Конфигуришите Керберос провјеру аутентичности у различитим прегледачима

У овом ћемо чланку погледати како конфигурирати Керберос провјеру аутентичности за различите прегледаче у Виндовс домену за транспарентну и сигурну провјеру идентитета на веб серверима без потребе за поновним уносом лозинке у корпоративној мрежи. Већина модерних прегледача (ИЕ, Цхроме, Фирефок) има подршку за Керберос, међутим, да би он функционисао, потребно је да обавите неколико додатних корака.

Да би се прегледач могао пријавити на веб сервер, морају бити испуњени сљедећи услови:

  • Подршка за Керберос мора бити омогућена на страни веб сервера (пример постављања Керберос аутентификације на ИИС локацији)
  • Корисник има права приступа серверу
  • Корисник мора бити аутентификован на свом рачунару у Ацтиве Дирецтори-у помоћу Кербероса (мора имати ТГТ - Керберос тикет за одобравање карте).

На пример, желимо да дозволимо Керберос ауторизацију клијената путем прегледача на свим веб серверима домене винитпро.ру (морамо да користимо ДНС или ФКДН, а не ИП адресу веб сервера)

Садржај:

  • Конфигуришите Керберос провјеру аутентичности у Интернет Екплорер-у
  • Омогућите Керберос провјеру аутентичности у Гоогле Цхроме-у
  • Конфигуришите Керберос провјеру аутентичности у Мозилла Фирефоку

Конфигуришите Керберос провјеру аутентичности у Интернет Екплорер-у

Погледајмо како омогућити Керберос провјеру аутентичности у Интернет Екплорер-у 11.

Подсјетимо да је од јануара 2016. једина званично подржана верзија Интернет Екплорера ИЕ11.

Отвори Својства прегледача -> Безбедност -> Локални интранет (Локални интранет), кликните на дугме Веб локације -> Необавезно. У зону додајте следеће уносе:

  • хттпс: //*.винитпро.ру
  • хттп: //*.винитпро.ру

Веб локације у ову зону можете додати користећи групне смернице: Конфигурација рачунара ->Административни предлошци ->Виндовс компоненте -> Интернет Екплорер -> Интернет контролна табла -> Страница за сигурност -> Додјела локације на зону. За сваку веб локацију морате да додате унос са вредностом 1. На пример, погледајте чланак о деактивирању безбедносног упозорења за датотеке преузете са Интернета

Затим идите на картицу Необавезно (Напредно) и у одељку Безбедност (Сигурност) проверите да ли је опција омогућена Дозволи интегрисану проверу идентитета Виндовс (Омогући интегрисану проверу идентитета Виндовс).

Важно је. Проверите да ли су веб локације за које је омогућена Керберос аутентификација ограничене на локалну интранет зону. За веб локације укључене у зону Поузданих веб локација, токен Керберос се не шаље одговарајућем веб серверу.

Омогући Керберос провјеру аутентичности у Гоогле Цхроме-у

Да би ССО радио у Гоогле Цхроме-у, морате да конфигуришете Интернет Екплорер као што је горе описано (Цхроме користи податке о ИЕ подешавањима). Поред тога, треба напоменути да све нове верзије Цхроме-а аутоматски одређују доступност Керберос подршке. У случају да се користи једна од старијих верзија Цхроме-а (Цхромиум), за исправну ауторизацију на веб серверима који користе Керберос, потребно је да је покренете са параметрима:

--аутх-сервер-вхителист = "*. винитпро.ру"
--аутх -гаингате-делегате-вхителист = "*. винитпро.ру"

На пример,

"Ц: \ Програм Филес (к86) \ Гоогле \ Цхроме \ Апликација \ цхроме.еке" --аутх-сервер-вхителист = "*. Винитпро.ру" --аутх -гаингате-делегате-вхителист = "*. Винитпро. ру "

Или се ова подешавања могу дистрибуирати путем Групних смерница за Цхроме (политика АутхСерверВхителист) или подешавања низа регистра АутхНеготиатеДелегатеВхителист (налази се у огранку ХКЛМ \ СОФТВАРЕ \ Полициес \ Гоогле \ Цхроме).

Да би промене ступиле на снагу, морате поново покренути претраживач и ресетовати Керберос карте помоћу клист команде за чишћење (види чланак).

Конфигуришите Керберос провјеру аутентичности у Мозилла Фирефоку

Подршка Керберос-а подразумевано је онемогућена у Фирефок-у, да бисте је омогућили, отворите прозор конфигурације прегледача (у адресној траци идите на адресу абоут: цонфиг). Затим у наредним параметрима одредите адресе веб сервера за које треба користити Керберос аутентификацију.

  • нетворк.неготиате-аутх.трустед-урис
  • нетворк.аутоматиц-нтлм-аутх.трустед-урис

Ради практичности, можете онемогућити обавезни ФКДН адресе у адресној траци Мозилла Фирефок укључивањем параметра нетворк.неготиате-аутх.аллов-нон-фкдн

Можете да потврдите да ваш претраживач делује путем аутентификације на серверу помоћу Кербероса помоћу Фиддлера или команде клист тицкет.