Настройка браузеров для SSO: различия между версиями

Версия от 10:48, 3 мая 2023

Для работы прозрачной аутентификации (SSO) в браузерах необходимо произвести некоторые настройки.

Настройка Mozilla Firefox SSO

в адресной строке ввести about:config, согласится с тем, что вы понимаете риск;
в строке поиска ввести negotiate;
найти параметр network.negotiate-auth.trusted-uris;
указать в этом параметре имя kerberos области (realm): .test.alt;

В ряде случаев может потребоваться отредактировать еще несколько параметров:

параметр network.automatic-ntlm-auth.trusted-uris выставить в kerberos realm: .test.alt;
параметр network.negotiate-auth.delegation-uris выставить в kerberos realm: .test.alt;
параметр network.automatic-ntlm-auth.allow-non-fqdn выставить в true;
параметр network.negotiate-auth.allow-non-fqdn выставить в true.

Также можно создать файл /usr/lib64/firefox/browser/defaults/preferences/prefs.js со следующим содержимым:

pref("network.negotiate-auth.trusted-uris",".test.alt");
pref("network.automatic-ntlm-auth.trusted-uris",".test.alt");
pref("network.automatic-ntlm-auth.allow-non-fqdn","true");
pref("network.negotiate-auth.allow-non-fqdn","true");
pref("network.negotiate-auth.delegation-uris",".test.alt");

Эти параметры могут быть распространены через групповые политики для Firefox:

параметр network.negotiate-auth.trusted-uris — политика «SPNEGO»;
параметр 'network.automatic-ntlm-auth.trusted-uris — политика «NTLM»;
параметр network.negotiate-auth.delegation-uris — политика «Делегированная авторизация»;
параметр network.automatic-ntlm-auth.allow-non-fqdn — политика «Разрешить неполное доменное имя (Non FQDN)»;
параметр network.negotiate-auth.allow-non-fqdn — политика «Разрешить неполное доменное имя (Non FQDN)».

Настройка Chromium SSO

В файл /etc/chromium/policies/managed/policies.jso добавить строку:

{ 
    "AuthServerAllowlist": "*.test.alt" 
}

Где .test.alt — имя kerberos области (realm).

Для применения настроек необходимо перезапустить браузер. Результат применения параметров политики для Chromium можно проверить, указав в адресной строке URL: "chrome://policy".

Также можно запустить браузер из командной строки, выполнив команду:

$ chromium-browser --auth-server-whitelist="*.test.alt"

Заключение

Пробуем войти на сайт поддерживающий SSO под доменным пользователем.

В системе должен присутствовать рабочий kerberos билет.

Посмотреть билет можно с помощью программы Kerberos Ticket Watche или из командной строки:

$ klist
Ticket cache: KEYRING:persistent:500:500
Default principal: ivanov@TEST.ALT

Valid starting       Expires              Service principal
02.05.2023 17:20:18  03.05.2023 17:20:18  krbtgt/TEST.ALT@TEST.ALT

@@ Строка 10: / Строка 10: @@
 В ряде случаев может потребоваться отредактировать еще несколько параметров:
-* параметр'''network.automatic-ntlm-auth.trusted-uris''' выставить в kerberos realm: '''.test.alt''';
+* параметр '''network.automatic-ntlm-auth.trusted-uris''' выставить в kerberos realm: '''.test.alt''';
 * параметр '''network.negotiate-auth.delegation-uris''' выставить в kerberos realm: '''.test.alt''';
 * параметр '''network.automatic-ntlm-auth.allow-non-fqdn''' выставить в '''true''';
@@ Строка 21: / Строка 21: @@
 pref("network.negotiate-auth.allow-non-fqdn","true");
 pref("network.negotiate-auth.delegation-uris",".test.alt");</syntaxhighlight>
+Эти параметры могут быть распространены через [[Групповые_политики|групповые политики]] для [[Групповые_политики/Firefox|Firefox]]:
+* параметр '''network.negotiate-auth.trusted-uris''' — политика «[[Групповые_политики/Firefox#SPNEGO|SPNEGO]]»;
+* параметр '''network.automatic-ntlm-auth.trusted-uris'' — политика «NTLM»;
+* параметр '''network.negotiate-auth.delegation-uris''' — политика «Делегированная авторизация»;
+* параметр '''network.automatic-ntlm-auth.allow-non-fqdn''' — политика «Разрешить неполное доменное имя (Non FQDN)»;
+* параметр '''network.negotiate-auth.allow-non-fqdn''' — политика «Разрешить неполное доменное имя (Non FQDN)».
 == Настройка Chromium SSO ==