Zum Hauptinhalt gehen

Einrichtung von Kerberos SSO

Dieses Dokument beschreibt die Einrichtung der BlueMind-Erkennung der Kerberos-Authentifizierung in einer Windows-Infrastruktur.

info

Im Folgenden werden wir die externe URL von BlueMind betrachten, auf die die Benutzer bluemind.domain.tld und der ActiveDirectory-Server ad.domain.tld zugreifen können.

Die Domäne, in der sich diese Maschinen befinden, ist DOMAIN.TLD.

Vorbereitung der Anmeldeinformationen

  1. Erstellen Sie im ActiveDirectory einen Dienstbenutzer für die Kerberos-Authentifizierung. Zum Beispiel bmkrb mit dem Passwort krbpwd.

  2. Öffnen Sie eine cmd.exe Konsole und führen Sie den folgenden Befehl aus:

    setspn -A HTTP/bluemind.domain.tld bmkrb

  3. Der Befehl sollte ein Ergebnis zurückgeben, das den folgenden Zeilen entspricht:

    Registering ServicePrincipalNames for CN=bmkrb,CN=Users,DC=domain,DC=tld
    	    HTTP/bluemind.domain.tld
    Updated object

  4. Führe dann den folgenden Befehl aus:

    ktpass /out C:\bluemind.keytab  /mapuser bmkrb@DOMAIN.TLD  /princ HTTP/bluemind.domain.tld@DOMAIN.TLD  /pass krbpwd /kvno 0 /ptype KRB5_NT_PRINCIPAL

  5. Das Ergebnis sollte wie die folgenden Zeilen aussehen:

    Targeting domain controller: AD.domain.tld
    Using legacy password setting method
    Successfully mapped HTTP/bluemind.domain.tld to bmkrb.
    Output keytab to C:\bluemind.keytab

Aktivierung über die Verwaltungsschnittstelle

  1. Gehen Sie in der Administrationskonsole zu Systemverwaltung > Überwachte Domänen > Wählen Sie die Domäne > Registerkarte Sicherheit.
  2. Wählen Sie den Authentifizierungsmodus Kerberos und füllen Sie das entsprechende Formular aus:
    • Active Directory-Domäne
    • Active Directory Server
    • Active Directory Keytab-Datei: Aktivieren Sie das Kontrollkästchen und wählen Sie die zuvor erstellte Datei.
  3. Klicken Sie auf "Speichern", um die Änderungen zu speichern.

Sobald die Kerberos-Authentifizierung aktiviert ist, werden Sie automatisch authentifiziert, wenn Ihr Browser richtig konfiguriert ist.

Client-Konfiguration

Der Client-Browser kann die BlueMind-Domäne als nicht vertrauenswürdig einstufen. Sie müssen dann die URL für den Zugang zu BlueMind als vertrauenswürdige Site im Browser hinzufügen.

Firefox

Die Konfiguration der vertrauenswürdigen Site erfolgt in den Einstellungen des Browsers :

  • Geben Sie in der Adressleiste des Browsers :

    about:config

  • Bestätigen Sie die Warnung, indem Sie auf "Risiko akzeptieren und fortfahren" klicken.

  • Geben Sie in das Suchfeld :

    trusted

  • Doppelklicken Sie auf die Einstellung network.negotiate-auth.trusted-uris oder klicken Sie auf den Bleistift am Ende der Zeile, um sie zu bearbeiten.

  • Geben Sie die Adresse der BlueMind Domain ein (hier bluemind.domain.tld) und bestätigen Sie.

    💡 Der Parameter erscheint in Fettdruck: Dies bedeutet, dass es sich um einen geänderten Parameter handelt, der nicht mehr den Standardwert hat.

  • **Starten Sie Firefox neu, damit die Änderung wirksam wird.

Microsoft Edge

Microsoft Edge wird manuell auf der Arbeitsstation konfiguriert:

  • Regedit als Administrator starten
  • Gehen Sie zu "HKEY_LOCAL_MACHINE\OFTWARE\PolicyMicrosoftge" und erstellen Sie die fehlenden Registrierungsschlüssel, falls erforderlich.
  • Erstellen Sie den Wert vom Typ "Wert String (REG_SZ)" mit dem Namen AuthServerAllowlist und dem Wert bluemind.domain.tld.
  • Neustart Edge, damit die Änderung wirksam wird.

Wenn eine Störung auftritt, stellen Sie sicher, dass die Politik berücksichtigt wird:

  • Edge starten
  • Geben Sie edge://policy in das Feld für die URL ein.
  • Stellen Sie sicher, dass die Richtlinie AuthServerAllowlist im Abschnitt "Microsoft Edge Policies" mit dem zuvor eingegebenen Wert erscheint. Andernfalls klicken Sie auf "Strategien neu laden". Wenn es immer noch nicht erscheint, überprüfen Sie, ob Sie die Registrierung wie oben beschrieben geändert haben.

Weitere Informationen zu den Edge-Richtlinien finden Sie in der Microsoft-Dokumentation :

Für die Verbreitung der Konfiguration durch GPOs siehe die folgenden Seiten der Microsoft-Dokumentation :

Chrom

Google Chrome wird manuell auf der Arbeitsstation konfiguriert:

  • Regedit als Administrator starten
  • Gehen Sie zu "HKEY_LOCAL_MACHINE\OFTWARE\Policies\Google\Chrome" und erstellen Sie die fehlenden Schlüssel, falls erforderlich.
  • Erstellen Sie den Wert vom Typ "Wert String (REG_SZ)" mit dem Namen AuthServerAllowlist und dem Wert bluemind.domain.tld.
  • **Starten Sie Chrome neu, damit die Änderung wirksam wird.

Wenn eine Störung auftritt, stellen Sie sicher, dass die Politik berücksichtigt wird:

  • Chrome starten
  • Geben Sie chrome://policy in das Feld für die URL ein.
  • Stellen Sie sicher, dass die Richtlinie AuthServerAllowlist im Abschnitt "Chrome Policies" mit dem zuvor eingegebenen Wert erscheint. Andernfalls klicken Sie auf "Strategien neu laden". Wenn es immer noch nicht erscheint, überprüfen Sie, ob Sie die Registrierung wie oben beschrieben geändert haben.

Weitere Informationen über Chrome-Richtlinien finden Sie in der Dokumentation Goole :

Für die Verbreitung der GPO-Konfiguration lesen Sie bitte die folgende Seite der Google-Dokumentation :

Weiterführende Informationen

Weitere Informationen finden Sie auf den folgenden Seiten :

Letztes Update