Домен/Использование Kerberos: различия между версиями
< Домен
Нет описания правки |
Нет описания правки |
||
| Строка 15: | Строка 15: | ||
На этой странице приводится пример использование билетов Kerberos в различных программах для подключения к сервисам. | На этой странице приводится пример использование билетов Kerberos в различных программах для подключения к сервисам. | ||
= Браузеры = | |||
== Chromium == | == Chromium == | ||
$ chromium --auth-server-whitelist="*.example.com,*.etersoft.ru" | $ chromium --auth-server-whitelist="*.example.com,*.etersoft.ru" | ||
| Строка 51: | Строка 51: | ||
https://ping.force.com/Support/PingFederate/Integrations/How-to-configure-supported-browsers-for-Kerberos-NTLM | https://ping.force.com/Support/PingFederate/Integrations/How-to-configure-supported-browsers-for-Kerberos-NTLM | ||
= Файловые системы = | |||
== Монтирование CIFS-ресурса == | == Монтирование CIFS-ресурса == | ||
| Строка 60: | Строка 62: | ||
$ sudo mount ... | $ sudo mount ... | ||
(тикет перестаёт быть доступен после повышения привилегий) | (тикет перестаёт быть доступен после повышения привилегий) | ||
= Прочее = | |||
== ssh == | == ssh == | ||
| Строка 79: | Строка 83: | ||
* [[Создание SPN и Keytab файла]] | * [[Создание SPN и Keytab файла]] | ||
* [[Nginx/AD-auth]] | * [[Nginx/AD-auth]] | ||
== Apache == | |||
# epmi apache2-mod_auth_kerb /usr/bin/kinit | |||
# a2enmod auth_krb5 && serv httpd2 reload | |||
положил тикет с SPN | |||
добавил такие настройки: | |||
AuthType Kerberos | |||
AuthName "Please enter your login and password for ETERSOFT.RU" | |||
KrbMethodNegotiate on | |||
KrbMethodK5Passwd on | |||
KrbServiceName HTTP/time.office.etersoft.ru@ETERSOFT.RU | |||
KrbAuthRealms ETERSOFT.RU | |||
Krb5Keytab /etc/krb5.time.office.keytab | |||
#KrbLocalUserMapping On | |||
== sshd == | == sshd == | ||
Версия от 04:24, 6 августа 2017
Журнал ALT-review
Title::Использование Kerberos
Annotation::Аутентификация в сервисах с использованием билетов Kerberos
- Раздел: Section::практика Тег: Tag::kerberos,домен,приложения
| ||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||||||||||
| ||||||||||||||||||||||
На этой странице приводится пример использование билетов Kerberos в различных программах для подключения к сервисам.
Браузеры
Chromium
$ chromium --auth-server-whitelist="*.example.com,*.etersoft.ru"
Для того, чтобы настройки применялись общесистемно:
/etc/chromium/default @@ -5,6 +5,8 @@ # Default: CHROMIUM_FLAGS="--enable-seccomp-sandbox" +CHROMIUM_FLAGS="$CHROMIUM_FLAGS --auth-server-whitelist=*.etersoft.ru,*.eterhost.ru" +
Должен быть ещё способ задания настроек по умолчанию на уровне пользователя.
curl
$ kinit $ curl --negotiate -u : "http://example.com"
Firefox
Добавить в about:config в firefox
network.negotiate-auth.delegation-uris .etersoft.ru network.negotiate-auth.trusted-uris .etersoft.ru
- https://insinuator.net/2016/02/how-to-test-kerberos-authenticated-web-applications/
- https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/5/html/Deployment_Guide/sso-config-firefox.html
- https://forum.altlinux.org/index.php?topic=15876.msg165572#msg165572
IE
Добавить в доверенные сайты
Файловые системы
Монтирование CIFS-ресурса
# kinit # mount -o sec=krb5 //SERVER/share /mnt/share
Не ясным остаётся вопрос с
$ kinit $ sudo mount ...
(тикет перестаёт быть доступен после повышения привилегий)
Прочее
ssh
Просто подключаемся к ssh-серверу, настроив его (см. ниже настройку sshd)
Подключение к LDAP
Windows
> klist purge
Серверная сторона
nginx
Apache
- epmi apache2-mod_auth_kerb /usr/bin/kinit
- a2enmod auth_krb5 && serv httpd2 reload
положил тикет с SPN
добавил такие настройки:
AuthType Kerberos
AuthName "Please enter your login and password for ETERSOFT.RU"
KrbMethodNegotiate on
KrbMethodK5Passwd on
KrbServiceName HTTP/time.office.etersoft.ru@ETERSOFT.RU
KrbAuthRealms ETERSOFT.RU
Krb5Keytab /etc/krb5.time.office.keytab
#KrbLocalUserMapping On
sshd
Для разрешения подключаться, используя билет Kerberos:
GSSAPIAuthentication yes
Если хотим, чтобы билеты проследовали за нами на удалённую сторону:
GSSAPICleanupCredentials yes
По неизвестной причине параметры Kerberos* трогать не нужно
RunaWFE