Настройка браузеров для SSO: различия между версиями

Версия от 17:28, 15 июня 2017

Для работы прозрачной аутентификации (SSO) в браузерах необходимо произвести некоторые настройки.

Настройка Mozilla Firefox SSO

В адресной строке вводим about:config, соглашаемся с тем, что мы понимаем риск
В строке поиска вводим negotiate
Находим параметр network.negotiate-auth.trusted-uris
Указываем в этом параметре имя нашей kerberos области (realm): .ipa.example.test

Настройка Chromium SSO

Создать папку:

# mkdir -p /etc/chromium/policies/managed/

В ней создать файл mydomain.json следующего содержания:

{ "AuthServerWhitelist": "*.ipa.example.test" }

Где .ipa.example.test - имя нашей kerberos области (realm).

Заключение

Пробуем войти на сайт поддерживающий SSO под доменным пользователем.
В системе должен присутствовать рабочий kerberos билет.
Посмотреть билет можно с помощью программы Kerberos Ticket Watcher.
Так же можно посмотреть из командной строки:

$ klist
Ticket cache: KEYRING:persistent:500:500
Default principal: user@IPA.EXAMPLE.TEST

Valid starting       Expires              Service principal
15.06.2017 10:20:18  16.06.2017 10:20:18  krbtgt/IPA.EXAMPLE.TEST@EXAMPLE.TEST

@@ Строка 5: / Строка 5: @@
 * В строке поиска вводим '''negotiate'''
 * Находим параметр '''network.negotiate-auth.trusted-uris'''
-* Указываем в этом параметре имя нашей kerberos области (realm): '''ipa.example.test'''
+* Указываем в этом параметре имя нашей kerberos области (realm): '''.ipa.example.test'''
+== Настройка Chromium SSO ==
+Создать папку:
+<pre># mkdir -p /etc/chromium/policies/managed/</pre>
+В ней создать файл {{path|mydomain.json}} следующего содержания:
+<pre>{ "AuthServerWhitelist": "*.ipa.example.test" }</pre>
+Где .ipa.example.test - имя нашей kerberos области (realm).
+== Заключение ==
 Пробуем войти на сайт поддерживающий SSO под доменным пользователем.<br>
 В системе должен присутствовать рабочий kerberos билет.<br>