Zum Hauptinhalt gehen

Einrichtung von Kerberos SSO

Dieses Dokument beschreibt die Einrichtung der BlueMind-Erkennung der Kerberos-Authentifizierung in einer Windows-Infrastruktur.

info

Im Folgenden werden wir die externe URL von BlueMind betrachten, auf die die Benutzer bluemind.domain.tld und der ActiveDirectory-Server ad.domain.tld zugreifen können.

Die Domäne, in der sich diese Maschinen befinden, ist DOMAIN.TLD.

Vorbereitung der Anmeldeinformationen

  1. Erstellen Sie im ActiveDirectory einen Dienstbenutzer für die Kerberos-Authentifizierung. Zum Beispiel bmkrb mit dem Passwort krbpwd.

  2. Öffnen Sie eine cmd.exe Konsole und führen Sie den folgenden Befehl aus:

    setspn -A HTTP/bluemind.domain.tld bmkrb

  3. Der Befehl sollte ein Ergebnis zurückgeben, das den folgenden Zeilen entspricht:

    Registering ServicePrincipalNames for CN=bmkrb,CN=Users,DC=domain,DC=tld
    	    HTTP/bluemind.domain.tld
    Updated object

  4. Führe dann den folgenden Befehl aus:

    ktpass /out C:luemind.keytab  /mapuser bmkrb@DOMAIN.TLD  /princ HTTP/bluemind.domain.tld@DOMAIN.TLD  /pass krbpwd /kvno 0 /ptype KRB5_NT_PRINCIPAL

  5. Das Ergebnis sollte wie die folgenden Zeilen aussehen:

    Targeting domain controller: AD.domain.tld
    Using legacy password setting method
    Successfully mapped HTTP/bluemind.domain.tld to bmkrb.
    Output keytab to C:\hps.keytab

Über die Verwaltungsschnittstelle

  1. Gehen Sie in der Administrationskonsole zu Systemverwaltung > Überwachte Domänen > Wählen Sie die Domäne > Registerkarte Sicherheit.
  2. Wählen Sie die Authentifizierungsmethode Kerberos und füllen Sie das zugehörige Formular aus:
    • Active Directory-Domäne
    • Active Directory Server
    • Active Directory Keytab-Datei: Aktivieren Sie das Kontrollkästchen und wählen Sie die zuvor erstellte Datei.
  3. Klicken Sie auf "Speichern", um die Änderungen zu speichern.

Sobald die Kerberos-Authentifizierung aktiviert ist, werden Sie automatisch authentifiziert, wenn Ihr Browser richtig konfiguriert ist.

Client-Konfiguration

Der Client-Browser kann die BlueMind-Domäne als nicht vertrauenswürdig einstufen. Sie müssen dann die URL für den Zugang zu BlueMind als vertrauenswürdige Site im Browser hinzufügen.

Firefox

Die Konfiguration der vertrauenswürdigen Site erfolgt in den Einstellungen des Browsers :

  • Geben Sie in der Adressleiste des Browsers :

    about:config

  • Bestätigen Sie die Warnung, indem Sie auf "Risiko akzeptieren und fortfahren" klicken.

  • Geben Sie in das Suchfeld :

    trusted

  • Doppelklicken Sie auf die Einstellung network.negotiate-auth.trusted-uris oder klicken Sie auf den Bleistift am Ende der Zeile, um sie zu bearbeiten.

  • Geben Sie die Adresse der BlueMind Domain ein (hier bluemind.domain.tld) und bestätigen Sie.

    💡 Der Parameter erscheint in Fettdruck: Dies bedeutet, dass es sich um einen geänderten Parameter handelt, der nicht mehr den Standardwert hat.

  • **Starten Sie Firefox neu, damit die Änderung wirksam wird.

Microsoft Edge

Microsoft Edge wird mit dem folgenden Befehl in einer Eingabeaufforderung cmd.exe konfiguriert:

msedge.exe --auth-server-whitelid="bluemind.domain.tld" --auth-negotiate-delefatewhitelist="bluemind.domain.tld"

Für die Verbreitung der Konfiguration durch GPOs siehe die folgenden Seiten der Microsoft-Dokumentation :

Chrom

Google Chrome wird mit dem folgenden Befehl konfiguriert:

google-chrome --auth-server-whitelist="\bluemind.domain.tld"

Für die Verbreitung der GPO-Konfiguration siehe die folgende Seite der Microsoft-Dokumentation :

Weiterführende Informationen

Weitere Informationen finden Sie auf den folgenden Seiten :

Letztes Update