Конфигурирование интеграции с Kerberos

Данный раздел доступен, если он активирован в лицензии.

  1. Запустите сервер PassOffice с помощью файла PassOfficeSrv.bat

  2. Затем откройте браузер, в адресную строку введите адрес хоста, на котором запущен сервер PassOffice (например, localhost:80) и авторизуйтесь под учетной записью Администратора (логин и пароль Администратора задается во время установки системы)

  3. Откройте пункт меню «Администрирование / Настройки интеграции»

  4. Отредактируйте настройки интеграции Kerberos, указав:

  • логин

  • пароль

  • URL

  1. Проведите Тест соединения. Если тест проходит успешно - активируйте данные настройки соединения. В случае ошибок проверьте логи сервера PassOffice.

  2. Реактивировать/Деактивировать соединение можно с помощью соответствующих кнопок. Если после активации внесены изменения в настройки необходимо нажать «Реактивировать», чтобы применились настройки.

SSO авторизация через Active Directory позволяет получить доступ к ПО без ввода логина и пароля. Для реализации SSO авторизации через Active Directory на стороне AD требуется:

  1. Создать нового пользователя, которому потом зарегистрируем имя участника-службы (SPN).

Обратите внимание. В Microsoft Active Directory Domain keytab файл генерируется только для учетных записей пользователей, а не компьютера или сервиса.

Аккаунт пользователя должен обладать следующими свойствами:\

  • Пароль не может быть изменен

  • Срок действия пароля бессрочен Имя участника-службы отправляется в центр распределения ключей (KDC), чтобы получить токен безопасности для проверки подлинности соединения. Если токен безопасности невозможно подключить, проверка подлинности использует NTLM.

  1. Для создания SPN-имени необходимо выполнить следующую команду:

setspn -A HTTP/applicationhost@DOMAIN.COM <username>

где applicationhost@DOMAIN.COM - адрес и домен, по которому находится наш веб-сервер (например, HTTP/aam.ad.com@AD.COM), и учетная запись домена, к которой необходимо зарегистрировать имя субъекта-службы.

Если имя участника-службы уже существует, то перед повторной регистрацией его необходимо удалить. Это можно сделать командой setspn c параметром -D.

Обратите внимание: нельзя использовать IP-адрес. Только доменное имя.

  1. Сгенерировать kerberos-ключи:

ktpass 
    -princ HTTP/applicationhost@DOMAIN.COM 
    -mapuser -pass 
    -out <имяключа>.keytab -mapOp 
    add 
    -crypto ALL -pType KRB5_NT_PRINCIPAL

В дальнейшем, эти ключи будут использоваться в Kerberos-клиенте для проверки подлинности пользователей. В качестве выходного пути указываем путь, по которому будет находиться наш веб-сервер. В его конфигурации (веб-сервера) в application.properties указывается путь к файлу с этими ключами.

  1. После генерации keytab файла его следует положить в папку bin/config проекта. Путь до этого файла указывается в application.properties в атрибуте security.keytab.file.

Настройка браузера для работы с SSO

В браузере Google Chrome необходимо:

  1. Перейти по адресу chrome://settings

  2. Пролистать страницу вниз и нажать на кнопку «Дополнительные»

  3. В разделе «Система» нажать на кнопку: «Открыть настройки прокси-сервера»

  4. Перейти на вкладку «Безопасность»

  5. Выбрать «trusted sites» (доверенные сайты)

  6. Ввести домен сайта и нажать «Добавить».

В Firefox необходимо перейти по адресу about:config, найти в настройках параметр network.negotiate-auth.trusted-uris и в качестве его значения установить DNS-имя сайта.

Подробнее про конфигурацию SPN аккаунта для Active Directory:

  1. https://docs.tibco.com/pub/amx-bpm/3.1.0/doc/html/bpmhelp/GUID-6E7B3AD0-D18A-490E-ADED-2D48647CD9C7.html

  2. https://docs.microsoft.com/ru-ru/sql/database-engine/configure-windows/register-a-service-principal-name-for-kerberos-connections?view=sql-server-ver15#the-role-of-the-spn-in-authentication

PreviousКонфигурирование интеграции с OpenIDNextКонфигурирование интеграции с DaData

Last updated