Настройка прозрачной аутентификации

Чтобы иметь возможность использования сквозной аутентификации, когда сервер расположен в ОС Linux, необходимо выполнить специальные настройки Kerberos и используемого браузера.

Серверные настройки

Сервер Docsvision, установленный на Linux, требует настройки Kerberos-аутентификации. Настройка необходима для использования технологии единого входа (также известная как прозрачная аутентификация, когда пользователь уже аутентифицирован в другом модуле системы). В данном разделе приводится инструкция по настройке аутентификации Kerberos в системе Docsvision.

  1. Выполните настройку Docsvision для работы со службой доменных каталогов, например, ALD Pro.

  2. Настройте на домене обратный просмотр DNS, через который Kerberos по IP-адресу хоста будет вычислять имя хоста и правильный идентификатор экземпляра сервиса (SPN).

  3. Введите машину с сервером Docsvision в домен.

  4. На контролере домена добавьте SPN в базу и сгенерируйте keytab-файл с именем krb5.keytab. Поместите конфигурационный файл krb5.conf в папку /etc на сервере Docsvision.

    Создание keytab-файла командой в ОС Windows и последующий перенос его на сервер Docsvision является предпочтительным способом настройки

    Пример 1. Пример команды для создания keytab-файла
    ktpass -princ HTTP/company.example.com@EXAMPLE.COM -mapuser administrator@example.com -crypto RC4-HMAC-NT -ptype KRB5_NT_PRINCIPAL -pass Password -out C:\krb5.keytab

    Подробная инструкция по вводу в домен приведена в документации Astra Linux или РЕД ОС.

  5. Настройте браузер для использования прозрачной аутентификации. Для браузеров на сонове Chromium необходимо указать параметры:

  6. Если адрес машины недоступен, укажите в файле /etc/hosts строку dblf:

    IP-вашей-машины имя-вашей-машины.domain.com

Пример настроек можно запросить через службу технической поддержки Docsvision.

Клиентские настройки (опционально)

Следующие настройки являются опциональными и необходимы, когда требуется выполнять аутентификацию от имени пользователя вне домена, например, в диагностических целях.

  1. На сервере Docsvision установите пакет Kerberos-утилит следующей командой:

    • Astra Linux / ALT Linux

    • РЕД ОС / SberLinux

    $ sudo apt-get install krb5-user
    $ sudo dnf install krb5-workstation

  2. Заполните настройки в файле krb5.conf, расположенном в каталоге /etc/:

    Минимально необходимые настройки в файле krb5.conf:
    [libdefaults]
    default_realm = EXAMPLE.COM

[realms]
    EXAMPLE.COM = {
        kdc = COMPANY.EXAMPLE.COM
        admin_server = COMPANY.EXAMPLE.COM
    }

[domain_realm]
    .example.com = EXAMPLE.COM
    example.com = EXAMPLE.COM

  3. Следующий шаг — получение тикета для пользователя, которой имеет право входить в Docsvision, пример команды приведён ниже:

    $ kinit DocsvisionUser

  4. После успешного получения тикета, его можно просмотреть командой:

    $ klist

    Если в процессе получения тикета возникли ошибки, выполните следующую команду, чтобы при выполнении kinit выводился журнала отладки Kerberos:

    $ export KRB5_TRACE=/dev/stderr

  5. Следующий шаг — настройка клиентского браузера. Для Google Chrome и браузеров на его основе требуется в параметрах политик AuthNegotiateDelegateAllowlist, AuthServerAllowlist, доступных по адресу chrome://policy, указать домен компании в формате *.example.com.
    Для ОС Linux значения задаются в файле /etc/chromium/policies/managed/test_policy.json, для ОС Windows — в реестре или через управление групповыми политиками, если браузер клиента получает настройки Chrome с контроллера домена, подробнее см. по ссылкам выше и в разделе Комплексные политики Windows.

  6. Перезапустите браузер.

Особенности протокола аутентификации Kerberos требуют указывать адреса сервисов Docsvision в конфигурационных файлах с доменным именем вместо IP-адреса.