Pada artikel ini, kita akan melihat cara mengkonfigurasi otentikasi Kerberos untuk berbagai browser di domain Windows untuk otentikasi yang transparan dan aman di server web tanpa harus memasukkan kembali kata sandi pada jaringan perusahaan. Sebagian besar browser modern (IE, Chrome, Firefox) memiliki dukungan Kerberos, namun, agar bisa berfungsi, Anda perlu melakukan beberapa langkah tambahan.
Agar browser dapat masuk ke server web, kondisi berikut ini harus dipenuhi:
- Dukungan Kerberos harus diaktifkan di sisi server web (contoh pengaturan otentikasi Kerberos di situs IIS)
- Pengguna memiliki hak akses ke server
- Pengguna harus diautentikasi di komputernya di Active Directory menggunakan Kerberos (harus memiliki TGT - Kerberos Ticket Granting Ticket).
Sebagai contoh, kami ingin mengizinkan otorisasi klien Kerberos melalui browser di semua server web di domain winitpro.ru (kita perlu menggunakan DNS atau FQDN, dan bukan alamat IP dari server web)
Konten:
- Konfigurasikan Otentikasi Kerberos di Internet Explorer
- Aktifkan Otentikasi Kerberos di Google Chrome
- Konfigurasikan Otentikasi Kerberos di Mozilla Firefox
Konfigurasikan Otentikasi Kerberos di Internet Explorer
Mari kita lihat cara mengaktifkan otentikasi Kerberos di Internet Explorer 11.
Ingatlah bahwa sejak Januari 2016, satu-satunya versi Internet Explorer yang didukung secara resmi adalah IE11.Buka Properti peramban -> Keamanan -> Intranet lokal (Intranet lokal), klik tombol Situs -> Opsional. Tambahkan entri berikut ke zona:
- https: //*.winitpro.ru
- http: //*.winitpro.ru
Selanjutnya, buka tab Opsional (Lanjutan) dan di bagian Keamanan (Keamanan) pastikan opsi ini diaktifkan Izinkan Otentikasi Windows Terpadu (Aktifkan Otentikasi Windows Terpadu).
Itu penting. Pastikan situs Web yang memungkinkan otentikasi Kerberos dibatasi untuk zona intranet Lokal. Untuk situs yang termasuk dalam zona Situs tepercaya, token Kerberos tidak dikirim ke server web yang sesuai.Aktifkan Otentikasi Kerberos di Google Chrome
Agar SSO berfungsi di Google Chrome, Anda harus mengonfigurasi Internet Explorer seperti dijelaskan di atas (Chrome menggunakan data pengaturan IE). Selain itu, perlu dicatat bahwa semua versi baru Chrome secara otomatis menentukan ketersediaan dukungan Kerberos. Jika salah satu versi Chrome (Chromium) lama digunakan, untuk otorisasi yang benar pada server web menggunakan Kerberos, Anda perlu menjalankannya dengan parameter:
--auth-server-whitelist = "*. winitpro.ru"
--auth-negotiate-delegate-whitelist = "*. winitpro.ru"
Sebagai contoh,
"C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe" --auth-server-whitelist = "*. Winitpro.ru" --auth-negotiate-delegate-delegate-whitelist = "*. Winitpro. ru "
Entah pengaturan ini dapat didistribusikan melalui Kebijakan Grup untuk Chrome (kebijakan AuthServerWhitelist) atau pengaturan registri string AuthNegotiateDelegateWhitelist (terletak di cabang HKLM \ SOFTWARE \ Policies \ Google \ Chrome).
Agar perubahan diterapkan, Anda perlu me-restart browser dan mereset tiket Kerberos dengan perintah klist purge (lihat artikel).
Konfigurasikan Otentikasi Kerberos di Mozilla Firefox
Secara default, dukungan Kerberos dinonaktifkan di Firefox, untuk mengaktifkannya, buka jendela konfigurasi browser (di bilah alamat, buka alamat tentang: config). Kemudian, dalam parameter berikut, tentukan alamat server web tempat otentikasi Kerberos harus digunakan.
- network.negotiate-auth.trusted-uris
- network.automatic-ntlm-auth.trusted-uris
Anda dapat memverifikasi bahwa browser Anda berfungsi melalui otentikasi di server menggunakan Kerberos menggunakan Fiddler atau perintah tiket klist.