" --auth-pregovarati-delegat-bijelu listu = "*. Winitpro. ru "
Ove se postavke mogu distribuirati putem grupnih pravila za Chrome (pravilo AuthServerWhitelist) ili postavke niza registra AuthNegotiateDelegateWhitelist (nalazi se u ogranku HKLM \ SOFTWARE \ Policies \ Google \ Chrome).
Da bi promjene stupile na snagu, morate ponovno pokrenuti preglednik i resetirati Kerberos karte s naredbom klist pročišćavanje (vidi članak).
Konfigurirajte provjeru autentičnosti Kerberosa u Mozilla Firefoxu
Podrška Kerberosa prema Firefoxu je onemogućena, da biste je omogućili, otvorite prozor konfiguracije preglednika (u adresnoj traci idite na adresu about: config). Zatim u sljedećim parametrima odredite adrese web poslužitelja za koje treba koristiti Kerberos provjeru autentičnosti.
- network.negotiate-auth.trusted-URI
- network.automatic-FCNTL-auth.trusted-URI
Možete provjeriti funkcionira li vaš preglednik putem autentičnosti na poslužitelju pomoću Kerberosa pomoću Fiddlera ili naredbe klist ticket.
