В этой публикации я покажу, как выполняется настройка Kerberos для веб клиента CommuniGate. В качестве опорой документации я буду использовать соответствующую страницу руководства по продукту.
Зачем вообще это нужно? Для тех из вас, кто задается этим вопросом приведу пример. Если Kerberos аутентификация не настроена, то при каждом входе в веб клиент ваши пользователи должны будут указывать логин и пароль. Это может быть удобно не для всех. Если же вы настроите Kerberos аутентификацию, то доступ к веб клиенту будет предоставлять сразу же — без запроса логина и пароля (но только для своей учетной записи). Однако, для этого нужен какой-то центр распределения ключей (KDC). В моем случае это будет Active Directory.
При настройке Kerberos аутентификации очень важно указать правильно указать на сервер и клиентах дату, время и часовой пояс. Это очень сильно влияет на правильную работу всего механизма аутентификации.
Настройка Kerberos для веб клиента CommuniGate
Для того, чтобы настроить Kerberos аутентификацию необходимо выполнить следующие шаги:
1. В Active Directory создадим отдельного пользователя. Именно для этого пользователя мы в дальнейшем будем экспортировать ключи.
2. Выполним экспорт ключей:
ktpass -princ HTTP/com01.itproblog.ru@ITPROBLOG.RU -mapuser cgp -pass Qwerty123 -out C:\keytab.data -crypto RC4-HMAC-NT -ptype KRB5_NT_SRV_HSTПараметры экспорта следующие:
| Параметр | Описание |
| -princ | Указываем для какого сервера будет настроен экспорт. Составной параметр — service/domain@REALM service — имя сервиса для которого выполняется экспорт. В нашем случае — HTTP domain — DNS-имя по которому ваши клиенты будут заходить на веб клиент CommuniGate. В моем случае — com01.itproblog.ru REALM — имя домена Active Directory в котором будет выполняться аутентфиикация. В моем случае это — ITPROBLOG.RU |
| -mapuser | Имя пользователя от имени которого мы выполняем экспорт. Мы создали его в п. 1 |
| -pass | Пароль пользователя |
| -out | Путь до файла с ключами. Именно этот файл в последующем мы импортируем в CommuniGate |
| -crypto | Параметры криптографии. Оставляем без изменений |
| -ptype | Тип принципала. Оставляем без изменение |
3. После успешного экспорта в указанной нами директории должен появиться соответствующий файл.
4. Запускаем веб консоль администрирования CommuniGate.
5. Переходим в раздел для импорта ключей Kerberos: Users -> Domains -> itproblog.ru -> Security -> Kerberos.
6. Нажимаем кнопку «Browse», находим файл из п. 3. Нажимаем кнопку «Import Keys».
7. При успешном импорте мы увидим соответствующий ключ в списке:
Настройки на стороне сервера завершены. Теперь перейдет к проверкам на стороне клиента.
Проверка работы Kerberos аутентификации
Теперь выполним проверку на стороне клиента.
Если вы используете браузеры от Microsoft (Internet Explorer, Edge), то для того, чтобы у вас не появлялось дополнительное окно с аутентификацией, необходимо добавить адрес сервера CommuniGate в зону местной интрасети.
Проверяем:
1. Запускаем используемый вами браузер. Я буду использовать Google Chrome. Также проверял работу с Internet Explorer и Edge — аутентификация работает корректно.
2. Переходим по адресу, по которому вы настроили доступ до сервера CommuniGate на страницу login:
https://com01.itproblog.ru/loginАльтернативный вариант — использовать корневой адрес и кнопку «Auto-Login»:
https://com01.itproblog.ru
3. При успешной аутентификации через Kerberos у вас не должно быть запроса на логин и пароль. Вы, соответственно, сразу должно получить доступ до веб интерфейса Samoware.
Настройка Kerberos для веб клиента CommuniGate завершена.