Настройка Kerberos
- Эдуард Столяр
Описание
Все пользователи, находящиеся в домене после авторизации на ПК имеют доступ к платформе Visiology.
Необходимо чтобы компьютер находился в домене.
Необходимо иметь пользователя в домене.
Настройка
VISIOLOGY, visiology.local – имена вашего домена. Регистр важен.
visiology-kauth – имя хоста, на котором будет установлена платформа.
- Создать пользователя с логином visiology-kauth.
На сервере AD выполнить следующие команды в консоли:
setspn -S HTTP/visiology-kauth.visiology.local visiology-kauth setspn -S HTTP/visiology-kauth@VISIOLOGY.LOCAL visiology-kauth ktpass -princ HTTP/visiology-kauth.visiology.local@VISIOLOGY.LOCAL -mapuser VISIOLOGY\visiology-kauth$ -crypto ALL -ptype KRB5_NT_PRINCIPAL -pass +rndpass -out krb5.keytab
- Заменить имя хост машины в файле platform.yml поставки платформы. Найти запись hostname: 'visiology-kauth' и заменить имя на нужное. Сохранить файл.
Скопировать файл krb5.keytab в /docker-volume/kerberos-auth-server/krb5.keytab.
Перезагрузить платформу.
Добавить сайт платформы в доверенные, на компьютере который в домене https://techtime.co.nz/display/TECHTIME/How+do+I+add+a+trusted+site+to+my+Local+Intranet+Zone+using+a+Group+Policy
До 10-ого пунктаПрименить доменные политики для клиентов, перезагрузив их машины.
Зайти на путь 'http://visiology-kauth.visiology.local:5002/windows/challenge' с машины, которая в домене и залогинена под доменным пользователем. Должно вернуть 404.
В случае успешной проверки, в настройках администратора включить авторизацию Windows (см. Включение Kerberos (Windows-авторизации)).
Авторизация по HTTPS
Необходимо сгенерировать сертификаты и настроить платформу на работу по HTTPS по инструкции.
Скопировать файл pfx и файл с паролем в '/docker-volume/kerberos-auth-server/certificate.pfx' и '/docker-volume/kerberos-auth-server/certificate.pass'.
Перезапустить платформу c флагом --https on.
Имена файлов для Kerberos необходимо использовать как в примере: “certificate.pass”, “certificate.pfx”.