Настройка пользовательской рабочей станции для Kerberos-аутентификации

Настройка пользовательской рабочей станции для Kerberos-аутентификации

Для корректной аутентификации пользовательская рабочая станция должна быть введена в соответствующий домен аутентификации Kerberos, используемый в ферме Termidesk и указанный в «Портале администратора».

По умолчанию билет Kerberos выдается автоматически при аутентификации пользователя в системе. Однако, если билет не был выдан автоматически, нужно:

  • просмотреть список билетов:
klist
  • получить билет Kerberos:
kinit -f termidesk@TERMIDESK.LOCAL

где:

termidesk@TERMIDESK.LOCALучетная запись, для которой запрашивается билет.

Kerberos-аутентификация через веб-браузер требует настройки параметров безопасности в зависимости от используемой ОС и типа браузера.

На пользовательской рабочей станции с ОС Microsoft Windows:

  • при использовании веб-браузера, основанного на Chromium нужно настроить параметры безопасности браузера для зоны, в которой находится сервер Termidesk. Для этого:
    • перейти «Панель управления - Свойства браузера - Безопасность»;
    • в разделе «Выберите зону для параметры ее параметров безопасности» выбрать зону «Местная интрасеть», нажать экранную кнопку [Сайты];
    • в окне «Местная интрасеть» нажать экранную кнопку [Дополнительно];
    • в поле «Добавить в зону следующий узел» ввести FQDN сервера Termidesk, нажать экранную кнопку [Добавить];

Добавление FQDN компонента «Универсальный диспетчер» в зону «Местная интрасеть»
  • при использовании в ОС Microsoft Windows веб-браузера Mozilla Firefox нужно:
    • в адресной строке ввести about:config;
    • присвоить соответствующие значения параметрам, перечисленным в таблице.
Данные для настройки Kerberos-аутентификации через веб-браузер Mozilla Firefox в ОС Microsoft Windows

ПараметрЗначение
network.negotiate-auth.allow-proxiesTrue
network.negotiate-auth.delegation-uris

.termidesk.local

network.negotiate-auth.trusted-uris

.termidesk.local

На пользовательской рабочей станции с ОС Astra Linux Special Edition:

  • для настройки веб-браузера Chromium нужно:
    • в файл /etc/chromium/policies/managed/policies.json добавить строки:
{ 
    "AuthServerAllowlist": "*.termidesk.local" ,
    "AuthNegotiateDelegateAllowlist": "*.termidesk.local"
}

где:

*.termidesk.local - имя домена, для которого применяется Kerberos-аутентификация;

  • для настройки веб-браузера Яндекс.Браузер нужно:
    • создать каталог /etc/opt/yandex/browser/policies/managed:
mkdir -p /etc/opt/yandex/browser/policies/managed
    • создать файл /etc/opt/yandex/browser/policies/managed/policies.json следующего содержания:
{ 
    "AuthServerAllowlist": "*.termidesk.local",
    "AuthNegotiateDelegateAllowlist": "*.termidesk.local" 
}
  • для настройки веб-браузера Mozilla Firefox нужно:
    • в адресной строке ввести about:config;
    • присвоить соответствующие значения параметрам, перечисленным в таблице.
Данные для настройки Kerberos-аутентификации через веб-браузер Mozilla Firefox в ОС Astra Linux Special Edition

ПараметрЗначение
network.negotiate-auth.allow-proxiesTrue
network.negotiate-auth.delegation-uris

.termidesk.local

network.negotiate-auth.trusted-uris

.termidesk.local