Настройка Kerberos для веб клиента CommuniGate

В этой публикации я покажу, как выполняется настройка Kerberos для веб клиента CommuniGate. В качестве опорой документации я буду использовать соответствующую страницу руководства по продукту.

Зачем вообще это нужно? Для тех из вас, кто задается этим вопросом приведу пример. Если Kerberos аутентификация не настроена, то при каждом входе в веб клиент ваши пользователи должны будут указывать логин и пароль. Это может быть удобно не для всех. Если же вы настроите Kerberos аутентификацию, то доступ к веб клиенту будет предоставлять сразу же – без запроса логина и пароля (но только для своей учетной записи). Однако, для этого нужен какой-то центр распределения ключей (KDC). В моем случае это будет Active Directory.

При настройке Kerberos аутентификации очень важно указать правильно указать на сервер и клиентах дату, время и часовой пояс. Это очень сильно влияет на правильную работу всего механизма аутентификации.

Настройка Kerberos для веб клиента CommuniGate

Для того, чтобы настроить Kerberos аутентификацию необходимо выполнить следующие шаги:

1. В Active Directory создадим отдельного пользователя. Именно для этого пользователя мы в дальнейшем будем экспортировать ключи.

2. Выполним экспорт ключей:

ktpass -princ HTTP/com01.itproblog.ru@ITPROBLOG.RU -mapuser cgp -pass Qwerty123 -out C:\keytab.data -crypto RC4-HMAC-NT -ptype KRB5_NT_SRV_HST

Параметры экспорта следующие:

ПараметрОписание
-princУказываем для какого сервера будет настроен экспорт. Составной параметр – service/domain@REALM
service – имя сервиса для которого выполняется экспорт. В нашем случае – HTTP
domain – DNS-имя по которому ваши клиенты будут заходить на веб клиент CommuniGate. В моем случае – com01.itproblog.ru
REALM – имя домена Active Directory в котором будет выполняться аутентфиикация. В моем случае это – ITPROBLOG.RU
-mapuserИмя пользователя от имени которого мы выполняем экспорт. Мы создали его в п. 1
-passПароль пользователя
-outПуть до файла с ключами. Именно этот файл в последующем мы импортируем в CommuniGate
-cryptoПараметры криптографии. Оставляем без изменений
-ptypeТип принципала. Оставляем без изменение

3. После успешного экспорта в указанной нами директории должен появиться соответствующий файл.

4. Запускаем веб консоль администрирования CommuniGate.

5. Переходим в раздел для импорта ключей Kerberos: Users -> Domains -> itproblog.ru -> Security -> Kerberos.

6. Нажимаем кнопку “Browse”, находим файл из п. 3. Нажимаем кнопку “Import Keys”.

7. При успешном импорте мы увидим соответствующий ключ в списке:

Настройки на стороне сервера завершены. Теперь перейдет к проверкам на стороне клиента.

Проверка работы Kerberos аутентификации

Теперь выполним проверку на стороне клиента.

Если вы используете браузеры от Microsoft (Internet Explorer, Edge), то для того, чтобы у вас не появлялось дополнительное окно с аутентификацией, необходимо добавить адрес сервера CommuniGate в зону местной интрасети.

Проверяем:

1. Запускаем используемый вами браузер. Я буду использовать Google Chrome. Также проверял работу с Internet Explorer и Edge – аутентификация работает корректно.

2. Переходим по адресу, по которому вы настроили доступ до сервера CommuniGate на страницу login:

https://com01.itproblog.ru/login

Альтернативный вариант – использовать корневой адрес и кнопку “Auto-Login”:

https://com01.itproblog.ru

3. При успешной аутентификации через Kerberos у вас не должно быть запроса на логин и пароль. Вы, соответственно, сразу должно получить доступ до веб интерфейса Samoware.

Настройка Kerberos для веб клиента CommuniGate завершена.

Добавить комментарий

Ваш адрес email не будет опубликован.