Konfigurace ověřování Kerberos v různých prohlížečích (Active Directory)

V tomto článku se podíváme na to, jak nakonfigurovat ověřování Kerberos pro různé prohlížeče v doméně Windows pro transparentní a zabezpečené ověřování na webových serverech, aniž byste museli znovu zadávat heslo v podnikové síti. Většina moderních prohlížečů (IE, Chrome, Firefox) má podporu Kerberos, ale aby fungovala, musíte provést několik dalších kroků.

Aby se prohlížeč mohl přihlásit na webový server, musí být splněny následující podmínky:

Podpora Kerberos musí být povolena na straně webového serveru (příklad nastavení ověřování Kerberos na webu IIS)
Uživatel má přístupová práva k serveru
Uživatel musí být ověřen na svém počítači ve službě Active Directory pomocí protokolu Kerberos (musí mít TGT - lístek na udělení lístku Kerberos).

Chceme například povolit autorizaci klientů Kerberos prostřednictvím prohlížeče na všech webových serverech domény winitpro.ru (je třeba použít DNS nebo FQDN, nikoli IP adresu webového serveru).

Obsah:

Konfigurace ověřování Kerberos v aplikaci Internet Explorer
Povolte v prohlížeči Google Chrome ověřování Kerberos
Konfigurace ověřování Kerberos v prohlížeči Mozilla Firefox

Konfigurace ověřování Kerberos v aplikaci Internet Explorer

Podívejme se, jak povolit ověřování Kerberos v aplikaci Internet Explorer 11.

Připomeňme, že od ledna 2016 je jedinou oficiálně podporovanou verzí aplikace Internet Explorer IE11.

Otevřeno Vlastnosti prohlížeče -> Bezpečnost -> Místní intranet (Místní intranet), klikněte na tlačítko Weby -> Volitelné. Do zóny přidejte následující položky:

https: //*.winitpro.ru
http: //*.winitpro.ru

Do této zóny můžete přidat weby pomocí zásad skupiny: Konfigurace počítače ->Administrativní šablony ->Komponenty Windows -> Internet Explorer -> Internetový ovládací panel -> Bezpečnostní stránka -> Přiřazení webu k zóně. Pro každý web musíte přidat položku s hodnotou 1. Příklad: viz článek o deaktivaci bezpečnostního upozornění pro soubory stažené z Internetu

Dále přejděte na kartu Volitelné (Pokročilé) a v části Bezpečnost (Zabezpečení) Ujistěte se, že je volba povolena Povolit integrované ověřování systému Windows (Povolit integrované ověřování systému Windows).

Je důležité. Ověřte, zda jsou weby, pro které je povoleno ověřování Kerberos, omezeny na zónu Místní intranet. U webů zahrnutých do zóny Důvěryhodné servery se token Kerberos neodesílá na odpovídající webový server.

Povolte v prohlížeči Google Chrome ověřování Kerberos

Aby SSO fungovalo v Google Chrome, musíte nakonfigurovat Internet Explorer, jak je popsáno výše (Chrome používá data nastavení IE). Kromě toho je třeba poznamenat, že všechny nové verze prohlížeče Chrome automaticky určují dostupnost podpory Kerberos. V případě, že se použije jedna ze starších verzí prohlížeče Chrome (Chromium), musíte pro správnou autorizaci na webových serverech pomocí protokolu Kerberos spustit tento program s následujícími parametry:

--auth-server-whitelist = "*. winitpro.ru" --auth-negotiate-delegate-whitelist = "*. winitpro.ru"

Například,

"C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe" --auth-server-whitelist = "*. Winitpro.ru" --auth-negotiate-delegate-whitelist = "*. Winitpro. ru "

Tato nastavení lze distribuovat prostřednictvím zásad skupiny pro Chrome (zásady AuthServerWhitelist) nebo prostřednictvím nastavení registru řetězců AuthNegotiateDelegateWhitelist (nachází se v pobočce HKLM \ SOFTWARE \ Policies \ Google \ Chrome).

Aby se změny projevily, musíte restartovat prohlížeč a resetovat lístky Kerberos příkazem klist purge (viz článek).

Konfigurace ověřování Kerberos v prohlížeči Mozilla Firefox

Ve výchozím nastavení je podpora protokolu Kerberos ve Firefoxu zakázána. Chcete-li ji povolit, otevřete konfigurační okno prohlížeče (v adresním řádku přejděte na adresu about: config). Poté v následujících parametrech zadejte adresy webových serverů, pro které by měla být použita autentizace Kerberos.