Включить аутентификацию Kerberos

Чтобы иметь возможность использования сквозной аутентификации, когда сервер расположен в ОС Linux, необходимо выполнить специальные настройки Kerberos и используемого браузера.[1]

Обязательные условия для настройки сквозной аутентификации:

  • Обращение к Web-клиенту по доменному имени и адресу http://example.domain.com:5004/Account/LoginWindows.

  • Сервер Web-клиента должен находиться в домене.

  1. Настройте аутентификацию в Active Directory (требуется не для всех сервисов). Для работы Kerberos аутентификации в ActiveDirectory, необходимо получить keytab-файл.

    Файл выпускается специальной командой ktpass, как правило, в Windows среде[2].

    Пример 1. Пример команды для создания keytab-файла
    ktpass -princ HTTP/server.example.com@EXAMPLE.COM -mapuser administrator@example.com -crypto RC4-HMAC-NT -ptype KRB5_NT_PRINCIPAL -pass Password -out C:\\\krb5.keytab

    Сгенерированный krb5.keytab файл необходимо поместить в каталог /etc/ на сервере Linux.

  2. Перейдите по адресу Web-клиента http://example.domain.com:5004/Account/LoginWindows. Адрес необходимо вводить с доменным именем. При обращении по IP Kerberos-аутентификация в Web-клиенте использоваться не будет, будет использована только стандартная аутентификация.

    В настройках безопасности браузера сайт должен находиться в локальной интрасети.
1. Пример настроек можно запросить через службу технической поддержки Docsvision.
2. В Linux keytab-файл создаётся при вводе сервера в домен. Подробная информация о вводе в домен приведена в документации Astra Linux