Konfigurirajte preverjanje pristnosti Kerberos v različnih brskalnikih (Active Directory)

V tem članku bomo pogledali, kako konfigurirati preverjanje pristnosti Kerberos za različne brskalnike v domeni Windows za pregledno in varno preverjanje pristnosti na spletnih strežnikih, ne da bi bilo treba ponovno vnesti geslo v poslovnem omrežju. Večina sodobnih brskalnikov (IE, Chrome, Firefox) ima podporo Kerberos, vendar morate za delovanje narediti več dodatnih korakov.

Če se brskalnik lahko prijavi na spletni strežnik, morajo biti izpolnjeni naslednji pogoji:

Podpora za Kerberos mora biti omogočena na strani spletnega strežnika (primer nastavitve avtentikacije Kerberos na spletnem mestu IIS)
Uporabnik ima dostop do strežnika
Uporabnik mora biti overjen v svojem računalniku v storitvi Active Directory s pomočjo Kerberosa (imeti mora TGT - Kerberos Ticket za izdajo vozovnice).

Na primer, želimo Kerberosovim strankam omogočiti avtorizacijo prek brskalnika na vseh spletnih strežnikih domene winitpro.ru (uporabiti moramo DNS ali FQDN in ne IP naslova spletnega strežnika)

Vsebina:

Konfigurirajte preverjanje pristnosti Kerberos v Internet Explorerju
Omogoči Kerberos pristnost v brskalniku Google Chrome
Konfigurirajte preverjanje pristnosti Kerberos v Mozilla Firefox

Konfigurirajte preverjanje pristnosti Kerberos v Internet Explorerju

Poglejmo, kako omogočiti Kerberos avtentikacijo v Internet Explorerju 11.

Spomnimo, da je od januarja 2016 edina uradno podprta različica Internet Explorerja IE11.

Odpri Lastnosti brskalnika -> Varnost -> Lokalni intranet (Lokalni intranet), kliknite na gumb Spletna mesta -> Izbirno. V cono dodajte naslednje vnose:

https: //*.winitpro.ru
http: //*.winitpro.ru

V to cono lahko dodate spletna mesta s skupinskim pravilnikom: Konfiguracija računalnika ->Upravne predloge ->Komponente sistema Windows -> Internet Explorer -> Internetna nadzorna plošča -> Varnostna stran -> Dodelitev mesta v cono. Za vsako spletno mesto morate dodati vnos z vrednostjo 1. Primer: glejte članek o onemogočanju varnostnega opozorila za datoteke, naložene z interneta

Nato pojdite na zavihek Izbirno (Napredno) in v razdelku Varnost (Varnost) preverite, ali je možnost omogočena Dovoli integrirano preverjanje pristnosti Windows (Omogoči integrirano preverjanje pristnosti Windows).

Je pomembno. Preverite, ali so spletna mesta, za katera je omogočena avtentikacija Kerberos, omejena na območje lokalnega intraneta. Za spletna mesta, vključena v območje Zaupanja spletnih mest, žeton Kerberos ne pošlje ustreznemu spletnemu strežniku.

Omogoči Kerberos pristnost v brskalniku Google Chrome

Če SSO deluje v brskalniku Google Chrome, morate konfigurirati Internet Explorer, kot je opisano zgoraj (Chrome uporablja podatke nastavitev IE). Poleg tega je treba opozoriti, da vse nove različice Chroma samodejno določajo razpoložljivost podpore Kerberos. Če se za pravilno avtorizacijo na spletnih strežnikih, ki uporabljajo Kerberos, uporablja ena od starejših različic Chroma (Chromium), jo morate zagnati s parametri:

--auth-server-whitelist = "*. winitpro.ru" --auth-pogajanje-delegat-beli seznam = "*. winitpro.ru"

Na primer,

"C: \ programske datoteke (x86) \ Google \ Chrome \ Application \ chrome.exe" --auth-server-whitelist = "*. Winitpro.ru" --auth-pogajanje-delegat-beli seznam = "*. Winitpro. ru "

Te nastavitve je mogoče distribuirati prek skupinskih pravilnikov za Chrome (pravilnik AuthServerWhitelist) ali nastavitve niza registra AuthNegotiateDelegateWhitelist (nahaja se v podružnici HKLM \ SOFTWARE \ Politike \ Google \ Chrome).

Da spremembe začnejo veljati, morate znova zagnati brskalnik in ponastaviti karte Kerberos z ukazom za čiščenje klist (glej članek).

Konfigurirajte preverjanje pristnosti Kerberos v Mozilla Firefox

Podpora Kerberos je v Firefoxu onemogočena, če jo želite omogočiti, odprite okno s konfiguracijo brskalnika (v naslovni vrstici pojdite na naslov about: config). Nato v naslednjih parametrih določite naslove spletnih strežnikov, za katere naj se uporabi overjanje Kerberos.