Навигация Главная: ALT-review Все статьи Предложения и пожелания Ресурсы FAQ

На этой странице приводится пример использование билетов Kerberos в различных программах для подключения к сервисам.

Chromium

$ chromium --auth-server-whitelist="*.example.com,*.etersoft.ru"

Для того, чтобы настройки применялись общесистемно:

/etc/chromium/default
@@ -5,6 +5,8 @@
 # Default:
 CHROMIUM_FLAGS="--enable-seccomp-sandbox"
 
+CHROMIUM_FLAGS="$CHROMIUM_FLAGS  --auth-server-whitelist=*.etersoft.ru,*.eterhost.ru"
+

Должен быть ещё способ задания настроек по умолчанию на уровне пользователя.

curl

$ kinit
$ curl --negotiate -u : "http://example.com"

Firefox

Добавить в about:config в firefox

network.negotiate-auth.delegation-uris .etersoft.ru
network.negotiate-auth.trusted-uris    .etersoft.ru

• https://insinuator.net/2016/02/how-to-test-kerberos-authenticated-web-applications/
• https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/5/html/Deployment_Guide/sso-config-firefox.html
• https://forum.altlinux.org/index.php?topic=15876.msg165572#msg165572

IE

Добавить в доверенные сайты

https://ping.force.com/Support/PingFederate/Integrations/How-to-configure-supported-browsers-for-Kerberos-NTLM

Монтирование CIFS-ресурса

# kinit
# mount -o sec=krb5 //SERVER/share /mnt/share

Не ясным остаётся вопрос с

$ kinit
$ sudo mount ...

(тикет перестаёт быть доступен после повышения привилегий)

ssh

Просто подключаемся к ssh-серверу, настроив его (см. ниже настройку sshd)

Подключение к LDAP

• Домен/GSSAPI

Windows

> klist purge

Серверная сторона

nginx

• Создание SPN и Keytab файла
• Nginx/AD-auth

sshd

Для разрешения подключаться, используя билет Kerberos:

GSSAPIAuthentication yes

Если хотим, чтобы билеты проследовали за нами на удалённую сторону:

GSSAPICleanupCredentials yes

По неизвестной причине параметры Kerberos* трогать не нужно

RunaWFE

• http://www.runawfe.org/rus/doc/KerberosAuthentication